C:\WINDOWS\SYSTEM32
mdfgds0.dll

Question

Bonjour,

   Depuis une semaine,mn antivirus avast affiche le message suivant:" Suspicious files C:\WINDOWS\SYSTEM32
mdfgds0.dll" , type: Rootkit: hidden process.J'ai vu que " geoffrey5 " conseille de ne pas suivre les memes etapes que celles qu'il a donne a " merlin69 " qui avait le meme probleme que moi.Svp , geoffrey5, si vs pouvez m'aide ou quelqu'un d'autre.Merci

Veuillez m'excusez pour les accents, probleme avec mon qwert!

Windows xp
clavier qwert

Le sioux · Accepted Answer

Re

Pas de traces de nmdfgds0.dll via ce rapport, mais cela dit Vundo sait se rendre invisible d'HijackThis.

Une autre cochonnerie est par contre visible en O4.

On va passer à l'attaque :

/ !\ Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\ 

Tuto https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix.exe de sUBs sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

/ !\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils. / !\ 

    * Fais un double clic sur Combofix.exe & suis les invites.

    * Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
Accepte en cliquant sur "Oui"
Mets le en langue française F

    * Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

    * Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela te sera demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu devrais voir le message suivant:

http://img.photobucket.com/albums/v706/ried7/whatnext.png

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\ Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

@ suivre

Le sioux · Answer

Hello Ric

Commence par m’envoyer un rapport HijackThis, fais ce qui suit :

Télécharge  hijackthis sur ton Bureau.

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connexion Internet.

Double-clique dessus pour lancer l’installation . Accepte la licence qui va apparaître  par " I agree"

Puis clique sur "Do a system scan and save a logfile"

Ferme HijackThis et fais un copier-coller du rapport en entier et poste le ici en réponse.

Note : le rapport HijackThis.txt se trouve dans C:\Program Files\Trend Micro\HijackThis  

Tuto   https://forum.pcastuces.com/tutoriel_hijackthis_v_2002___tutoriel-f31s8.htm

On passera aux choses sérieuses par la suite ;)

@ suivre.

ric38 · Answer

Le Sioux, voici le raport Combofix.Je fais suivre le rapport Hijachthis .Merci encore une fois.

ComboFix 09-02-06.02 - Eric 2009-02-08 4:38:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.3070.2500 [GMT 1:00]
Running from: c:\documents and settings\Eric\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090205-1] *On-access scanning disabled* (Updated)

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\m0vnonh.bat
c:\windows\IE4 Error Log.txt
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\olhrwef.exe

.
((((((((((((((((((((((((( Files Created from 2009-01-08 to 2009-02-08 )))))))))))))))))))))))))))))))
.

