Sujet Précédent Sujet Suivant

Malware et connection internet ralentit

tartafionne81 Messages postés 13 Statut Membre -  
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,
je crois avoir chopé un malware car j'ai toujours un scan publicitare qui se lance et me dit que mon pc est infecté et me dit qu'il me faut un antivirus a la con qui me proose d'acheter bien evidemment !!!!! en plus ma connection de 8 mega de chez orange avec ma livebox tourne vraiment au ralentit !!!!! il me fo au mons 2 a 3 mns pour afficher une page internet !!!!! j'ai essayé de nettoyer avec spybot puis avec malwarebytes puis avec nod32 je crois (c'est un genre de pingouin !!! ) et la je vé poster le rapport hijackthis..... dans l'espoir que quelqu'un me trouve ce putain de virus ou malware et me donne enfin une bonne solution pour le virer car j'en ai marre... merci a tous. Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:46, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SearchPageURL.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll,C:\WINDOWS\System32\feclient32.dll ,C:\WINDOWS\System32\fe
O20 - Winlogon Notify: 6c88794d509 - C:\WINDOWS\System32\feclient32.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - Unknown owner - C:\PROGRA~1\AVG\AVG8\avgemc.exe (file missing)
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
A voir également:

12 réponses

Réponse 1 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Salut,

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
Réponse 2 / 12
tartafionne81 Messages postés 13 Statut Membre
 
salut voila ce ca me trouve merci pour ta rapidité.Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2009-01-12 18:24:48
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 3 GB (25%) free of 10 GB
Total RAM: 511 MB (51% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:24:57, on 12/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SearchPageURL.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O9 - Extra button: Livre de reliures HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Sélection intelligente HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll C:\WINDOWS\System32\feclient32.dll,C:\WINDOWS\System32\feclient32.dll ,C:\WINDOWS\System32\fe
O20 - Winlogon Notify: 6c88794d509 - C:\WINDOWS\System32\feclient32.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - Unknown owner - C:\PROGRA~1\AVG\AVG8\avgemc.exe (file missing)
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
0
Réponse 3 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
tartafionne81 Messages postés 13 Statut Membre
 
voiula le rappoComboFix 09-01-11.04 - Administrateur 2009-01-12 18:59:34.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.300 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AVG *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509C.manifest
c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509O.manifest
c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509P.manifest
c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509S.manifest
c:\windows\system32\1.tmp
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\GroupPolicyManifest

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-12 au 2009-01-12 ))))))))))))))))))))))))))))))))))))
.

