J ai recu un virus pour noel ...

PasDeBol -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour a tous,

Je suis victime de virus. J en ai tout un tas qui tournent dans mes processus (brastk par exemple)
En mode normal, mon ordinateur redémarre automatiquement apres quelque secondes.
Je l utilise donc en mode sans echec. J ai installé Hijack et Malware anti M mais je n arrive pas a les lancer: Il ne se passe rien quand je clique dessus.

J ai donc decide de ne plus utiliser de logiciels gratuits et j ai recupere bitdefender professional. Mais j ai essaye de l installer et cela ne marche pas.

Mon pc affiche: operation non autorisee par l administrateur.

Bref je suis tres embete et je ne sais pas trop quoi faire. Pensez vous que je peux regler le probleme en faisant des reglages dans "gestion administrateur\securite" et si oui comment ?

J ai vu qu il y avait des gens très calés sur ce forum, peut etre que quelqu un pourra m aider. Merci d avance !!!
Configuration: Windows XP
Firefox 3.0.5

15 réponses

  1. mickael19100 Messages postés 2707 Statut Membre 741
     
    bonjour,
    sur ton pc es tu administrateur ou pas ,c'est important pour la suite?
    @@@
    0
  2. PasDeBol
     
    Bonjour Mickael,

    Merci pour ta reponse :)

    Je suis l administrateur de mon pc
    0
  3. mickael19100 Messages postés 2707 Statut Membre 741
     
    re,
    c'est etonnant que en tant que administrateur ,tu ne puisses pas installer de logiciel de surveillance?
    moi je tourne sous avast , meme si ce n'est pas le meilleur,ce n'est pas le plus mauvais, pas mal de virus detectés et supprimés.N'iinstalles pas plusieurs anti virus a la fois, ca ne sert a rien, si ce n'est que d'avoir des conflits entres eux et des plantages.
    @@@
    0
    1. PasDeBol
       
      Et donc tu ne vois pas de solution ?

      J ai cherche avec google des problemes similaires et visiblement les gens n ont pas trouve de solutions :(
      0
  4. mickael19100 Messages postés 2707 Statut Membre 741
     
    re,
    non honnetement je sèche, mais je pense qu'ici sur CCM, tu vas trouver quelqu'un de plus calé que moi
    bonnes fêtes de fin d'année
    @@@
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Re,

    - Télécharge MSNFix.zip (de !aur3n7) sur ton Bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    - Décompresse-le (Clic droit >> Extraire ici).

    - Double-clique sur le fichier MSNFix.bat.

    - Exécute l'option R.
    Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage.

    Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur.

    - Le rapport sera enregistré dans C:\Windows\ sous le nom de MSNFix, poste-le.
    0
    1. PasDeBol
       
      Le nettoyage a bugge parce qu il n arrivait pas a trouver le fichier msnfix.

      Voila le scan:

      MSNFix 1.749

      C:\Documents and Settings\Administrateur\Bureau\MSNFix
      Fix exécuté le 23/12/2008 - 16:22:55,54 By Administrateur
      mode normal

      ************************ Recherche les fichiers présents

      ... C:\WINDOWS\system32\mcrh.tmp
      ... C:\WINDOWS\system32\mcrh.tmp

      ************************ Recherche les dossiers présents

      ... C:\DOCUME~1\ADMINI~1\APPLIC~1\SpeedRunner\
      ... C:\WINDOWS\system32\updatelinkmsn\




      ************************ Suppression des fichiers
      0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    - Télécharge HijackThis v2.0.2 sur ton Bureau.

    - Double-clique sur HJTInstall afin de lancer l'installation.

    - Clique sur Install ensuite sur I Accept.

    - Clique sur Do a system scan and save a logfile.

    - Le bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.
    0
    1. PasDeBol
       
      Merci beaucoup pour ton aide Destrio (et desole de ne pas etre souvent la, noel me prend pas mal de temps :) )

      Mon probleme est que je ne peut pas installer highjackthis. Quand je clique dessus il ne se passe rien. Je ne sais vraiment pas quoi faire.
      0
  8. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
    ---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
    ---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
    ---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
    ---> Sélectionne Exécuter un examen rapide.
    ---> Clique sur Rechercher. L'analyse démarre.