2009-02-08 03:40 . 2009-02-08 03:40 <DIR> d-------- c:\program files\Trend Micro
2009-02-07 21:56 . 2008-10-16 14:09 43,544 --a------ c:\windows\system32\wups2.dll
2009-02-07 21:56 . 2008-10-16 14:09 31,768 --a------ c:\windows\system32\wucltui.dll.mui
2009-02-07 21:56 . 2008-10-16 14:07 23,576 --a------ c:\windows\system32\wuaucpl.cpl.mui
2009-02-07 21:56 . 2008-10-16 14:07 23,576 --a------ c:\windows\system32\wuapi.dll.mui
2009-02-07 21:56 . 2008-10-16 14:07 18,456 --a------ c:\windows\system32\wuaueng.dll.mui
2009-02-07 21:29 . 2009-02-07 21:40 <DIR> d-a------ c:\documents and settings\All Users\Application Data\TEMP
2009-02-07 21:28 . 2009-02-07 21:28 <DIR> d-------- c:\program files\Common Files\Download Manager
2009-02-04 23:44 . 2008-04-14 13:00 66,082 --a--c--- c:\windows\system32\dllcache\c_20297.nls
2009-02-04 23:44 . 2008-04-14 13:00 66,082 --a------ c:\windows\system32\c_20297.nls
2009-02-04 17:30 . 2009-02-04 17:30 <DIR> d-------- c:\windows\McAfee.com
2009-02-03 14:02 . 2009-02-03 14:02 <DIR> d-------- c:\program files\Xming
2009-02-03 13:30 . 2009-02-03 13:30 <DIR> d-------- c:\program files\Common Files\Younexus
2009-02-02 11:35 . 2009-02-04 23:23 <DIR> d-------- c:\windows\system32\NtmsData
2009-02-01 17:40 . 2009-02-01 17:40 109,930 -r-hs---- C:\a2h2.com
2009-02-01 14:29 . 2009-02-01 14:29 <DIR> d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
2009-02-01 14:04 . 2009-02-01 14:04 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_LUsbFilt_01005.Wdf
2009-02-01 14:04 . 2009-02-01 14:04 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2009-02-01 12:29 . 2009-01-31 15:11 109,127 -r-hs---- C:\hl80c6b1.com
2009-02-01 12:27 . 2009-02-01 14:28 664 --a------ c:\windows\system32\d3d9caps.dat
2009-01-29 19:37 . 2009-01-29 19:37 0 --a------ c:\windows\nsreg.dat
2009-01-28 23:33 . 2009-01-28 23:33 <DIR> d-------- c:\documents and settings\Eric\Application Data\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2009-01-28 22:01 . 2009-01-28 22:01 <DIR> d-------- c:\documents and settings\Eric\Application Data\Roxio
2009-01-28 19:04 . 2009-01-28 19:04 <DIR> d-------- c:\windows\Sun
2009-01-28 08:40 . 2009-01-28 08:40 <DIR> d-------- c:\documents and settings\All Users\Application Data\CyberLink
2009-01-27 22:19 . 2009-01-27 22:19 <DIR> d-------- c:\documents and settings\Guest\Application Data\Dell
2009-01-27 22:18 . 2009-01-22 18:58 <DIR> d-------- c:\documents and settings\Guest\Application Data\Logitech
2009-01-27 22:18 . 2009-01-22 18:55 <DIR> d-------- c:\documents and settings\Guest\Application Data\Intel
2009-01-27 22:18 . 2009-01-22 19:01 <DIR> d-------- c:\documents and settings\Guest\Application Data\InstallShield
2009-01-27 22:18 . 2009-01-22 19:10 <DIR> d-------- c:\documents and settings\Guest\Application Data\CyberLink
2009-01-27 22:18 . 2009-01-27 22:18 <DIR> d-------- c:\documents and settings\Guest
2009-01-27 19:27 . 2009-01-27 19:27 <DIR> d-------- c:\documents and settings\Eric\Application Data\Yahoo!
2009-01-27 19:27 . 2009-01-27 19:31 <DIR> d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-01-27 19:27 . 2009-01-27 19:29 <DIR> d-------- c:\documents and settings\All Users\Application Data\Yahoo!
2009-01-27 19:26 . 2009-01-27 19:27 <DIR> d-------- c:\program files\Yahoo!
2009-01-27 19:17 . 2009-01-27 19:17 <DIR> d-------- c:\program files\Microsoft
2009-01-27 19:17 . 2009-02-07 22:22 <DIR> d-------- c:\documents and settings\Eric\Tracing
2009-01-27 19:16 . 2009-01-27 19:16 <DIR> d-------- c:\program files\Windows Live SkyDrive
2009-01-27 19:16 . 2009-01-27 19:17 <DIR> d-------- c:\program files\Windows Live
2009-01-27 19:08 . 2009-01-27 19:08 <DIR> d-------- c:\program files\Common Files\Windows Live
2009-01-27 18:33 . 2009-01-27 18:33 <DIR> d---s---- c:\documents and settings\Eric\UserData
2009-01-27 18:26 . 2009-01-27 18:26 <DIR> d-------- c:\program files\Alwil Software
2009-01-27 17:26 . 2009-01-27 17:26 <DIR> d-------- c:\windows\Internet Logs
2009-01-27 17:25 . 2007-07-16 11:58 29,480 --------- c:\windows\system32\InstHelper.dll
2009-01-27 17:25 . 2009-01-27 17:25 8 --a------ c:\windows\system32\success
2009-01-27 17:24 . 2009-01-27 17:24 <DIR> d-------- c:\program files\Common Files\Deterministic Networks
2009-01-27 17:24 . 2009-01-27 17:24 <DIR> d-------- c:\program files\Cisco Systems