2009-01-12 18:24 . 2009-01-12 18:24 <REP> d-------- C:\rsit
2009-01-12 16:52 . 2009-01-12 16:59 <REP> d-------- c:\program files\RegCleaner
2009-01-12 11:17 . 2009-01-12 15:55 <REP> d-------- c:\documents and settings\Administrateur\Historique
2009-01-12 11:03 . 2009-01-12 11:03 65,024 --a------ c:\windows\system32\2rg3.es
2009-01-12 11:03 . 2009-01-12 11:03 64,512 --a------ c:\windows\system32\ef3p.ee
2009-01-12 11:03 . 2009-01-12 11:03 32,768 --a------ c:\windows\system32\zred.pa
2009-01-12 11:03 . 2009-01-12 11:03 24,576 --a------ c:\windows\system32\4rr.pa
2009-01-12 11:03 . 2009-01-12 11:03 21,504 --a------ c:\windows\system32\gr1.e
2009-01-12 10:18 . 2009-01-12 10:18 373,760 --ahs---- c:\windows\system32\27.tmp
2009-01-11 09:53 . 2009-01-11 09:53 <REP> d-------- c:\windows\system32\GroupPolicyManifest(3)
2009-01-11 09:26 . 2009-01-11 09:26 373,760 --ahs---- c:\windows\system32\34.tmp
2009-01-11 09:21 . 2009-01-11 09:21 0 --a------ c:\windows\nsreg.dat
2009-01-10 13:26 . 2009-01-10 13:26 373,760 --ahs---- c:\windows\system32\14.tmp
2009-01-09 21:26 . 2009-01-09 21:27 <REP> d-------- c:\windows\system32\GroupPolicyManifest(2)
2009-01-09 14:26 . 2009-01-12 16:05 <REP> d---s---- c:\documents and settings\LocalService\Historique
2009-01-08 18:20 . 2009-01-08 18:20 <REP> d-------- c:\windows\REG
2009-01-08 17:47 . 2009-01-12 15:57 <REP> d---s---- c:\documents and settings\NetworkService\Historique
2009-01-08 17:36 . 2009-01-08 17:36 <REP> d---s---- c:\windows\system32\config\systemprofile\Historique
2009-01-08 17:34 . 2001-08-24 13:00 13,463,552 --a--c--- c:\windows\system32\DllCache\hwxjpn.dll
2009-01-08 17:33 . 2004-08-03 23:54 2,134,528 --a--c--- c:\windows\system32\DllCache\smtpsnap.dll
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\WindowsShell.Manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\sapi.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\nwc.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\ncpa.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 488 -rah----- c:\windows\system32\logonui.exe.manifest
2009-01-08 17:27 . 2001-08-17 20:13 27,165 --a------ c:\windows\system32\drivers\fetnd5.sys
2009-01-08 17:25 . 2001-08-24 13:00 24,661 --a------ c:\windows\system32\spxcoins.dll
2009-01-08 17:25 . 2001-08-24 13:00 13,312 --a------ c:\windows\system32\irclass.dll
2009-01-08 17:25 . 2001-08-24 13:00 13,312 --a--c--- c:\windows\system32\DllCache\irclass.dll
2009-01-08 17:25 . 2009-01-11 09:19 4,566 --a------ c:\windows\imsins.BAK
2009-01-08 17:24 . 2004-08-04 00:43 1,086,058 -ra------ c:\windows\SET29.tmp
2009-01-08 17:24 . 2004-08-04 00:52 1,014,836 -ra------ c:\windows\SET26.tmp
2009-01-08 17:24 . 2004-08-04 00:45 14,043 -ra------ c:\windows\SET35.tmp
2009-01-07 14:32 . 2009-01-07 14:32 373,760 --ahs---- c:\windows\system32\AA.tmp
2009-01-07 06:24 . 2009-01-07 06:24 <REP> d-------- c:\program files\Trend Micro
2009-01-03 09:52 . 2009-01-03 09:52 373,760 --ahs---- c:\windows\system32\F1.tmp
2009-01-02 06:57 . 2009-01-02 06:57 373,760 --ahs---- c:\windows\system32\D8.tmp
2009-01-01 10:57 . 2009-01-01 10:57 373,760 --ahs---- c:\windows\system32\BB.tmp
2008-12-31 14:57 . 2008-12-31 14:57 373,760 --ahs---- c:\windows\system32\97.tmp
2008-12-31 14:57 . 2008-12-31 14:57 135,168 --a------ c:\windows\system32\feclient32.dll
2008-12-14 10:14 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-14 10:14 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-12 17:37 --------- d-----w c:\program files\Wanadoo
2009-01-12 14:55 --------- d-----w c:\program files\LimeWire
2009-01-12 10:00 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2009-01-10 23:39 --------- d-----w c:\documents and settings\Administrateur\Application Data\LimeWire
2009-01-08 15:55 81,920 ----a-w c:\windows\system32\W32N50.dll
2009-01-08 15:55 17,134 ----a-w c:\windows\system32\PCANDIS5.sys
2009-01-05 17:14 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-05 16:58 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-12-21 16:20 --------- d-----w c:\documents and settings\Administrateur\Application Data\Azureus
2008-12-14 10:56 --------- d-----w c:\program files\BS.Player ControlBar
2008-12-14 09:14 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-12-14 09:01 --------- d-----w c:\program files\Google
2008-12-11 17:39 19,765 ----a-w c:\documents and settings\All Users\Application Data\jytoxiv.bat
2008-12-11 17:39 18,346 ----a-w c:\documents and settings\All Users\Application Data\xyqujad.pif
2008-12-11 17:39 18,297 ----a-w c:\windows\asiziv.sys
2008-12-11 17:39 18,098 ----a-w c:\windows\dybyzoseq.bin
2008-12-11 17:39 15,529 ----a-w c:\documents and settings\All Users\Application Data\uheqic.scr
2008-12-11 17:39 15,340 ----a-w c:\documents and settings\All Users\Application Data\jumi.exe
2008-12-11 17:39 15,161 ----a-w c:\windows\pynaco.vbs
2008-12-11 17:39 13,064 ----a-w c:\windows\system32\ahuwyso.bat
2008-12-11 17:39 12,876 ----a-w c:\program files\Fichiers communs\fubojogoda.dat
2008-12-11 17:39 12,867 ----a-w c:\documents and settings\Administrateur\Application Data\apoqop.sys
2008-12-11 17:39 12,423 ----a-w c:\documents and settings\All Users\Application Data\lame.dll
2008-12-11 17:39 12,392 ----a-w c:\windows\ularecafe.vbs
2008-12-11 04:53 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-11 04:53 --------- d-----w c:\program files\Java
2008-12-09 06:18 19,464 ----a-w c:\program files\Fichiers communs\lefabyg.scr
2008-12-09 06:18 17,582 ----a-w c:\documents and settings\Administrateur\Application Data\onaga.com
2008-12-09 06:18 15,397 ----a-w c:\program files\Fichiers communs\jonafigy.exe
2008-12-09 06:18 14,777 ----a-w c:\windows\ekykohisu.com
2008-12-09 06:18 14,645 ----a-w c:\windows\system32\xagypez.scr
2008-12-09 06:18 14,301 ----a-w c:\program files\Fichiers communs\ugac.bat
2008-12-09 06:18 13,415 ----a-w c:\program files\Fichiers communs\ywimidalak.dat
2008-12-09 06:18 12,886 ----a-w c:\documents and settings\All Users\Application Data\hyducud.bin
2008-12-08 19:30 --------- d-----w c:\program files\HP
2008-12-08 19:30 --------- d-----w c:\documents and settings\All Users\Application Data\HPSSUPPLY
2008-12-08 19:29 --------- d-----w c:\documents and settings\All Users\Application Data\HP Product Assistant
2008-12-08 19:28 --------- d-----w c:\program files\Hewlett-Packard
2008-12-08 19:19 --------- d-----w c:\documents and settings\All Users\Application Data\HP
2008-11-24 16:27 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-11-20 14:42 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 17:09 --------- d-----w c:\program files\CodeStuff
2008-11-17 17:20 103,936 ----a-w c:\windows\system32\ywwgudyx.dll
2008-11-17 17:20 103,936 ----a-w c:\windows\system32\vlzemy.dll
2008-11-17 17:16 --------- d-----w c:\program files\Crawler
2008-06-15 11:58 274,432 ----a-w c:\windows\system32\config\systemprofile\NTUSER(4).DAT
2008-06-15 11:58 274,432 ----a-w c:\windows\system32\config\systemprofile\NTUSER(3).DAT
2008-06-15 11:58 274,432 ----a-w c:\windows\system32\config\systemprofile\NTUSER(2).DAT
2008-06-14 07:34 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
.