    A la fin de l'analyse, un message s'affiche :

    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ---> Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur Afficher les résultats.
    ---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
    ---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    0
    1. PasDeBol
       
      Je l ai installe mais il ne se lance pas (meme probleme qu avec hijackthis)
      J ai aussi essaye d installer bit defender mais l installation plante parce que soit disant "l administrateur ne le permet pas" alors que l administrateur, c est moi.
      0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Télécharge ComboFix.exe (Que j'ai renommé) de sUBs sur ton Bureau :
    http://sd-1.archive-host.com/membres/up/3288717712384394/CF-PasDeBol.exe

    /!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

    ---> Double-clique sur Combofix.exe
    Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
    Accepte en cliquant sur "Oui"

    ---> Je te conseille vivement d'installer la Console de récupération.

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\Combofix.txt

    Tutoriel officiel :
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
    1. PasDeBol
       
      Merci Destrio, tu es trop fort. Je peux a nouveau lancer Malwarebytes et highjackthis :) !!!!!!!!!!!!!!!!!!!!!!
      0
  10. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Tu as le rapport de ComboFix ?
    0
    1. PasDeBol
       
      Voila le rapport :)



      ComboFix 08-12-23.01 - Administrateur 2008-12-24 11:15:08.3 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.511.118 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Administrateur\Bureau\CF-PasDeBol.exe

      [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\documents and settings\Administrateur\Application Data\gadcom
      c:\documents and settings\Administrateur\Application Data\gadcom\gadcom.exe
      c:\documents and settings\Administrateur\Application Data\GetModule
      c:\documents and settings\Administrateur\Application Data\GetModule\dicik.gz
      c:\documents and settings\Administrateur\Application Data\GetModule\kwdik.gz
      c:\documents and settings\Administrateur\Application Data\GetModule\ofadik.gz
      c:\documents and settings\Administrateur\Application Data\SpeedRunner
      c:\documents and settings\Administrateur\Application Data\twain\Twain.exe
      c:\documents and settings\Administrateur\Cookies\aqic.dll
      c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Spyware-Secure
      c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Spyware-Secure\Website.lnk
      c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
      c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
      c:\program files\GetModule
      c:\program files\GetModule\GetModule31.exe
      c:\program files\GetPack
      c:\program files\GetPack\dictame.gz
      c:\program files\GetPack\GetPack26.exe
      c:\program files\GetPack\trgtame.gz
      c:\program files\GrandPack
      c:\program files\GrandPack\GrandPack.dll
      c:\program files\GrandPack\qdrloader.exe
      c:\program files\GrandPack\Uninstall.exe
      c:\program files\iCheck
      c:\program files\iCheck\Uninstall.exe
      c:\program files\Mjcore
      c:\program files\Mjcore\Mjcore.dll
      c:\windows\brastk.exe
      c:\windows\karna.dat
      c:\windows\system32\_scui.cpl
      c:\windows\system32\~.exe
      c:\windows\system32\bkfakn.dll
      c:\windows\system32\brastk.exe
      c:\windows\system32\cncpcjex.dll
      c:\windows\system32\dcjsgxbx.ini
      c:\windows\system32\dllcache\beep.sys
      c:\windows\system32\drivers\TDSSmqlt.sys
      c:\windows\system32\efcAPJyW.dll
      c:\windows\system32\geBtssqn.dll
      c:\windows\system32\iifgGVmm.dll
      c:\windows\system32\karna.dat
      c:\windows\system32\kbcnbntu.dll
      c:\windows\system32\lvysurfs.ini
      c:\windows\system32\mcrh.tmp
      c:\windows\system32\mlctiu.dll
      c:\windows\system32\mmVGgfii.ini
      c:\windows\system32\mmVGgfii.ini2
      c:\windows\system32\oyumoref.dll
      c:\windows\system32\pqcsljfm.dll
      c:\windows\system32\puxgbbej.dll
      c:\windows\system32\qukvfr.dll
      c:\windows\system32\sfrusyvl.dll
      c:\windows\system32\TDSShrxx.dll
      c:\windows\system32\TDSSkhyp.log
      c:\windows\system32\TDSSkkai.log
      c:\windows\system32\TDSSlxwp.dll
      c:\windows\system32\TDSSmtvd.dat
      c:\windows\system32\TDSSnmxh.log
      c:\windows\system32\TDSSoiqh.dll
      c:\windows\system32\TDSSsahc.dll
      c:\windows\system32\TDSSvkql.dll
      c:\windows\system32\TDSSxfum.dll
      c:\windows\system32\tvdmufol.dll
      c:\windows\system32\utnbncbk.ini
      c:\windows\system32\wini10894.exe
      c:\windows\system32\wpv161228549885.cpx
      c:\windows\system32\xbxgsjcd.dll
      c:\windows\system32\xejcpcnc.ini
      c:\windows\system32\zlgndl.dll
      c:\windows\Tasks\lfcvxruh.job
      H:\autorun.inf

