Sujet Précédent Sujet Suivant

Gravement virusé

$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention   -  
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,
Voila, après avoir écume tout les forums sur tout les sites possibles, j'en viens à poster le mien. J'ai attrapé un virus il y a à peu près une semaine. Dans un premier temps je n'ai pas pu faire les mises à jour de l'anti virus de Norton. J'avais également des alertes virus d'un logiciel intempestif que j'ai identifié comme sysguard dans la liste des taches et que j'ai éliminé.
Depuis j'ai toujours pas mal de problèmes, notamment:
- impossible d'ouvrir les liens dans firefox
- pop up en pagaille et pages blanches qui s'ouvrent
- impossible de faire les mises a jour des logiciels antivirus
- impossible d'installer HijackThis pour faire un diagnostique
- le mode sans echec n'affiche rien
- j'ai au démarrage un message d'erreur "csrcs introuvable"

Que faire ?

J'espère que quelqu'un prendra le temps de m'aider.

Merci beaucoup d'avance
A voir également:

17 réponses

Réponse 1 / 17
01331 Messages postés 409 Statut Membre 39
 
ok ok
1
Réponse 2 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Salut,

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
0
Réponse 3 / 17
01331 Messages postés 409 Statut Membre 39
 
salut,
ta cas formater
0
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
01331 ---> T'as qu'à la fermer ;)
0
Réponse 4 / 17
01331 Messages postés 409 Statut Membre 39
 
désoler mais je fait que proposer une solution
0
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
01331 ---> L'auteur du topic n'a pas demandé comment faire pour formater et réinstaller Windows. De plus, nous sommes dans le forum Virus/Sécurité et non Windows par exemple.
0
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention   > Destrio5 Messages postés 99820 Statut Modérateur
 
Merci de ton aide Destrio5.
J'ai finalement réussi à télécharger Combofix sur un autre ordinateur, car le mien refuse d'ouvrir le lien que tu m'as passé, ni d'ailleurs aucun autre lien pour télécharger Combofix.
L'installe est sur mon PC, mais quand je clique dessus, rien ne se passe. Il y a bien un processus actif appelé Combofix dans le gestionnaire des tâches, mais rien de visible à l'écran.
Que faire ?
0
Destrio5 Messages postés 99820 Statut Modérateur 10 305 > $Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Renomme-le en Ratatouille puis relance-le.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Bien joué Destrio5.
Après lancement du programme, voila le rapport complet de Combofix:

ComboFix 09-01-21.04 - Arthur Wetzel 2009-01-29 13:20:57.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.185 [GMT -2:00]
Lancé depuis: C:\Ratatouille.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated)
AV: Norton AntiVirus 2005 *On-access scanning disabled* (Updated)
FW: Norton Internet Worm Protection *enabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\ARTHUR~1\LOCALS~1\Temp\tmp1.tmp
c:\docume~1\ARTHUR~1\LOCALS~1\Temp\tmp2.tmp
C:\InfoSat.txt
c:\program files\Microsoft Common
c:\windows\9129837.exe
c:\windows\system32\drivers\TDSSxxou.sys
c:\windows\system32\dumweylp.dll
c:\windows\system32\edmcbj.dll
c:\windows\system32\efcDSJDW.dll
c:\windows\system32\fgtqedjx.ini
c:\windows\system32\fhedfq.dll
c:\windows\system32\gsvkesyp.ini
c:\windows\system32\hgxmhnfd.ini
c:\windows\system32\iifdcApM.dll
c:\windows\system32\jhpihk.dll
c:\windows\system32\knipkouo.dll
c:\windows\system32\kyqfwmgs.dll
c:\windows\system32\lvikkkwd.dll
c:\windows\system32\mcrh.tmp
c:\windows\system32\ndeijjtf.dll
c:\windows\system32\ngqyeb.dll
c:\windows\system32\plyewmud.ini
c:\windows\system32\qipfkfwn.dll
c:\windows\system32\rfgnsu.dll
c:\windows\system32\rtmbsnsm.dll
c:\windows\system32\sgmwfqyk.ini
c:\windows\system32\svschost.exe
c:\windows\system32\TDSSehds.log
c:\windows\system32\TDSSirwy.dll
c:\windows\system32\TDSSktao.dll
c:\windows\system32\TDSSnmxe.log
c:\windows\system32\TDSSocyn.dll
c:\windows\system32\TDSSqqon.dll
c:\windows\system32\TDSSravu.dll
c:\windows\system32\TDSSsahu.dll
c:\windows\system32\TDSSwrhd.log
c:\windows\system32\TDSSwupn.dat
c:\windows\system32\WDJSDcfe.ini
c:\windows\system32\WDJSDcfe.ini2
c:\windows\Tasks\nhuknicp.job