2009-01-27 17:24 . 2007-07-16 11:57 306,299 --a------ c:\windows\system32\drivers\CVPNDRVA.sys
2009-01-27 17:24 . 2007-07-16 11:58 197,408 --a------ c:\windows\system32\vpnapi.dll
2009-01-27 17:24 . 2007-07-16 11:58 193,312 --a------ c:\windows\system32\CSGina.dll
2009-01-27 17:24 . 2007-01-24 01:23 127,376 --a------ c:\windows\system32\drivers\dne2000.sys
2009-01-27 17:24 . 2007-01-24 01:23 101,904 --a------ c:\windows\system32\dneinobj.dll
2009-01-27 17:24 . 2007-01-18 15:28 5,275 --a------ c:\windows\system32\drivers\CVirtA.sys
2009-01-27 16:23 . 2008-04-14 00:15 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2009-01-27 16:04 . 2009-01-27 16:04 <DIR> d-------- c:\documents and settings\Eric\Application Data\Creative
2009-01-27 15:42 . 2009-01-22 18:58 <DIR> d-------- c:\windows\system32\config\systemprofile\Application Data\Logitech
2009-01-27 15:42 . 2009-01-22 19:01 <DIR> d-------- c:\windows\system32\config\systemprofile\Application Data\InstallShield
2009-01-27 15:42 . 2009-01-22 19:10 <DIR> d-------- c:\windows\system32\config\systemprofile\Application Data\CyberLink
2009-01-27 15:42 . 2009-01-22 18:58 <DIR> d-------- c:\documents and settings\Eric\Application Data\Logitech
2009-01-27 15:42 . 2009-01-22 18:55 <DIR> d-------- c:\documents and settings\Eric\Application Data\Intel
2009-01-27 15:42 . 2009-01-22 19:01 <DIR> d-------- c:\documents and settings\Eric\Application Data\InstallShield
2009-01-27 15:42 . 2009-01-27 15:42 <DIR> d-------- c:\documents and settings\Eric\Application Data\Dell
2009-01-27 15:42 . 2009-01-22 19:10 <DIR> d-------- c:\documents and settings\Eric\Application Data\CyberLink
2009-01-27 15:42 . 2009-02-03 13:00 <DIR> d-------- c:\documents and settings\Eric
2009-01-27 15:42 . 2008-04-14 13:00 221,184 --a------ c:\windows\system32\wmpns.dll
2009-01-27 15:22 . 2009-01-27 15:22 8,192 --a------ c:\windows\REGLOCS.OLD
2009-01-23 06:46 . 2009-01-23 06:46 <DIR> d-------- c:\program files\DellTPad
2009-01-23 06:45 . 2008-04-14 18:42 129,536 --a------ c:\windows\system32\ksproxy.ax
2009-01-23 02:42 . 2009-01-23 02:42 4,938 -rah----- C:\dell.sdr
2009-01-23 02:40 . 2009-01-27 17:12 <DIR> d-------- C:\DELL
2009-01-22 19:11 . 2009-01-22 19:11 0 --a------ c:\windows\tosOBEX.INI
2009-01-22 19:10 . 2009-01-22 19:10 <DIR> d-------- c:\documents and settings\Administrator\Application Data\CyberLink
2009-01-22 19:10 . 2009-01-22 19:10 61 --a------ c:\windows\smscfg.ini
2009-01-22 19:09 . 2009-01-22 19:09 333 --a------ c:\windows\system32\$ncsp$.inf
2009-01-22 19:07 . 2009-01-22 19:07 <DIR> d-------- c:\program files\Dell Support Center
2009-01-22 19:07 . 2009-01-22 19:07 <DIR> d-------- c:\program files\CyberLink
2009-01-22 19:07 . 2009-01-22 19:07 <DIR> d-------- c:\program files\Common Files\supportsoft
2009-01-22 19:07 . 2009-01-22 19:07 <DIR> d-------- c:\documents and settings\All Users\Application Data\SupportSoft
2009-01-22 19:07 . 2009-01-22 19:07 <DIR> d-------- c:\documents and settings\All Users\Application Data\Dell
2009-01-22 19:07 . 2008-05-23 15:06 1,047,552 --a------ c:\windows\system32\MFC71u.dll
2009-01-22 19:07 . 2008-05-23 15:06 89,088 --a------ c:\windows\system32\atl71.dll
2009-01-22 19:03 . 2009-01-22 19:03 <DIR> d-------- c:\program files\Microsoft.NET
2009-01-22 19:03 . 2009-01-22 19:03 <DIR> d-------- c:\program files\Microsoft Works
2009-01-22 19:03 . 2009-01-27 17:26 <DIR> d-------- c:\program files\Google
2009-01-22 19:02 . 2009-01-22 19:02 <DIR> d-------- c:\windows\SHELLNEW
2009-01-22 19:02 . 2009-01-28 22:31 <DIR> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-01-22 19:01 . 2009-01-22 19:01 <DIR> d-------- c:\program files\Sonic
2009-01-22 19:01 . 2009-01-22 19:01 <DIR> d-------- c:\program files\Roxio
2009-01-22 19:01 . 2009-01-22 19:01 <DIR> d-------- c:\program files\Common Files\SureThing Shared
2009-01-22 19:01 . 2009-01-22 19:01 <DIR> d-------- c:\documents and settings\All Users\Application Data\InstallShield
2009-01-22 19:00 . 2009-01-22 19:01 <DIR> d-------- c:\program files\Common Files\Sonic Shared
2009-01-22 19:00 . 2009-01-22 19:00 <DIR> d-------- c:\program files\Common Files\Roxio Shared
2009-01-22 19:00 . 2009-01-22 19:00 <DIR> d-------- c:\program files\Common Files\Adobe AIR
2009-01-22 19:00 . 2009-01-22 19:00 <DIR> d-------- c:\documents and settings\All Users\Application Data\Sonic
