Dmari.exe

Krimou -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,que faut -il faire pour se débarasser de ( dmari.exe) qui vient de s'installer dans mon p c je n'ai pas pu le supprimer Aider moi et merci infiniment
Configuration: Windows XP
Internet Explorer 7.0

13 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu es encore plus infecté que ce que j'avais vu

    ===========

    pourquoi je ne vois pas d'antivirus ?

    ================
    Je veux vérifier les sécurités de l'ordi qui te sers pour communiquer.

    Fais ça :

    Télécharge Security Check de screen317 ici :

    http://screen317.spywareinfoforum.org/

    et enregistre le sur ton Bureau.

    * Décompresse SecurityCheck.zip; un dossier nommé Security Check doit apparaître.
    * Ouvre le dossier Security Check et double-clique sur Security Check.bat
    * Suis les instructions affichées à l'écran (dans la fenêtre sur fond noir).
    Pendant l'étape "DNS Vulnerability Check: / Vulnérabilité DNS", le processus DIG.exe va demander une connexion en sortie, donne l'autorisation s'il te plaît.
    * Un document texte appelé checkup.txt va s'ouvrir automatiquement dans le Bloc-notes (Notepad); merci de poster le contenu de ce document.

    ================

    La suite sur l'ordi infecté (en passant par l'autre ordi).

    ================

    Télécharge LSPfix ici :
    http://www.cexx.org/LSPFix.exe

    Tu le recopies sur l'ordi infecté.

    Lance LSPfix et agrandis la fenêtre qui, par défaut, est trop petite et fait apparaître les ascenseurs horizontaux et verticaux, masquant un bouton.
    Déconnecte toi d'Internet et ferme toutes les instances (fenêtres) Internet Explorer.
    Coche la case "I know what I'm doing" ("Je sais ce que je fais" ).
    Sélectionne toutes les instances de la dll suivantes :

    XXXXX.dll (présente en 010)

    et fais les glisser du panneau de gauche, appelé "keep" au panneau de droite, appelé "Remove".

    Clique sur le bouton [Finish].

    Redémarre l'ordinateur.

    =============

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    c:\windows\system32\umvaxpuh.exe
    c:\windows\system32\apze.exe
    c:\windows\system32\bzmrbskj.exe
    c:\windows\system32\qzrbn.exe
    c:\windows\system32\chert6-303369.exe
    c:\windows\Hhugireyiluyi.dll
    C:\tezzzt.exe
    C:\dmari.exe
    C:\qquge.scr
    C:\xhe.exe
    c:\windows\winav.exe
    C:\ofof.exe
    c:\windows\system32\ْْ
    c:\windows\bwUnin-6.1.4.36-8876480L.exe

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "win system"=-
    "Cbadofeseduz"=-

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\dmari.exe"=

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
    1
    1. le dauphin 38
       
      J'ai deja retrouvé la connection internet , mais je veux continuer pour voir si tout est ok et en antivirus j'ai doctor .
      spywares.
      je te tiens au courant
      0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    .

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    permets moi d'en douter, sauf si tu as été aidé sur un autre forum.