      ----- BITS: Il y a peut-être des sites infectés -----

      hxxp://childhe.com

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Service_TDSSSERV.SYS
      -------\Legacy_TDSSSERV.SYS


      ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))
      .

      2008-12-24 11:01 . 2008-12-24 11:01 <REP> d--hs---- c:\program files\SYS
      2008-12-23 16:51 . 2008-12-23 16:51 <REP> d-------- c:\documents and settings\Administrateur\Application Data\PLAux
      2008-12-23 16:50 . 2008-12-23 16:50 <REP> d-------- c:\documents and settings\Administrateur\Application Data\OTi
      2008-12-23 08:59 . 2008-12-23 08:59 <REP> d-------- c:\program files\neobe Backup
      2008-12-23 08:59 . 2008-12-23 09:04 <REP> d-------- c:\documents and settings\Administrateur\Application Data\neobe Backup
      2008-12-23 08:45 . 2008-12-24 10:55 <REP> d-------- c:\program files\Fichiers communs\Softwin
      2008-12-22 21:38 . 2004-04-22 15:31 36,864 --a------ c:\windows\system32\exitwx.exe
      2008-12-22 21:37 . 2004-04-22 15:31 81,920 --a------ c:\windows\system32\RitCPT.exe
      2008-12-18 20:01 . 2008-12-18 20:01 <REP> d-------- c:\program files\Lavasoft
      2008-12-09 17:40 . 2008-12-09 17:40 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
      2008-12-09 17:40 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
      2008-12-09 17:40 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
      2008-12-09 17:22 . 2008-12-09 17:22 <REP> d-------- c:\program files\Trend Micro
      2008-12-09 13:42 . 2008-12-09 13:42 306,432 --a------ c:\windows\system32\TuneUpDefragService.exe
      2008-12-09 13:42 . 2007-12-20 10:41 29,440 --a------ c:\windows\system32\uxtuneup.dll
      2008-12-09 13:40 . 2008-12-09 13:42 <REP> d-------- c:\program files\TuneUp Utilities 2008
      2008-12-09 13:40 . 2008-12-09 13:40 <REP> d-------- c:\documents and settings\All Users\Application Data\TuneUp Software
      2008-12-09 13:40 . 2008-12-09 13:40 <REP> d-------- c:\documents and settings\Administrateur\Application Data\TuneUp Software
      2008-12-08 23:53 . 2008-12-24 11:16 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Twain
      2008-12-08 23:48 . 2008-12-08 23:48 <REP> d-------- c:\program files\Webtools
      2008-12-08 19:56 . 2008-12-08 19:56 19,753 --a------ c:\windows\orefyqoz.dll
      2008-12-08 19:56 . 2008-12-08 19:56 19,712 --a------ c:\windows\pemumara.dl
      2008-12-08 19:56 . 2008-12-08 19:56 18,764 --a------ c:\windows\vagelity.pif
      2008-12-08 19:56 . 2008-12-08 19:56 18,489 --a------ c:\program files\Fichiers communs\izaq.pif
      2008-12-08 19:56 . 2008-12-08 19:56 18,453 --a------ c:\windows\ajehybo._sy
      2008-12-08 19:56 . 2008-12-08 19:56 16,407 --a------ c:\windows\ykypu.inf
      2008-12-08 19:56 . 2008-12-08 19:56 16,233 --a------ c:\windows\system32\usaxywox.pif
      2008-12-08 19:56 . 2008-12-08 19:56 16,083 --a------ c:\windows\syrawibuf.vbs
      2008-12-08 19:56 . 2008-12-08 19:56 14,603 --a------ c:\documents and settings\All Users\Application Data\afihizyx.pif
      2008-12-08 19:56 . 2008-12-08 19:56 14,423 --a------ c:\documents and settings\All Users\Application Data\nogetowe.dll
      2008-12-08 19:56 . 2008-12-08 19:56 14,335 --a------ c:\windows\system32\iwij.ban
      2008-12-08 19:56 . 2008-12-08 19:56 13,969 --a------ c:\windows\system32\nufusu._sy
      2008-12-08 19:56 . 2008-12-08 19:56 12,099 --a------ c:\documents and settings\Administrateur\Application Data\emogivev.dll
      2008-12-08 19:56 . 2008-12-08 19:56 11,507 --a------ c:\program files\Fichiers communs\ejakexu.dll
      2008-12-08 19:56 . 2008-12-08 19:56 11,467 --a------ c:\windows\ecus.db
      2008-12-08 19:56 . 2008-12-08 19:56 10,314 --a------ c:\documents and settings\All Users\Application Data\solese.exe
      2008-12-08 19:52 . 2008-12-08 20:11 <REP> d-------- c:\program files\AntivirusPro2009
      2008-12-08 00:11 . 2008-12-08 00:16 <REP> d-------- c:\windows\system32\NtmsData
      2008-11-27 00:27 . 2008-09-19 22:57 129,784 --------- c:\windows\system32\pxafs.dll
      2008-11-27 00:27 . 2008-09-19 22:57 9,464 --------- c:\windows\system32\drivers\cdralw2k.sys
      2008-11-27 00:27 . 2008-09-19 22:57 9,336 --------- c:\windows\system32\drivers\cdr4_xp.sys
      2008-11-27 00:26 . 2008-11-27 00:27 <REP> d-------- c:\program files\DivX