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv.sys
-------\Legacy_TDSSserv.sys
-------\Legacy_new_drv

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-28 au 2009-01-29 ))))))))))))))))))))))))))))))))))))
.

2009-01-29 12:03 . 2009-01-29 10:57 3,048,418 -ra------ C:\Ratatouille.exe
2009-01-28 17:50 . 2009-01-28 18:55 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-28 17:50 . 2009-01-28 17:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-28 17:50 . 2008-05-05 20:46 27,048 --a------ c:\windows\system32\drivers\mbamcatchme.sys
2009-01-28 17:50 . 2008-05-05 20:46 15,864 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-28 11:49 . 2008-11-03 13:20 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-01-28 11:49 . 2008-11-03 13:20 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-01-28 11:49 . 2008-11-03 13:20 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-01-28 11:49 . 2008-11-03 13:20 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-01-28 11:49 . 2008-11-03 13:20 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-01-28 11:49 . 2008-11-03 13:20 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-01-28 11:49 . 2008-11-03 13:20 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-01-28 11:49 . 2009-01-28 11:49 <REP> d-------- c:\documents and settings\Administrateur
2009-01-28 10:52 . 2009-01-28 10:52 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-28 10:52 . 2009-01-29 12:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-27 14:35 . 2009-01-27 14:35 133,632 --a------ c:\windows\imaceweweciqusol.dll
2009-01-26 22:09 . 2009-01-26 22:09 <REP> d-------- c:\program files\Avira
2009-01-26 22:09 . 2009-01-26 22:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-01-25 20:59 . 2009-01-25 20:59 88,576 --a------ c:\windows\system32\svñshost.exe
2009-01-25 20:58 . 2009-01-29 13:27 93,420 --a------ c:\windows\system32\drivers\4f375517.sys
2009-01-25 20:58 . 2009-01-25 20:58 0 --a------ c:\windows\mqcd.dbt
2009-01-25 20:57 . 2009-01-25 20:57 579,584 --a------ c:\windows\system32\dllcache\user32.dll
2009-01-25 20:57 . 2009-01-25 20:57 77,312 --a------ c:\windows\system32\f3g.e
2009-01-25 20:57 . 2009-01-26 08:28 39,936 --a------ c:\windows\Wculamanewoh.dll
2009-01-25 20:57 . 2009-01-25 20:57 32,768 --a------ c:\windows\system32\zd.zag
2009-01-25 20:57 . 2009-01-25 20:57 32,768 --a------ c:\windows\system32\f2djq.as
2009-01-25 20:57 . 2009-01-25 20:57 28,672 --a------ c:\windows\system32\do8d.sr
2009-01-25 20:57 . 2009-01-25 20:57 28,672 --a------ c:\windows\system32\dedwf.lp
2009-01-25 20:57 . 2009-01-25 20:57 0 -rahs---- C:\khs
2009-01-25 20:56 . 2009-01-25 20:56 1,881 -rahs---- c:\windows\system32\autorun.i
2009-01-25 20:56 . 2009-01-25 20:56 1,481 -rahs---- c:\windows\system32\autorun.in
2009-01-25 20:30 . 2009-01-25 20:30 <REP> d-------- c:\windows\system32\IOSUBSYS
2009-01-21 16:15 . 2009-01-29 12:48 49 --a------ c:\windows\NeroDigital.ini
2009-01-20 18:12 . 2009-01-20 18:12 <REP> d-------- c:\documents and settings\Arthur Wetzel\Application Data\Foxit
2009-01-20 18:11 . 2009-01-20 18:11 <REP> d-------- c:\program files\Foxit Software
2009-01-16 14:08 . 2009-01-16 14:09 <REP> d-------- c:\documents and settings\Arthur Wetzel\Application Data\Ahead
2009-01-16 11:36 . 2009-01-16 11:36 <REP> d-------- c:\documents and settings\All Users\Application Data\Ahead
2009-01-16 11:32 . 2009-01-16 11:32 <REP> d-------- c:\program files\Nero
2009-01-16 11:32 . 2009-01-16 11:36 <REP> d-------- c:\program files\Fichiers communs\Ahead
2009-01-16 11:32 . 2009-01-16 11:32 <REP> d-------- c:\documents and settings\All Users\Application Data\Nero
2009-01-13 13:32 . 2009-01-13 13:33 <REP> d-------- c:\documents and settings\Arthur Wetzel\Application Data\U3
2009-01-07 17:48 . 2008-04-13 21:33 21,504 --a------ c:\windows\system32\hidserv.dll
2009-01-07 17:48 . 2008-04-13 21:33 21,504 --a------ c:\windows\system32\dllcache\hidserv.dll
2009-01-05 20:33 . 2009-01-05 20:33 3,751,995 --a------ c:\windows\system32\GPhotos.scr
2008-12-30 09:35 . 2008-12-30 09:35 <REP> d-------- c:\program files\Canon