    Je te conseille de poster le rapport demandé.
    0
    1. le dauphin 38
       
      J'ai fais ce que tu demandais et voila mon reslutat :</gras>

      Logfile of random's system information tool 1.05 (written by random/random)
      Run by DIDIER BOISSIEUX at 2009-02-04 10:59:02
      Microsoft Windows XP Édition familiale Service Pack 3
      System drive C: has 21 GB (56%) free of 38 GB
      Total RAM: 1279 MB (59% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 11:00:12, on 04/02/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16762)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\SYSTEM32\userinit.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\FTRTSVC.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\soundman.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\Program Files\Real\RealPlayer\RealPlay.exe
      C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
      C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\winav.exe
      C:\WINDOWS\system32\algs.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\dmari.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\PROGRA~1\Wanadoo\ComComp.exe
      C:\PROGRA~1\Wanadoo\Toaster.exe
      C:\PROGRA~1\Wanadoo\Inactivity.exe
      C:\PROGRA~1\Wanadoo\PollingModule.exe
      C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Canon\CAL\CALMAIN.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\WINDOWS\System32\alg.exe
      C:\PROGRA~1\Wanadoo\Watch.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
      C:\WINDOWS\explorer.exe
      D:\RSIT.exe
      C:\WINDOWS\System32\wbem\wmiprvse.exe
      C:\Program Files\Spyware Doctor\pctsGui.exe
      C:\Program Files\trend micro\DIDIER BOISSIEUX.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
      O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
      O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
      O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
      O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O4 - HKLM\..\Run: [SoundMan] soundman.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
      O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
      O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
      O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe
      O4 - HKLM\..\Run: [win system] C:\WINDOWS\winav.exe
      O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\system32\algs.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [Cbadofeseduz] rundll32.exe "C:\WINDOWS\Hhugireyiluyi.dll",e
      O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\dmari.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
      O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
      O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
      O10 - Unknown file in Winsock LSP: c:\windows\temp\ntdll64.dll
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
      O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
      O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
      O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
      O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
      O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Krimou
     
    J'ai résolu le probléme à l'aide de(Malwarebytes/Anti-Malware) avant même de lire la réponse de (Lyonnais 92)que je tiens à remercier de tous mon cœur pour sa coopération
    0
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour le dauphin 38,

    tu es sévèrement infecté.

    =====================

    ->Affiche tous les fichiers et dossiers :
    clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

    [Coche] « afficher les dossiers et fichiers cachés »

    [Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

    [Décoche] « masquer les extensions dont le type est connu »

    Puis fais [appliquer] pour valider les changements.

    Et [Ok]
    .

    =======================================

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\bzmrbskj.exe
    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
    ==========
    Tu fais la même chose avec chacun de ces fichiers :

    (tu me redonnes à chaque foisn le ,om du fichiern analysé. Merci.

    C:\WINDOWS\system32\qzrbn.exe
    C:\WINDOWS\system32\chert6-303369.exe
    C:\WINDOWS\Hhugireyiluyi.dll
    C:\WINDOWS\system32\303369.exe
    C:\tezzzt.exe
    C:\xhe.exe
    C:\ofof.exe
    C:\WINDOWS\Bbt97.INI
    C:\WINDOWS\QSync.INI

    ===============================

    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    * Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

    Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

    0
    1. le dauphin 38
       
      Re
      Je ne peux aller sur les sites que tu donnes car l'acces internet est bloqué.
      Comment puis je faire ?
      0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    on verra ensuite pour VirusTotal.

    Pour combofix, tu le télécharges sur un ordi sain. Tu le recopies sur une clé USB et tu le transfères sur l'ordi infecté pour l'exécuter.
    0
  8. le dauphin 38
     
    Pour combo fix
    ok mais il me dis que la console de recuperation de windows n'es pas installee mais pour l'installer une connection internet est indispensable !!!!!!!
    Alors toujours le meme soucis
    0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    tu as le CD de Windows et la clé de 25 caractères ?
    0
  10. le dauphin 38
     
    Voici l'analyse avec combo fixe

    ComboFix 09-02-04.01 - DIDIER BOISSIEUX 2009-02-05 9:37:30.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1279.960 [GMT 1:00]
    Lancé depuis: D:\ComboFix.exe
    AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated)