------- Sigcheck -------

2004-08-18 08:09 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-11 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\6c88794d509]
2008-12-31 14:57 135168 c:\windows\system32\feclient32.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R4 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-06-14 282904]
R4 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-06-14 75272]
S0 eryusewx;eryusewx;c:\windows\system32\drivers\frzavt.sys --> c:\windows\system32\drivers\frzavt.sys [?]
S0 ujrwuvq;ujrwuvq;c:\windows\system32\drivers\teox.sys --> c:\windows\system32\drivers\teox.sys [?]
S1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-06-14 96520]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-08-10 31592]
S4 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe --> c:\progra~1\AVG\AVG8\avgemc.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'

2009-01-09 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe []
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.wanadoo.fr/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-12 19:00:22
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0DB0263F-A555-4853-AEF3-4D78331512B3}\InprocServer32]
@DACL=(02 0000)
@="c:\\WINDOWS\\system32\\mlJcbXRl.dll"
"ThreadingModel"="Both"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{CCEC5578-7749-4828-83B9-0D41B2FC699E}\InprocServer32]
@DACL=(02 0000)
@="c:\\WINDOWS\\system32\\geBsqQHB.dll"
"ThreadingModel"="Both"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(768)
c:\windows\System32\feclient32.dll
.
Heure de fin: 2009-01-12 19:01:34
ComboFix-quarantined-files.txt 2009-01-12 18:01:28
ComboFix2.txt 2009-01-12 17:39:21

Avant-CF: 2 508 242 944 octets libres
Après-CF: 2,508,333,056 octets libres

211
rt desolais du retard mais ca rame...
0
Réponse 4 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
/!\ Seul tartafionne81, peut suivre cette procédure /!\

1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :

KillAll::