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-12-23 08:28 --------- d-----w c:\program files\Mozilla Thunderbird
      2008-12-18 19:01 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
      2008-12-18 19:00 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
      2008-12-09 12:20 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
      2008-12-08 18:45 --------- d-----w c:\program files\PokerStars
      2008-12-08 18:34 --------- d-----w c:\program files\Fighters
      2008-12-08 18:17 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
      2008-12-07 13:30 --------- d-----w c:\program files\Livestation
      2008-11-04 17:05 --------- d-----w c:\documents and settings\Administrateur\Application Data\Livestation
      2008-11-04 17:02 --------- d-----w c:\program files\OpenAL
      2008-10-26 12:16 --------- d-----w c:\program files\Fichiers communs\LogiShrd
      2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
      2008-04-03 16:23 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
      2006-07-03 08:47 22 --sha-w c:\windows\SMINST\HPCD.sys
      2008-09-03 01:09 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008090320080904\index.dat
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
      "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-03 68856]
      "neobebackup.exe"="c:\program files\neobe Backup\neobebackup.exe" [2005-09-01 1482752]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2008-04-14 172544]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
      "ForceClassicControlPanel"= 1 (0x1)

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
      2005-07-25 19:41 40960 c:\program files\HPQ\IAM\Bin\AsWlnPkg.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
      2005-08-19 14:52 389120 c:\windows\system32\IfxWlxEN.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.ac3filter"= ac3filter.acm

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
      Notification Packages REG_MULTI_SZ scecli AsWlnPkg
      path=
      backup=

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BTTray.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\BTTray.lnk
      backup=c:\windows\pss\BTTray.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DVD Check.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DVD Check.lnk
      backup=c:\windows\pss\DVD Check.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
      backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech SetPoint.lnk]
      path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech SetPoint.lnk
      backup=c:\windows\pss\Logitech SetPoint.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
      c:\windows\system32\dumprep 0 -k [X]