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 13:18 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
2009-01-27 15:08 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\uTorrent
2009-01-25 22:30 --------- d-----w c:\program files\Google
2009-01-23 22:51 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\Skype
2009-01-23 22:00 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\skypePM
2009-01-16 20:03 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-01-16 13:27 --------- d-----w c:\program files\Free Easy Burner
2009-01-06 09:28 --------- d-----w c:\program files\Songbird
2009-01-06 09:27 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-05 00:22 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\BSplayer
2009-01-02 00:35 --------- d-----w c:\program files\CCleaner
2008-12-29 19:26 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\RegistryClear
2008-12-21 14:37 --------- d-----w c:\program files\Jasc Software Inc
2008-12-14 18:22 --------- d-----w c:\program files\Fichiers communs\Real
2008-12-14 18:21 --------- d-----w c:\program files\LogWare
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-06 18:57 --------- d-----w c:\program files\MIKSOFT
2008-12-06 17:52 --------- d-----w c:\program files\Real
2008-12-06 13:28 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\LimeWire
2008-12-05 20:00 --------- d-----w c:\program files\Yahoo!
2008-12-04 12:40 --------- d-----w c:\program files\NOS
2008-12-04 12:40 --------- d-----w c:\documents and settings\All Users\Application Data\NOS
2008-12-03 21:53 --------- d-----w c:\program files\Microsoft Visual Studio 8
2008-12-03 21:42 --------- d-----w c:\program files\D-Tools
2008-12-03 19:20 --------- d-----w c:\program files\Java
2008-12-01 00:38 --------- d-----w c:\program files\Audacity
2008-11-30 00:12 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\vlc
2008-11-30 00:10 --------- d-----w c:\program files\DMV
2008-11-30 00:10 --------- d-----w c:\documents and settings\Arthur Wetzel\Application Data\DMV Technologies
2008-11-04 00:39 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-12-17 2107224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2004-09-21 81920]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-01-12 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-01-12 688218]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 339968]
"HControl"="c:\windows\ATK0100\HControl.exe" [2005-02-04 98304]
"Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2008-11-03 100056]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2008-01-31 58728]
"Vrapamujumuqo"="c:\windows\Wculamanewoh.dll" [2009-01-26 39936]
"Vkesitatuxofumu"="c:\windows\imaceweweciqusol.dll" [2009-01-27 133632]
"SoundMan"="SOUNDMAN.EXE" [2005-03-07 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
ASUS ChkMail.lnk - c:\program files\ASUS\Asus ChkMail\ChkMail.exe [2008-11-03 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2008-06-12 13:28 266497 c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccapp]
--a------ 2008-01-31 12:56 58728 c:\program files\Fichiers communs\Symantec Shared\CCAPP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\incd]
--a------ 2007-05-15 12:55 1057328 c:\program files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vkesitatuxofumu]
--a------ 2009-01-27 14:35 133632 c:\windows\imaceweweciqusol.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vrapamujumuqo]
--a------ 2009-01-26 08:28 39936 c:\windows\Wculamanewoh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"62517:TCP"= 62517:TCP:utorrent
"62517:UDP"= 62517:UDP:UTORR2