Collect::[4]
c:\windows\system32\feclient32.dll

Driver::
eryusewx
ujrwuvq

File::
c:\windows\system32\2rg3.es
c:\windows\system32\ef3p.ee
c:\windows\system32\zred.pa
c:\windows\system32\4rr.pa
c:\windows\system32\gr1.e
c:\windows\system32\27.tmp
c:\windows\system32\34.tmp
c:\windows\system32\14.tmp
c:\windows\SET29.tmp
c:\windows\SET26.tmp
c:\windows\SET35.tmp
c:\windows\system32\AA.tmp
c:\windows\system32\F1.tmp
c:\windows\system32\D8.tmp
c:\windows\system32\BB.tmp
c:\windows\system32\97.tmp
c:\documents and settings\All Users\Application Data\jytoxiv.bat
c:\documents and settings\All Users\Application Data\xyqujad.pif
c:\windows\asiziv.sys
c:\windows\dybyzoseq.bin
c:\documents and settings\All Users\Application Data\uheqic.scr
c:\documents and settings\All Users\Application Data\jumi.exe
c:\windows\pynaco.vbs
c:\windows\system32\ahuwyso.bat
c:\program files\Fichiers communs\fubojogoda.dat
c:\documents and settings\Administrateur\Application Data\apoqop.sys
c:\documents and settings\All Users\Application Data\lame.dll
c:\windows\ularecafe.vbs
c:\program files\Fichiers communs\lefabyg.scr
c:\documents and settings\Administrateur\Application Data\onaga.com
c:\program files\Fichiers communs\jonafigy.exe
c:\windows\ekykohisu.com
c:\windows\system32\xagypez.scr
c:\program files\Fichiers communs\ugac.bat
c:\program files\Fichiers communs\ywimidalak.dat
c:\documents and settings\All Users\Application Data\hyducud.bin
c:\windows\system32\ywwgudyx.dll
c:\windows\system32\vlzemy.dll
c:\windows\Tasks\Maintenance en 1 clic.job
c:\windows\system32\drivers\frzavt.sys
c:\windows\system32\drivers\teox.sys
C:\WINDOWS\system32\maredusu.dll
C:\WINDOWS\system32\bifojezo.dll
C:\WINDOWS\system32\ifayitop.ini
C:\WINDOWS\system32\eroketiw.ini
C:\WINDOWS\system32\azesabav.ini

Folder::
c:\windows\system32\GroupPolicyManifest(3)
c:\windows\system32\GroupPolicyManifest(2)

DirLook::
c:\documents and settings\Administrateur\Historique
c:\documents and settings\LocalService\Historique
c:\windows\REG
c:\documents and settings\NetworkService\Historique
c:\windows\system32\config\systemprofile\Historique

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\6c88794d509]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLS"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{0DB0263F-A555-4853-AEF3-4D78331512B3}"=-
[HKEY_LOCAL_MACHINE\system\CurrentControlSet\Control\lsa]
"Authentication Packages"= hex(7):6d,73,76,31,5f,30,00,00

---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes

2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix\Combofix.txt
0
tartafionne81 Messages postés 13 Statut Membre
 
ComboFix 09-01-11.04 - Administrateur 2009-01-12 19:23:27.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.268 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AVG *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