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AccelerometerSysTrayApplet]
      --a------ 2006-01-16 21:01 53248 c:\windows\system32\accelerometerST.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Antivirus Pro 2009]
      --a------ 2008-11-22 01:21 597372 c:\program files\AntivirusPro2009\AntivirusPro2009.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
      --a------ 2005-08-12 13:43 45056 c:\program files\ATI Technologies\ATI.ACE\CLI.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Broadcom Wireless Manager UI]
      --a------ 2006-01-19 10:50 1236992 c:\windows\system32\WLTRAY.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CognizanceTS]
      --a------ 2003-12-22 19:12 17920 c:\progra~1\HPQ\IAM\Bin\AsTsVcc.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
      --a------ 2006-02-22 07:03 40960 c:\program files\HPQ\Default Settings\Cpqset.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
      --a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
      --a------ 2007-04-03 23:29 165784 c:\program files\DAEMON Tools\daemon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA]
      --a------ 2005-08-31 04:20 122940 c:\windows\system32\DLA\DLACTRLW.EXE

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
      --a----t- 2008-11-20 23:05 133104 c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
      --a------ 2006-02-14 09:49 454656 c:\program files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
      --a------ 2006-01-23 15:11 802816 c:\windows\CREATOR\Remind_XP.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
      --a------ 2005-05-20 09:11 925696 c:\program files\Analog Devices\Core\smax4pnp.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
      --a------ 2008-06-10 03:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
      --a------ 2007-08-03 17:30 68856 c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USB2Check]
      --a------ 2005-12-21 09:14 73728 c:\windows\system32\PCLECoInst.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vptray]
      --a------ 2006-05-28 15:12 125072 c:\progra~1\SYMANT~1\VPTray.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
      --a------ 2005-11-08 10:59 184320 c:\program files\InterVideo\DVD Check\DVDCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Hardware Abstraction Layer]
      --a------ 2005-05-20 13:46 28160 c:\windows\KHALMNPR.Exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsmqIntCert]
      --a------ 2008-04-14 03:33 177152 c:\windows\system32\mqrt.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "c:\\WINDOWS\\system32\\mqsvc.exe"=
      "c:\\WINDOWS\\SMINST\\Scheduler.exe"=
      "c:\\Program Files\\Symantec AntiVirus\\VPC32.exe"=
      "c:\\WINDOWS\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Wolfram Research\\Mathematica\\5.2\\Mathematica.exe"=
      "c:\\Program Files\\Wolfram Research\\Mathematica\\5.2\\MathKernel.exe"=
      "c:\\Program Files\\Wolfram Research\\Mathematica\\5.2\\math.exe"=
      "c:\\cygwin\\usr\\X11R6\\bin\\XWin.exe"=
      "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
      "c:\\Program Files\\Java\\jre1.5.0_09\\bin\\javaw.exe"=
      "c:\\Program Files\\Messenger\\msmsgs.exe"=
      "c:\\Program Files\\Valve\\hl.exe"=
      "c:\\MATLAB7\\bin\\win32\\MATLAB.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\MSN Messenger\\livecall.exe"=
      "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "38293:UDP"= 38293:UDP:Intel PDS (Norton)
      "2967:TCP"= 2967:TCP:RTVScan (Norton)
      "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
      "AllowInboundEchoRequest"= 1 (0x1)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\RemoteAdminSettings]
      "Enabled"= 1 (0x1)

      R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [2005-10-25 35488]
      R2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe -k Cognizance [2004-08-05 14336]
      R2 BCMWLNPF;Broadcom Netgroup Packet Filter;c:\windows\system32\drivers\bcmwlnpf.sys [2006-06-30 33664]
      R3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys [2006-06-22 87936]
      R3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2005-06-10 35968]
      S3 SavRoam;SAVRoam;"c:\program files\Symantec AntiVirus\SavRoam.exe" [2006-05-28 118928]
      S4 GHYDWRBNJBEPP;GHYDWRBNJBEPP;c:\docume~1\ADMINI~1\LOCALS~1\Temp\GHYDWRBNJBEPP.exe []
      S4 msvsmon80;Débogueur distant Visual Studio 2005;"c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 [2005-12-09 2799808]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      Cognizance REG_MULTI_SZ ASChannel