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\DIDIER~1\LOCALS~1\Temp\tmp1.tmp
    c:\docume~1\DIDIER~1\LOCALS~1\Temp\tmp2.tmp
    c:\windows\system32\303369.exe
    c:\windows\system32\ahtn.htm
    c:\windows\system32\algs.exe
    c:\windows\system32\drivers\seneka.sys
    c:\windows\system32\drivers\senekatiduriur.sys
    c:\windows\system32\frmwrk32.exe
    c:\windows\system32\ntdll64.exe
    c:\windows\system32\senekabmlewxns.dll
    c:\windows\system32\senekaippvlyap.dll
    c:\windows\system32\senekaqmucfdua.dll
    c:\windows\system32\senekarkcmycpk.dat
    c:\windows\system32\senekauwaokoov.dat
    c:\windows\system32\test.ttt
    c:\windows\system32\uniq.tll
    c:\windows\system32\warning.gif
    c:\windows\system32\win32hlp.cnf

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_SENEKA

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-05 au 2009-02-05 ))))))))))))))))))))))))))))))))))))
    .

    2009-02-05 08:58 . 2009-02-05 08:58 86,066 --a------ c:\windows\system32\umvaxpuh.exe
    2009-02-05 07:32 . 2009-02-05 07:32 86,066 --a------ c:\windows\system32\apze.exe
    2009-02-04 10:59 . 2009-02-04 11:00 <REP> d-------- C:\rsit
    2009-02-04 10:59 . 2009-02-04 11:00 <REP> d-------- c:\program files\trend micro
    2009-02-04 10:45 . 2009-02-04 10:45 29,184 --a------ c:\windows\system32\bzmrbskj.exe
    2009-02-03 11:54 . 2009-02-03 11:54 29,184 --a------ c:\windows\system32\qzrbn.exe
    2009-02-03 10:47 . 2009-02-03 10:47 <REP> d-------- c:\documents and settings\DIDIER BOISSIEUX\Tracing
    2009-02-03 10:45 . 2009-02-03 10:45 <REP> d-------- c:\program files\Microsoft
    2009-02-03 10:17 . 2009-02-03 10:17 41,472 --a------ c:\windows\system32\chert6-303369.exe
    2009-02-03 10:17 . 2009-02-03 10:17 41,472 --a------ c:\windows\Hhugireyiluyi.dll
    2009-02-03 10:04 . 2009-02-03 10:22 <REP> d-------- c:\windows\system32\config\systemprofile\Application Data\HPAppData
    2009-02-03 10:03 . 2009-02-03 10:02 125,440 --a--c--- c:\windows\system32\dllcache\userinit.exe
    2009-02-03 09:04 . 2009-02-03 09:04 <REP> d-------- c:\program files\Windows Live SkyDrive
    2009-02-03 09:03 . 2009-02-03 10:45 <REP> d-------- c:\program files\Windows Live
    2009-02-03 09:01 . 2009-02-03 09:01 <REP> d-------- c:\program files\Fichiers communs\Windows Live
    2009-02-03 08:35 . 2009-02-03 08:35 41,522 --a------ C:\tezzzt.exe
    2009-01-30 18:34 . 2009-01-30 18:35 <REP> d-------- c:\documents and settings\DIDIER BOISSIEUX\Application Data\MSN6
    2009-01-30 18:34 . 2009-01-30 18:34 <REP> d-------- c:\documents and settings\All Users\Application Data\MSN6
    2009-01-29 17:06 . 2009-02-04 08:44 86,066 --a------ C:\dmari.exe
    2009-01-29 16:09 . 2009-01-29 16:09 <REP> d--h----- c:\windows\PIF
    2009-01-28 20:44 . 2009-01-28 20:45 140,338 --a------ C:\qquge.scr
    2009-01-28 20:11 . 2009-01-28 20:17 102,912 --a------ C:\xhe.exe
    2009-01-28 19:55 . 2009-01-20 22:32 48,690 --a------ c:\windows\winav.exe
    2009-01-28 19:49 . 2009-01-28 19:49 102,912 --a------ C:\ofof.exe
    2009-01-27 19:59 . 2009-01-27 19:59 56 --a------ c:\windows\Bbt97.INI
    2009-01-27 19:53 . 2009-01-27 19:53 <REP> d-------- c:\program files\Ludi
    2009-01-17 13:57 . 2009-01-17 13:57 <REP> d-------- c:\program files\MSXML 4.0
    2009-01-17 09:23 . 2009-01-17 09:23 <REP> d-------- c:\documents and settings\DIDIER BOISSIEUX\Application Data\HP
    2009-01-17 09:22 . 2009-02-04 11:10 <REP> d-------- c:\documents and settings\DIDIER BOISSIEUX\Application Data\HPAppData
    2009-01-17 09:21 . 2009-01-17 09:21 <REP> d-------- c:\documents and settings\All Users\Application Data\WEBREG
    2009-01-17 09:19 . 2007-10-30 10:25 49,920 -ra------ c:\windows\system32\drivers\HPZid412.sys
    2009-01-17 09:19 . 2007-10-30 10:25 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys
    2009-01-17 09:18 . 2009-01-17 09:18 <REP> d-------- c:\documents and settings\All Users\Application Data\Hewlett-Packard
    2009-01-17 09:18 . 2007-11-08 15:52 271,704 -ra------ c:\windows\system32\hpzids01.dll
    2009-01-17 09:18 . 2007-10-20 18:25 117,760 --a------ c:\windows\system32\hpzll5mu.dll
    2009-01-17 09:17 . 2007-10-30 10:11 729,088 -ra------ c:\windows\system32\hpowiax7.dll
    2009-01-17 09:17 . 2007-10-30 10:11 581,632 -ra------ c:\windows\system32\hpotscl6.dll
    2009-01-17 09:17 . 2007-10-30 10:25 372,736 -ra------ c:\windows\system32\hppldcoi.dll
    2009-01-17 09:17 . 2007-10-30 10:25 309,760 -ra------ c:\windows\system32\difxapi.dll
    2009-01-17 09:17 . 2007-10-30 10:11 303,104 -ra------ c:\windows\system32\hpovst15.dll
    2009-01-17 09:17 . 2007-10-30 10:25 21,568 -ra------ c:\windows\system32\drivers\HPZius12.sys
    2009-01-17 09:09 . 2009-01-17 09:09 0 --a------ c:\windows\system32\ْْ
    2009-01-17 09:08 . 2009-01-17 09:08 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant
    2009-01-17 09:08 . 2009-01-17 09:10 <REP> d-------- c:\documents and settings\All Users\Application Data\HP
    2009-01-17 09:06 . 2009-01-17 09:06 <REP> d-------- c:\program files\Hewlett-Packard
    2009-01-17 09:05 . 2009-01-17 09:05 <REP> d-------- c:\program files\Fichiers communs\Hewlett-Packard
    2009-01-17 09:04 . 2009-01-17 09:04 <REP> d-------- c:\program files\Fichiers communs\HP
    2009-01-17 09:03 . 2009-01-17 09:20 <REP> d-------- c:\program files\HP
    2009-01-17 09:02 . 2008-04-13 19:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
    2009-01-17 09:02 . 2008-04-13 19:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
    2009-01-17 09:02 . 2008-04-13 19:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys
    2009-01-17 09:02 . 2008-04-13 19:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys
    2009-01-17 08:58 . 2009-01-17 09:23 177,917 --a------ c:\windows\hpoins27.dat
    2009-01-17 08:58 . 2008-01-18 16:56 932 --------- c:\windows\hpomdl27.dat
    2009-01-16 14:50 . 2009-01-16 14:50 <REP> d-------- c:\program files\Windows Media Connect 2
    2009-01-16 14:46 . 2009-01-16 14:46 <REP> d-------- c:\windows\system32\LogFiles
    2009-01-16 14:46 . 2009-01-16 14:48 <REP> d-------- c:\windows\system32\drivers\UMDF
    2009-01-07 11:59 . 2009-01-07 11:59 <REP> d-------- c:\program files\directx
    2009-01-07 11:59 . 2009-01-08 08:39 241 --a------ c:\windows\QSync.INI
    2009-01-07 11:57 . 2009-01-07 11:58 <REP> d-------- c:\program files\Fichiers communs\Logitech
    2009-01-07 11:56 . 2009-01-07 11:56 <REP> d-------- c:\program files\Real
    2009-01-07 11:56 . 2009-01-07 11:56 <REP> d-------- c:\program files\Fichiers communs\Real
    2009-01-07 11:56 . 2009-01-07 11:56 <REP> d-------- c:\program files\Fichiers communs\FotoWire
    2009-01-07 11:56 . 2009-01-07 11:56 <REP> d-------- C:\My Music
    2009-01-07 11:56 . 2009-01-07 11:56 <REP> d-------- c:\documents and settings\DIDIER BOISSIEUX\Application Data\FotoWire
    2009-01-07 11:56 . 2009-01-07 11:56 24,064 --a------ c:\windows\system32\prefscpl.cpl
    2009-01-07 11:55 . 2009-01-07 11:55 <REP> d-------- c:\program files\Windows Media Components
    2009-01-07 11:54 . 2009-01-07 12:04 <REP> d--h----- c:\windows\msdownld.tmp
    2009-01-07 11:52 . 2009-01-07 11:57 <REP> d-------- c:\program files\Logitech
    2009-01-07 11:52 . 2009-01-07 11:52 81,920 -r------- c:\windows\bwUnin-6.1.4.36-8876480L.exe
    2009-01-05 11:59 . 2009-01-05 11:59 <REP> d-------- c:\program files\Fichiers communs\Adobe
    2009-01-05 11:56 . 2009-01-06 07:44 <REP> d-------- c:\documents and settings\All Users\Application Data\NOS
    2009-01-05 11:55 . 2009-01-06 07:44 <REP> d-------- c:\program files\NOS