FILE ::
c:\documents and settings\Administrateur\Application Data\apoqop.sys
c:\documents and settings\Administrateur\Application Data\onaga.com
c:\documents and settings\All Users\Application Data\hyducud.bin
c:\documents and settings\All Users\Application Data\jumi.exe
c:\documents and settings\All Users\Application Data\jytoxiv.bat
c:\documents and settings\All Users\Application Data\lame.dll
c:\documents and settings\All Users\Application Data\uheqic.scr
c:\documents and settings\All Users\Application Data\xyqujad.pif
c:\program files\Fichiers communs\fubojogoda.dat
c:\program files\Fichiers communs\jonafigy.exe
c:\program files\Fichiers communs\lefabyg.scr
c:\program files\Fichiers communs\ugac.bat
c:\program files\Fichiers communs\ywimidalak.dat
c:\windows\asiziv.sys
c:\windows\dybyzoseq.bin
c:\windows\ekykohisu.com
c:\windows\pynaco.vbs
c:\windows\SET26.tmp
c:\windows\SET29.tmp
c:\windows\SET35.tmp
c:\windows\system32\14.tmp
c:\windows\system32\27.tmp
c:\windows\system32\2rg3.es
c:\windows\system32\34.tmp
c:\windows\system32\4rr.pa
c:\windows\system32\97.tmp
c:\windows\system32\AA.tmp
c:\windows\system32\ahuwyso.bat
c:\windows\system32\azesabav.ini
c:\windows\system32\BB.tmp
c:\windows\system32\bifojezo.dll
c:\windows\system32\D8.tmp
c:\windows\system32\drivers\frzavt.sys
c:\windows\system32\drivers\teox.sys
c:\windows\system32\ef3p.ee
c:\windows\system32\eroketiw.ini
c:\windows\system32\F1.tmp
c:\windows\system32\gr1.e
c:\windows\system32\ifayitop.ini
c:\windows\system32\maredusu.dll
c:\windows\system32\vlzemy.dll
c:\windows\system32\xagypez.scr
c:\windows\system32\ywwgudyx.dll
c:\windows\system32\zred.pa
c:\windows\Tasks\Maintenance en 1 clic.job
c:\windows\ularecafe.vbs
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509C.manifest
c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509O.manifest
c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509P.manifest
c:\documents and settings\Administrateur\Application Data\[u]0/u2000000135e1b12509S.manifest
c:\documents and settings\Administrateur\Application Data\apoqop.sys
c:\documents and settings\Administrateur\Application Data\onaga.com
c:\documents and settings\All Users\Application Data\hyducud.bin
c:\documents and settings\All Users\Application Data\jumi.exe
c:\documents and settings\All Users\Application Data\jytoxiv.bat
c:\documents and settings\All Users\Application Data\lame.dll
c:\documents and settings\All Users\Application Data\uheqic.scr
c:\documents and settings\All Users\Application Data\xyqujad.pif
c:\program files\Fichiers communs\fubojogoda.dat
c:\program files\Fichiers communs\jonafigy.exe
c:\program files\Fichiers communs\lefabyg.scr
c:\program files\Fichiers communs\ugac.bat
c:\program files\Fichiers communs\ywimidalak.dat
c:\windows\asiziv.sys
c:\windows\dybyzoseq.bin
c:\windows\ekykohisu.com
c:\windows\GnuHashes.ini
c:\windows\pynaco.vbs
c:\windows\SET26.tmp
c:\windows\SET29.tmp
c:\windows\SET35.tmp
c:\windows\system32\14.tmp
c:\windows\system32\27.tmp
c:\windows\system32\2rg3.es
c:\windows\system32\34.tmp
c:\windows\system32\4rr.pa
c:\windows\system32\7.tmp
c:\windows\system32\97.tmp
c:\windows\system32\AA.tmp
c:\windows\system32\ahuwyso.bat
c:\windows\system32\BB.tmp
c:\windows\system32\D8.tmp
c:\windows\system32\ef3p.ee
c:\windows\system32\F1.tmp
c:\windows\system32\feclient32.dll
c:\windows\system32\gr1.e
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\GroupPolicyManifest
c:\windows\system32\GroupPolicyManifest(2)
c:\windows\system32\GroupPolicyManifest(2)\14.music.mp3
c:\windows\system32\GroupPolicyManifest(2)\14.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest(2)\15.crack.zip
c:\windows\system32\GroupPolicyManifest(2)\15.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest(2)\16.video.zip
c:\windows\system32\GroupPolicyManifest(2)\16.video.zip.kwd
c:\windows\system32\GroupPolicyManifest(2)\17.setup.zip
c:\windows\system32\GroupPolicyManifest(2)\17.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest(2)\18.unpack.zip
c:\windows\system32\GroupPolicyManifest(2)\18.unpack.zip.kwd
c:\windows\system32\GroupPolicyManifest(2)\19.keygen.zip
c:\windows\system32\GroupPolicyManifest(2)\19.keygen.zip.kwd
c:\windows\system32\GroupPolicyManifest(2)\20.serial.zip
c:\windows\system32\GroupPolicyManifest(2)\20.serial.zip.kwd
c:\windows\system32\GroupPolicyManifest(2)\22.mpgvideo.mpg
c:\windows\system32\GroupPolicyManifest(2)\22.mpgvideo.mpg.kwd
c:\windows\system32\GroupPolicyManifest(3)
c:\windows\system32\GroupPolicyManifest(3)\14.music.mp3
c:\windows\system32\GroupPolicyManifest(3)\14.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest(3)\15.crack.zip
c:\windows\system32\GroupPolicyManifest(3)\15.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest(3)\16.video.zip
c:\windows\system32\GroupPolicyManifest(3)\16.video.zip.kwd
c:\windows\system32\GroupPolicyManifest(3)\17.setup.zip
c:\windows\system32\GroupPolicyManifest(3)\17.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest(3)\18.unpack.zip
c:\windows\system32\GroupPolicyManifest(3)\18.unpack.zip.kwd
c:\windows\system32\GroupPolicyManifest(3)\19.keygen.zip
c:\windows\system32\GroupPolicyManifest(3)\19.keygen.zip.kwd
c:\windows\system32\GroupPolicyManifest(3)\20.serial.zip
c:\windows\system32\GroupPolicyManifest(3)\20.serial.zip.kwd
c:\windows\system32\GroupPolicyManifest(3)\22.mpgvideo.mpg
c:\windows\system32\GroupPolicyManifest(3)\22.mpgvideo.mpg.kwd
c:\windows\system32\GroupPolicyManifest\14.music.mp3
c:\windows\system32\GroupPolicyManifest\14.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest\15.crack.zip
c:\windows\system32\GroupPolicyManifest\15.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest\16.video.zip
c:\windows\system32\GroupPolicyManifest\16.video.zip.kwd
c:\windows\system32\GroupPolicyManifest\17.setup.zip
c:\windows\system32\GroupPolicyManifest\17.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest\18.unpack.zip
c:\windows\system32\GroupPolicyManifest\18.unpack.zip.kwd
c:\windows\system32\GroupPolicyManifest\19.keygen.zip
c:\windows\system32\GroupPolicyManifest\19.keygen.zip.kwd
c:\windows\system32\GroupPolicyManifest\20.serial.zip
c:\windows\system32\GroupPolicyManifest\20.serial.zip.kwd
c:\windows\system32\GroupPolicyManifest\22.mpgvideo.mpg
c:\windows\system32\GroupPolicyManifest\22.mpgvideo.mpg.kwd
c:\windows\system32\vlzemy.dll
c:\windows\system32\xagypez.scr
c:\windows\system32\ywwgudyx.dll
c:\windows\system32\zred.pa
c:\windows\Tasks\Maintenance en 1 clic.job
c:\windows\ularecafe.vbs