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp
      .
      Contenu du dossier 'Tâches planifiées'

      2008-12-09 c:\windows\Tasks\1-Click Maintenance.job
      - c:\program files\TuneUp Utilities 2008\OneClick.exe [2008-01-08 13:31]

      2008-12-23 c:\windows\Tasks\GoogleUpdateTaskUser.job
      - c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-20 23:05]

      2008-12-24 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
      - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      BHO-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - c:\windows\system32\geBtssqn.dll
      BHO-{CFE313C8-5DD3-4E3B-BF1E-571D7DA3E8A8} - c:\windows\system32\iifgGVmm.dll
      HKLM-Run-farstone - (no file)
      ShellExecuteHooks-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - c:\windows\system32\geBtssqn.dll
      MSConfigStartUp-253e5293 - c:\windows\system32\xbxgsjcd.dll
      MSConfigStartUp-Uniblue RegistryBooster 2009 - c:\program files\Uniblue\RegistryBooster\RegistryBooster.exe
      MSConfigStartUp-brastk - brastk.exe


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.com
      uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
      mStart Page = hxxp://www.google.com
      uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
      uInternet Settings,ProxyServer = cache.rez-gif.supelec.fr:3128
      uInternet Settings,ProxyOverride = <local>
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
      IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?bca280d0f7bb4bc297ead087491abf4c
      IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?bca280d0f7bb4bc297ead087491abf4c

      O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
      c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-12-24 11:25:21
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(1040)
      c:\windows\system32\Ati2evxx.dll
      c:\program files\HPQ\IAM\Bin\AsWlnPkg.dll
      c:\windows\system32\IfxWlxEN.dll
      c:\program files\HPQ\IAM\Bin\ASChnl.dll
      c:\program files\HPQ\IAM\Bin\ItMsg.dll

      - - - - - - - > 'lsass.exe'(1096)
      c:\program files\HPQ\IAM\bin\AsWlnPkg.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\ati2evxx.exe
      c:\windows\system32\IFXTCS.exe
      c:\windows\system32\dllhost.exe
      c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
      c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
      c:\program files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
      c:\windows\system32\WLTRYSVC.EXE
      c:\windows\system32\BCMWLTRY.EXE
      c:\program files\Lavasoft\Ad-Aware\aawservice.exe
      c:\windows\system32\scardsvr.exe
      c:\program files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
      c:\program files\Symantec AntiVirus\DefWatch.exe
      c:\windows\system32\IFXSPMGT.exe
      c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
      c:\matlab7\webserver\bin\win32\matlabserver.exe
      c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      c:\program files\ProtectTools\Embedded Security Software\PSDsrvc.EXE
      c:\matlab7\bin\win32\MATLAB.exe
      c:\windows\system32\UTSCSI.EXE
      c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
      c:\program files\Windows Media Player\wmpnetwk.exe
      c:\windows\system32\ati2evxx.exe
      c:\program files\ProtectTools\Embedded Security Software\PSDrt.exe
      c:\program files\ProtectTools\Embedded Security Software\SpTNA.exe
      c:\program files\HPQ\IAM\Bin\asghost.exe
      c:\program files\HPQ\HP ProtectTools Security Manager\PTServs.exe
      .
      **************************************************************************
      .
      Heure de fin: 2008-12-24 11:29:48 - La machine a redémarré
      ComboFix-quarantined-files.txt 2008-12-24 10:29:41

      Avant-CF: 9,253,371,904 octets libres
      Après-CF: 9,224,085,504 octets libres

      363 --- E O F --- 2008-11-12 02:13:51
      0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Upload le fichier suivant :
    c:\qoobox\quarantine\C\windows\system32\~.exe