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{963836e0-cbbc-11dd-be70-00150006f1e4}]
\Shell\AutoRun\command - I:\uoncfw.exe
\Shell\explore\Command - I:\uoncfw.exe
\Shell\open\Command - I:\uoncfw.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad191b81-a9a3-11dd-8578-806d6172696f}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - c:\c\RESYCLED\BOOT.COM C:\C

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ae697bf0-a9c1-11dd-857b-00150006f1e4}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com f:
\Shell\Open\command - resycled\boot.com f:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebc6e0b0-a9e9-11dd-857f-00150006f1e4}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - c:\c\RESYCLED\BOOT.COM C:\C

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebc6e0b2-a9e9-11dd-857f-00150006f1e4}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - c:\c\RESYCLED\BOOT.COM C:\C
.
Contenu du dossier 'Tâches planifiées'

2009-01-23 c:\windows\Tasks\Norton AntiVirus - Analyser mon ordinateur - Arthur Wetzel.job
- c:\progra~1\NORTON~1\Navw32.exe [2005-11-22 11:04]

2008-12-14 c:\windows\Tasks\RegistryClear Scheduled Scan.job
- c:\program files\RegistryClear\RegistryClear.exe []

2008-12-14 c:\windows\Tasks\RegistryClear Scheduled Scan.job
- c:\program files\RegistryClear []
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{65097674-60c5-42e0-97f3-a266f3ef1401} - (no file)
BHO-{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} - c:\windows\system32\iifdcApM.dll
BHO-{72053bed-836c-4f54-a007-62873a106017} - (no file)
BHO-{84998ed9-0c27-44a6-bcf5-d4ad004577d5} - c:\windows\system32\efcDSJDW.dll
BHO-{ae26aac6-1467-47aa-ba68-b73f7100f63d} - (no file)
BHO-{c5bf49a2-94f3-42bd-f434-3604812c8955} - (no file)
HKCU-Run-svschost.exe - c:\windows\system32\svschost.exe
SharedTaskScheduler-{C5BF49A2-94F3-42BD-F434-3604812C8955} - (no file)
ShellExecuteHooks-{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - c:\windows\system32\iifdcApM.dll
Notify-iifdcapm - (no file)
MSConfigStartUp-svschost - c:\windows\system32\svschost.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearch Bar = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {E3E2E08B-3C8B-47EF-A515-FC49BA6B8C6B} = 208.48.246.4
DPF: {193c772a-87be-4b19-a7bb-445b226fe9a1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
FF - ProfilePath - c:\documents and settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?hl=fr&source=iglk
FF - plugin: c:\program files\Google\Picasa3\npPicasa2.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 13:26:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\4f375517]
"ImagePath"="\SystemRoot\System32\drivers\4f375517.sys"
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Fichiers communs\Symantec Shared\CCSETMGR.EXE
c:\program files\Fichiers communs\Symantec Shared\SNDSrvc.exe
c:\program files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
c:\program files\Fichiers communs\Symantec Shared\CCEVTMGR.EXE
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Nero\Nero 7\InCD\InCDsrv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Norton AntiVirus\NAVAPSVC.EXE
c:\program files\Norton AntiVirus\IWP\NPFMNTOR.EXE
c:\program files\Symantec\LiveUpdate\AluSchedulerSvc.exe
c:\program files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\rundll32.exe
c:\windows\ATK0100\ATKOSD.exe
c:\program files\Messenger\msmsgs.exe
.
**************************************************************************
.
Heure de fin: 2009-01-29 13:37:29 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-29 15:37:24