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_eryusewx
-------\Service_ujrwuvq


((((((((((((((((((((((((((((( Fichiers créés du 2008-12-12 au 2009-01-12 ))))))))))))))))))))))))))))))))))))
.

2009-01-12 18:24 . 2009-01-12 18:24 <REP> d-------- C:\rsit
2009-01-12 16:52 . 2009-01-12 16:59 <REP> d-------- c:\program files\RegCleaner
2009-01-12 11:17 . 2009-01-12 15:55 <REP> d-------- c:\documents and settings\Administrateur\Historique
2009-01-11 09:21 . 2009-01-11 09:21 0 --a------ c:\windows\nsreg.dat
2009-01-09 14:26 . 2009-01-12 16:05 <REP> d---s---- c:\documents and settings\LocalService\Historique
2009-01-08 18:20 . 2009-01-08 18:20 <REP> d-------- c:\windows\REG
2009-01-08 17:47 . 2009-01-12 15:57 <REP> d---s---- c:\documents and settings\NetworkService\Historique
2009-01-08 17:36 . 2009-01-08 17:36 <REP> d---s---- c:\windows\system32\config\systemprofile\Historique
2009-01-08 17:34 . 2001-08-24 13:00 13,463,552 --a--c--- c:\windows\system32\DllCache\hwxjpn.dll
2009-01-08 17:33 . 2004-08-03 23:54 2,134,528 --a--c--- c:\windows\system32\DllCache\smtpsnap.dll
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\WindowsShell.Manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\wuaucpl.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\sapi.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\nwc.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 749 -rah----- c:\windows\system32\ncpa.cpl.manifest
2009-01-08 17:31 . 2009-01-08 17:31 488 -rah----- c:\windows\system32\logonui.exe.manifest
2009-01-08 17:27 . 2001-08-17 20:13 27,165 --a------ c:\windows\system32\drivers\fetnd5.sys
2009-01-08 17:25 . 2001-08-24 13:00 24,661 --a------ c:\windows\system32\spxcoins.dll
2009-01-08 17:25 . 2001-08-24 13:00 13,312 --a------ c:\windows\system32\irclass.dll
2009-01-08 17:25 . 2001-08-24 13:00 13,312 --a--c--- c:\windows\system32\DllCache\irclass.dll
2009-01-08 17:25 . 2009-01-11 09:19 4,566 --a------ c:\windows\imsins.BAK
2009-01-07 06:24 . 2009-01-07 06:24 <REP> d-------- c:\program files\Trend Micro
2008-12-14 10:14 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-14 10:14 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-12 18:25 --------- d-----w c:\program files\Wanadoo
2009-01-12 14:55 --------- d-----w c:\program files\LimeWire
2009-01-12 10:00 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2009-01-10 23:39 --------- d-----w c:\documents and settings\Administrateur\Application Data\LimeWire
2009-01-08 15:55 81,920 ----a-w c:\windows\system32\W32N50.dll
2009-01-08 15:55 17,134 ----a-w c:\windows\system32\PCANDIS5.sys
2009-01-05 17:14 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-05 16:58 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-12-21 16:20 --------- d-----w c:\documents and settings\Administrateur\Application Data\Azureus
2008-12-14 10:56 --------- d-----w c:\program files\BS.Player ControlBar
2008-12-14 09:14 --------- d-----w c:\program files\Malwarebytes' Anti-Malware
2008-12-14 09:01 --------- d-----w c:\program files\Google
2008-12-11 04:53 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-11 04:53 --------- d-----w c:\program files\Java
2008-12-08 19:30 --------- d-----w c:\program files\HP
2008-12-08 19:30 --------- d-----w c:\documents and settings\All Users\Application Data\HPSSUPPLY
2008-12-08 19:29 --------- d-----w c:\documents and settings\All Users\Application Data\HP Product Assistant
2008-12-08 19:28 --------- d-----w c:\program files\Hewlett-Packard
2008-12-08 19:19 --------- d-----w c:\documents and settings\All Users\Application Data\HP
2008-11-24 16:27 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-11-20 14:42 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 17:09 --------- d-----w c:\program files\CodeStuff
2008-11-17 17:16 --------- d-----w c:\program files\Crawler
2008-06-15 11:58 274,432 ----a-w c:\windows\system32\config\systemprofile\NTUSER(4).DAT
2008-06-15 11:58 274,432 ----a-w c:\windows\system32\config\systemprofile\NTUSER(3).DAT
2008-06-15 11:58 274,432 ----a-w c:\windows\system32\config\systemprofile\NTUSER(2).DAT
2008-06-14 07:34 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\documents and settings\Administrateur\Historique ----