    ---> A cette adresse :
    http://upload.malekal.com/
    0
  12. PasDeBol
     
    J ai lance malwarebytes

    Malwarebytes' Anti-Malware 1.31
    Version de la base de données: 1456
    Windows 5.1.2600 Service Pack 3

    24/12/2008 13:45:45
    mbam-log-2008-12-24 (13-45-34).txt

    Type de recherche: Examen complet (C:\|W:\|X:\|Y:\|Z:\|)
    Eléments examinés: 255627
    Temps écoulé: 53 minute(s), 48 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 38

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\bho_myjavacore.mjcore.1 (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{d88e1558-7c2d-407a-953a-c044f5607cea} (Trojan.BHO) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\antiviruspro2009 (Rogue.Antivirus2008) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Program Files\Webtools (Trojan.Agent) -> No action taken.
    C:\Program Files\AntivirusPro2009 (Rogue.Antivirus2008) -> No action taken.

    Fichier(s) infecté(s):
    C:\Program Files\Webtools\webtools.dll (Trojan.Agent) -> No action taken.
    C:\Qoobox\Quarantine\C\Program Files\Mjcore\Mjcore.dll.vir (Adware.Agent) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\brastk.exe.vir (Trojan.FakeAlert) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\karna.dat.vir (Trojan.FakeAlert) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\bkfakn.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\brastk.exe.vir (Trojan.FakeAlert) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\karna.dat.vir (Trojan.FakeAlert) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\mlctiu.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\oyumoref.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\puxgbbej.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSShrxx.dll.vir (Trojan.TDSS) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSoiqh.dll.vir (Trojan.TDSS) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSvkql.dll.vir (Trojan.TDSS) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSxfum.dll.vir (Trojan.TDSS) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\tvdmufol.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\zlgndl.dll.vir (Trojan.Vundo) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\_scui.cpl.vir (Rogue.XPProtectionCenter) -> No action taken.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\TDSSmqlt.sys.vir (Trojan.TDSS) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000001.sys (Trojan.TDSS) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000002.dll (Trojan.TDSS) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000003.dll (Trojan.TDSS) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000004.dll (Trojan.TDSS) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000005.dll (Trojan.TDSS) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000025.dll (Adware.Agent) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000026.exe (Trojan.FakeAlert) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000027.cpl (Rogue.XPProtectionCenter) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000028.exe (Trojan.FakeAlert) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000035.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000043.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000044.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000046.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000049.dll (Trojan.Vundo) -> No action taken.
    C:\System Volume Information\_restore{36D576C6-D89E-469E-9FBC-ABF0712A416E}\RP0\A0000053.dll (Trojan.Vundo) -> No action taken.
    C:\Program Files\AntivirusPro2009\AntivirusPro2009.exe (Rogue.Antivirus2008) -> No action taken.
    C:\Program Files\AntivirusPro2009\AVEngn.dll (Rogue.Antivirus2008) -> No action taken.
    C:\Program Files\AntivirusPro2009\Uninstall.exe (Rogue.Antivirus2008) -> No action taken.
    C:\Documents and Settings\Administrateur\Application Data\emogivev.dll (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\All Users\Application Data\nogetowe.dll (Trojan.Agent) -> No action taken.
    0
  13. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    0
    1. PasDeBol
       
      Ca marche destrio, je vais faire ce que tu me dis demain car mes charmants trojans qui m avaient desinstalle mon antivirus, m ont aussi desinstalle google chrome, firefox et ont foutu du bordel dans explorer.
      (pour internet, j utilise un autre pc et une cle usb)

      Je vais reinstaller tout ca demain et suivre tes instructions.

      Joyeux noel !!! et encore merci !!! :) :) :)
      0
  14. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ok ;)

    Joyeux Noël !
    0
    1. PasDeBol
       
      Voila j ai envoye le fichier
      0
    2. PasDeBol
       
      Est ce que tu penses que mon ordi est desinfecte a present ?
      0
  15. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Relance MBAM, va dans Quarantaine et supprime tout.

    - Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    - Double-clique sur RSIT.exe afin de lancer le programme.

    - Clique sur Continue à l'écran Disclaimer.

    - Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    - Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
    0