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-02-05 07:54 --------- d-----w c:\program files\Wanadoo
    2009-02-05 07:45 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
    2009-02-05 07:44 --------- d-----w c:\program files\Spyware Doctor
    2009-02-03 09:02 125,440 ----a-w c:\windows\system32\userinit.exe
    2009-01-14 19:45 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
    2009-01-14 15:06 --------- d-----w c:\program files\Google
    2009-01-07 10:57 --------- d--h--w c:\program files\InstallShield Installation Information
    2009-01-04 18:59 --------- d-----w c:\program files\Canon
    2009-01-04 18:55 --------- d-----w c:\program files\Fichiers communs\Canon
    2009-01-03 12:05 --------- d-----w c:\program files\VirtualDJ
    2009-01-03 11:17 --------- d-----w c:\program files\AvRack
    2009-01-02 23:54 160,792 ----a-w c:\windows\system32\drivers\pctfw2.sys
    2009-01-02 23:54 --------- d-----w c:\program files\Fichiers communs\PC Tools
    2009-01-02 23:54 --------- d-----w c:\documents and settings\All Users\Application Data\PC Tools
    2009-01-02 23:24 --------- d-----w c:\documents and settings\DIDIER BOISSIEUX\Application Data\PC Tools
    2009-01-02 23:06 --------- d-----w c:\program files\Microsoft Money
    2009-01-02 22:42 --------- d-----w c:\documents and settings\All Users\Application Data\IM
    2009-01-02 22:41 --------- d-----w c:\program files\IncrediMail
    2009-01-02 22:41 --------- d-----w c:\documents and settings\All Users\Application Data\IncrediMail
    2009-01-02 21:35 --------- d-----w c:\program files\MSBuild
    2009-01-02 21:35 --------- d-----w c:\program files\Microsoft Works
    2009-01-02 21:32 --------- d-----w c:\program files\Microsoft.NET
    2009-01-02 21:17 --------- d-----w c:\program files\MSECache
    2009-01-02 20:19 --------- d-----w c:\program files\WinASO
    2009-01-02 20:17 --------- d-----w c:\program files\QuickZip4
    2009-01-02 19:14 --------- d-----w c:\program files\SAGEM
    2009-01-02 19:13 --------- d-----w c:\program files\Securitoo
    2009-01-02 19:03 --------- d-----w c:\program files\Fichiers communs\InstallShield
    2009-01-02 19:03 --------- d-----w c:\program files\Avance Sound Manager
    2009-01-02 18:44 --------- d-----w c:\program files\microsoft frontpage
    2009-01-02 18:40 --------- d-----w c:\program files\Services en ligne
    2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
    2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll
    .