2009-01-12 11:14 16384 --a------ c:\documents and settings\Administrateur\Historique\History.IE5\index.dat

---- Directory of c:\documents and settings\LocalService\Historique ----

2009-01-12 16:05 16384 --a------ c:\documents and settings\LocalService\Historique\History.IE5\index.dat
2009-01-12 16:05 113 ---hs---- c:\documents and settings\LocalService\Historique\History.IE5\desktop.ini
2009-01-12 16:05 113 ---hs---- c:\documents and settings\LocalService\Historique\desktop.ini

---- Directory of c:\documents and settings\NetworkService\Historique ----

2009-01-12 18:37 16384 --a------ c:\documents and settings\NetworkService\Historique\History.IE5\index.dat
2009-01-12 15:57 113 ---hs---- c:\documents and settings\NetworkService\Historique\History.IE5\desktop.ini
2009-01-12 15:57 113 ---hs---- c:\documents and settings\NetworkService\Historique\desktop.ini

---- Directory of c:\windows\REG ----

2004-09-05 18:01 23213 --a------ c:\windows\REG\OPT.reg

---- Directory of c:\windows\system32\config\systemprofile\Historique ----

2009-01-08 17:37 32768 --a------ c:\windows\system32\config\systemprofile\Historique\History.IE5\MSHist012009010820090109\index.dat
2009-01-08 17:37 32768 --a------ c:\windows\system32\config\systemprofile\Historique\History.IE5\index.dat
2009-01-08 17:36 113 ---hs---- c:\windows\system32\config\systemprofile\Historique\History.IE5\desktop.ini
2009-01-08 17:36 113 ---hs---- c:\windows\system32\config\systemprofile\Historique\desktop.ini


------- Sigcheck -------

2004-08-18 08:09 359040 7b11118b078b88f87183fe69eda43137 c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((( snapshot@2009-01-12_18.38.36.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-01-12 18:25:42 16,384 ----atw c:\windows\temp\Perflib_Perfdata_478.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-11 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ClearDocsOnExit"= 64 (0x40)
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoAutoUpdate"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R4 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-06-14 282904]
R4 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-06-14 75272]
S1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-06-14 96520]
S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2008-08-10 31592]
S4 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe --> c:\progra~1\AVG\AVG8\avgemc.exe [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.wanadoo.fr/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-12 19:25:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{0DB0263F-A555-4853-AEF3-4D78331512B3}\InprocServer32]
@DACL=(02 0000)
@="c:\\WINDOWS\\system32\\mlJcbXRl.dll"
"ThreadingModel"="Both"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{CCEC5578-7749-4828-83B9-0D41B2FC699E}\InprocServer32]
@DACL=(02 0000)
@="c:\\WINDOWS\\system32\\geBsqQHB.dll"
"ThreadingModel"="Both"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\FTRTSVC.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\Wanadoo\TaskBarIcon.exe
c:\progra~1\Wanadoo\Toaster.exe
c:\progra~1\Wanadoo\Inactivity.exe
c:\progra~1\Wanadoo\PollingModule.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-01-12 19:27:28 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-12 18:27:26
ComboFix2.txt 2009-01-12 18:01:35
ComboFix3.txt 2009-01-12 17:39:21