Avant-CF: 6,040,494,080 octets libres
Après-CF: 6,011,420,672 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

306 --- E O F --- 2009-01-16 20:03:50
0
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Bon en tout cas un grand merci Destrio05, mon ordi est debarassé de tous les problèmes qu'il y avait.
0
Réponse 6 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Je t'ai envoyé un message en mp.
0
Réponse 7 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
- Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (Avec Internet Explorer).

- En bas à droite, clique sur Démarrer Online-scanner.

- Dans la nouvelle fenêtre qui s'affiche, clique sur J'accepte.

- Accepte les Contrôles ActiveX.

- Choisis Poste de travail pour le scan.

- Celui-ci terminé, sauvegarde (Choisis fichier texte) et poste le rapport.

- Pour t'aider à utiliser le scan en ligne : Lien

Note : Si tu reçois le message La licence de Kaspersky On-line Scanner est périmée, va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
0
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, February 03, 2009 10:12:43 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 3/02/2009
Enregistrements dans la base antivirus Kaspersky : 1568891
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse:
Total d'objets analysés: 59019
Nombre de virus trouvés: 9
Nombre d'objets infectés: 19 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:10:59

Nom de l'objet infecté / Nom du virus / Dernière action
C:\C\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\Common Client\settings.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2009-02-03_Log.ALUSchedulerSvc.LiveUpdate L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\content-prefs.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\cookies.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\downloads.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\formhistory.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\permissions.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\places.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\places.sqlite-journal L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\urlclassifier3.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Application Data\Mozilla\Firefox\Profiles\2jbe504u.default\XUL.mfl L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Historique\History.IE5\MSHist012009020320090204\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\temp\etilqs_Y2unvQGw4FrAYYHllWGT L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\temp\Perflib_Perfdata_bf8.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Arthur Wetzel\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcrst.dll L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDALRT.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDCON.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDDBG.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDFW.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDIDS.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SNDSYS.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPPolicy.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPStart.log L'objet est verrouillé ignoré
C:\Program Files\Fichiers communs\Symantec Shared\SPStop.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVApp.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVError.log L'objet est verrouillé ignoré
C:\Program Files\Norton AntiVirus\AVVirus.log L'objet est verrouillé ignoré
C:\Qoobox\Quarantine\C\WINDOWS\9129837.exe.vir Infecté : Trojan-PSW.Win32.Papras.ih ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip/TDSSxxou.sys Infecté : Backdoor.Win32.TDSS.bkw ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\__.zip ZIP: infecté - 1 ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\dumweylp.dll.vir Infecté : Trojan.Win32.Pakes.mun ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\svschost.exe.vir Infecté : Worm.Win32.AutoRun.yvq ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSirwy.dll.vir Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSktao.dll.vir Infecté : Backdoor.Win32.TDSS.blh ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSocyn.dll.vir Infecté : Rootkit.Win32.TDSS.dbg ignoré
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSravu.dll.vir Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP0\A0000001.dll Infecté : Backdoor.Win32.TDSS.blh ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP0\A0000002.dll Infecté : Backdoor.Win32.TDSS.asz ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP0\A0000003.dll Infecté : Backdoor.Win32.TDSS.atb ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP0\A0000004.dll Infecté : Rootkit.Win32.TDSS.dbg ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP0\A0000020.exe Infecté : Trojan-PSW.Win32.Papras.ih ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP0\A0000021.exe Infecté : Worm.Win32.AutoRun.yvq ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP0\A0000022.dll Infecté : Trojan.Win32.Pakes.mun ignoré
C:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP6\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\2Q86J2UA\soft[1].exe Infecté : Worm.Win32.AutoRun.yvq ignoré
C:\WINDOWS\system32\dllcache\user32.dll Infecté : Trojan.Win32.Patched.dr ignoré
C:\WINDOWS\system32\drivers\4f375517.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\svñshost.exe Infecté : Worm.Win32.AutoRun.yvq ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_31c.dat L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{256ED009-C31F-497A-8215-825C9143BCA2}\RP6\change.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 8 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
Réponse 9 / 17
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
03/02/2009 23:03:28
mbam-log-2009-02-03 (23-03-28).txt