    ------- Sigcheck -------

    2004-08-20 00:10 25088 84717891f0734c611721f56c60b5fbc3 c:\windows\$NtServicePackUninstall$\userinit.exe
    2008-04-14 03:34 26624 e74ddb12188c2ff57a78624dbf7332fc c:\windows\ServicePackFiles\i386\userinit.exe
    2009-02-03 10:02 125440 1772539f6e73ddeafea9fe8f4c060fb6 c:\windows\system32\userinit.exe
    2009-02-03 10:02 125440 1772539f6e73ddeafea9fe8f4c060fb6 c:\windows\system32\dllcache\userinit.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-04 68856]
    "LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2009-01-07 16384]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]
    "WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2003-07-28 4841472]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2009-01-07 20480]
    "LVCOMS"="c:\program files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE" [2002-09-20 90112]
    "LogitechGalleryRepair"="c:\program files\Logitech\ImageStudio\ISStart.exe" [2002-09-11 155648]
    "LogitechImageStudioTray"="c:\program files\Logitech\ImageStudio\LogiTray.exe" [2002-09-11 45056]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
    "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
    "win system"="c:\windows\winav.exe" [2009-01-20 48690]
    "Cbadofeseduz"="c:\windows\Hhugireyiluyi.dll" [2009-02-03 41472]
    "SoundMan"="soundman.exe" [2001-05-29 c:\windows\soundman.exe]
    "nwiz"="nwiz.exe" [2003-07-28 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
    Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2009-01-07 169472]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
    "c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
    "c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
    "c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\dmari.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2009-01-03 160792]
    S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe --> c:\program files\NOS\bin\getPlus_HelperSvc.exe [?]
    S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-01-03 356920]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-Application Layer Gateway Service - c:\windows\system32\algs.exe
    HKLM-Run-Cmaudio - cmicnfg.cpl

    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.com/
    uInternet Settings,ProxyOverride = localhost
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    LSP: c:\windows\TEMP\ntdll64.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-02-05 09:39:58
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2009-02-05 9:42:21
    ComboFix-quarantined-files.txt 2009-02-05 08:42:16

    Avant-CF: 22,392,635,392 octets libres
    Après-CF: 22,563,983,360 octets libres

    228 --- E O F --- 2009-01-17 12:57:15
    0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    spyware doctor n'est pas un antivirus.

    Installe antivir :

    http://www.commentcamarche.net/telecharger/telecharger 55 antivir

    tutoriel ici :

    http://www.libellules.ch/tuto_antivir.php

    et tu fais le post 12 intégralement.
    0
    1. le dauphin 38
       
      Excuse mais j'etais loind echez moi pendant un long moment voila j'ai tout supprime j'avais de stonnes d echevaux d etrois que j'ai supprimer avec antivir ; et maintenat j'ai juste un soucis cela me amrque erreur de chargement de
      C:/WINDOWS/Hhugireyiluyi.dll
      J'ai eput etre efface un fichier quand antivir me le demandais car j'ai efface des trucs et voial ; mais antivir ma detecete des tas de merde que j'avais .
      0
  12. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    refais tourner RSIT et poste le rapport.
    0
    1. le dauphin 38
       
      Peux tu me dire ce qu'est rsit
      Et comment fait on ?
      Merci d'avance
      0