Avant-CF: 2 485 547 008 octets libres
Après-CF: 2,485,211,136 octets libres

339
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
tartafionne81 Messages postés 13 Statut Membre
 
je n'arrive pas a poster le rapport cela me marque chaque fois que je l'ai deja poster !!!!!!!! mais bon j'ai l'impression que ca marche mieux serit ce reparer ??? c'est cool encore merci pour tout par contre si ca recommence je reprends contact avec toi sans hesiter ...... bonne soiree et merci encore.
0
Réponse 6 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Ce n'est pas fini.

Envoie-moi le rapport sur destrio5@free.fr
0
Réponse 7 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Ok, je vais me renseigner par rapport à des fichiers que j'ai vu dans le rapport.

En attendant :

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

désolé de m'incruster.

Destrio, j'ai été jeté (BSOD), je suis revenu.
0
Destrio5 Messages postés 99820 Statut Modérateur 10 305 > Lyonnais92 Messages postés 25708 Statut Contributeur sécurité
 
Re,

Tu es peut-être infecté, besoin d'une désinfection ?

Je plaisante ;)
0
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > Destrio5 Messages postés 99820 Statut Modérateur
 
Re,

Nicolas pense que ceux là sont légitimes.
0
Destrio5 Messages postés 99820 Statut Modérateur 10 305 > Lyonnais92 Messages postés 25708 Statut Contributeur sécurité
 
J'ai vu ça sur ZHP.
0
Réponse 8 / 12
tartafionne81 Messages postés 13 Statut Membre
 
salut le rapport malwarebytes:Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1647
Windows 5.1.2600 Service Pack 2

13/01/2009 08:06:10
mbam-log-2009-01-13 (08-06-10).txt

Type de recherche: Examen rapide
Eléments examinés: 47195
Temps écoulé: 2 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 9 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer).

- En bas à droite, clique sur Démarrer Online-scanner.

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte.

- Accepte les Contrôles ActiveX.

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport.

- Pour t'aider à utiliser le scan en ligne :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message La licence de Kaspersky On-line Scanner est périmée, va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
0
tartafionne81 Messages postés 13 Statut Membre
 
salut bon apparemment ,j'ai plus de nouvelles de vous et de vos astuces donc dois je considerer que cela fonctionne pour moi ? c'est vrai que cela marche nettement mieux..... et je vous en remercie. par contre je t'ai poster plusieurs fois le rapport kapersky em message "privee" on va dire et pas de reponse !!!! de ta part .et je ne comprends pas pourquoi je n'arrive pas a le poster sur le site??? ca me met que je l'ai deja poster mais il n'apparait nulle part !!!!! enfin.... en tout cas merci a vous et votre patience et votre professionalisme.
0
Réponse 10 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Re,

Certains rapports sont bloqués car ils contiennent des "mots interdits".

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\QIJKLDE6\top[1].rdf
E:\Incomplete\T-5745425-eric pridz.mp3
E:\limewire\Alesk\kenza farah\rop dflow.mp3
E:\limewire\allumer le feu jhonny halliday.mp3
E:\mp3 limewire ancien\adriano celantano.mp3
E:\mp3 limewire ancien\ovalie y toros.mp3

:commands
[purity]
[emptytemp]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 11 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Je te conseille de poster un rapport par message.

1/

---> Menu Démarrer > Exécuter > Tape combofix /u et valide.

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

2/

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
tartafionne81
 
salut mais je pense que tu m'as deja fait faire ces manips !!!!
0
Réponse 12 / 12
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Le scan avec RSIT oui mais je voudrais voir comment ça a évolué.
0

Discussions similaires

Recevoir le code pour bénéficier de l internet gratuit
Jeannette ma fee -
Pierrecastor -

3 réponses
supprimer tor.jack android
sabinelouisonbruno -
akaloupile -

4 réponses
Code de connexion internet gratuit pour mobile
bara.991 -
lilidurhone -

1 réponse
Tor.Jack.Malware
Camille -
bazfile -

1 réponse
comment avoir internet gratuit et illimitées en 3G/4G
xxwebxx -
.dybala -

27 réponses