Type de recherche: Examen rapide
Eléments examinés: 53520
Temps écoulé: 2 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vrapamujumuqo (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vkesitatuxofumu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Wculamanewoh.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\imaceweweciqusol.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\svñshost.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
0
Réponse 10 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Redémarre et refais un scan rapide avec MBAM.
0
Réponse 11 / 17
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
D'après Kaspersky il n'y a plus de fichiers inféctés.
Merci beaucoup Destrio !!
0
Réponse 12 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Relance MBAM, va dans Quarantaine et supprime tout.

---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau.
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.
0
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 14/02/2009 at 20:39

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


[b]Infected user32.dll Found![/b]

user32.dll File Locations:

"C:\WINDOWS\$NtServicePackUninstall$\user32.dll" 578048 05/08/2004 14:00
"C:\WINDOWS\ServicePackFiles\i386\user32.dll" 579584 14/04/2008 00:33
"C:\WINDOWS\system32\user32.dll" 579584 14/04/2008 00:33
"C:\WINDOWS\system32\dllcache\user32.dll" 579584 25/01/2009 20:57

[C:\WINDOWS\$NtServicePackUninstall$\user32.dll] E46FB493E3B33704F0715020CF52106B
[C:\WINDOWS\ServicePackFiles\i386\user32.dll] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\system32\user32.dll] E853F84D3CE2FAA2A802E33CF89AC023
[C:\WINDOWS\system32\dllcache\user32.dll] E5E1B70F525BEC6650DD39AF87A51696




Note: SDFix does not repair this file!



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-14 20:43:20
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Fri 21 Nov 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 25 Jan 2009 9,934,392 A..H. --- "C:\Program Files\Google\Picasa3\setup.exe"
Tue 9 Dec 2008 25,839,664 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c06ee28d8d3322676c2cd7acbad74c37\BIT7.tmp"
Mon 3 Nov 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\38ee4771349e51483451e2d031857451\download\BIT3.tmp"
Thu 16 Aug 2007 570,368 A..H. --- "C:\Documents and Settings\Arthur Wetzel\Mes documents\Pro\Stage\rapport de stage G2\~WRL3427.tmp"
Tue 23 Oct 2007 765,952 A..H. --- "C:\Documents and Settings\Arthur Wetzel\Mes documents\Pro\Stage\rapport de stage G2\~WRL3844.tmp"

[b]Finished![/b]
0
Réponse 13 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Fais analyser les fichiers suivants :
- C:\WINDOWS\system32\user32.dll
- C:\WINDOWS\system32\dllcache\user32.dll

---> Sur VirusTotal et poste les liens des analyses :
https://www.virustotal.com/gui/
0
Réponse 14 / 17
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
http://www.virustotal.com/fr/analisis/a4e3e80883954f7a504ff98a02cbc36f

Le second fichier je n'arrive pas à le trouver car le dossier dllcache n'apparait pas
0
Réponse 15 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
L'auteur d'UsbFix ayant retiré son programme (UsbFix), je prends la responsabilité de te le faire utiliser. Merci aux autres de ne pas utiliser le lien de téléchargement donné.

--> Télécharge UsbFix sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Nettoyage).

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
0
Réponse 16 / 17
$Ratatouille$ Messages postés 10 Date d'inscription   Statut Membre Dernière intervention  
 
Le problème c'est que quand je branche mon disque dur externe sur l'ordi, il boot dessus au redemarrage et n'arrive pas à demarrer, il affiche un message windows 98 puis plus rien.
0
Réponse 17 / 17
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
A ce moment-là, branche-le quand ta session charge.
0