2009-01-22 18:59 . 2009-01-22 18:59 <DIR> d-------- c:\program files\Common Files\Adobe
2009-01-22 18:58 . 2009-02-06 16:01 <DIR> d-------- c:\program files\SetPoint
2009-01-22 18:58 . 2009-01-22 18:58 <DIR> d-------- c:\program files\Common Files\Logitech
2009-01-22 18:58 . 2009-01-22 18:58 <DIR> d-------- c:\documents and settings\All Users\Application Data\Logitech
2009-01-22 18:58 . 2009-01-22 18:58 <DIR> d-------- c:\documents and settings\Administrator\Application Data\Logitech
2009-01-22 18:58 . 2007-02-20 14:21 163,840 --a------ c:\windows\system32\kemutb.dll
2009-01-22 18:58 . 2007-02-20 14:21 131,072 --a------ c:\windows\system32\KemUtil.dll
2009-01-22 18:58 . 2007-02-20 14:21 110,592 --a------ c:\windows\system32\KemWnd.dll
2009-01-22 18:58 . 2007-01-11 20:15 101,136 --a------ c:\windows\KHALMNPR.Exe
2009-01-22 18:58 . 2007-02-20 14:21 69,632 --a------ c:\windows\system32\KemXML.dll
2009-01-22 18:58 . 2007-01-11 20:15 32,528 --a------ c:\windows\system32\drivers\LMouFilt.Sys
2009-01-22 18:58 . 2007-01-11 20:15 32,272 --a------ c:\windows\system32\drivers\LHidFilt.Sys
2009-01-22 18:58 . 2007-01-11 20:15 28,048 --a------ c:\windows\system32\drivers\LUsbFilt.sys
2009-01-22 18:58 . 2005-08-12 17:50 16,128 --a------ c:\windows\system32\drivers\APPDRV.SYS
2009-01-22 18:57 . 2009-01-22 18:58 <DIR> d-------- c:\program files\Dell
2009-01-22 18:57 . 2009-01-22 18:57 <DIR> d-------- c:\program files\Creative Live! Cam
2009-01-22 18:57 . 2009-01-22 18:57 <DIR> d-------- c:\program files\Creative
2009-01-22 18:57 . 2009-01-22 18:57 <DIR> d-------- c:\program files\Common Files\Reallusion
2009-01-22 18:57 . 2009-01-22 19:01 <DIR> d-------- c:\documents and settings\Administrator\Application Data\InstallShield
2009-01-22 18:57 . 2007-02-14 13:27 5,627,904 --a------ c:\windows\system32\LiveCamVirtual.ocx
2009-01-22 18:57 . 2007-11-06 03:31 1,060,864 --a------ c:\windows\system32\MFC71.DLL
2009-01-22 18:57 . 2007-11-06 03:31 499,712 --a------ c:\windows\system32\msvcp71.dll
2009-01-22 18:57 . 2007-11-06 03:31 348,160 --a------ c:\windows\system32\msvcr71.dll
2009-01-22 18:57 . 2009-01-22 18:57 74 -r-hs---- c:\windows\CT4CET.bin
2009-01-22 18:56 . 2009-01-22 18:56 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-01-22 18:56 . 2009-01-22 18:56 <DIR> d-------- c:\program files\Toshiba
2009-01-22 18:56 . 2009-01-22 18:56 <DIR> d-------- c:\program files\Intel, Inc
2009-01-22 18:56 . 2009-01-27 17:24 <DIR> d--h----- c:\program files\InstallShield Installation Information
2009-01-22 18:56 . 2007-04-26 22:29 113,920 --a------ c:\windows\system32\drivers\tosrfbd.sys
2009-01-22 18:56 . 2007-04-26 22:29 73,600 --a------ c:\windows\system32\drivers\Tosrfhid.sys
2009-01-22 18:56 . 2007-04-26 22:29 64,896 --a------ c:\windows\system32\drivers\tosrfcom.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-23 05:46 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2009-01-23 05:46 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_Apfiltr_01005.Wdf
2009-01-23 01:41 4,938 ----a-w c:\windows\system32\drivers\1028_Dell_VOS_V1510.mrk
2009-01-22 18:06 122,880 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2009-01-08 4363504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-02-21 159744]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-07-01 13537280]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-07-01 86016]
"OEM13Mon.exe"="c:\windows\OEM13Mon.exe" [2008-07-16 36864]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2007-07-25 823296]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2007-07-25 974848]
"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2008-02-22 1245184]
"Logitech Hardware Abstraction Layer"="c:\program files\Common Files\Logitech\khalshared\KHALMNPR.EXE" [2007-01-11 101136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-01-22 30192]
"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-05-23 128296]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-21 c:\windows\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2008-07-01 c:\windows\system32\nwiz.exe]
"NVHotkey"="nvHotkey.dll" [2008-07-01 c:\windows\system32\nvhotkey.dll]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-01-11 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-01-11 2150400]
Cisco Systems VPN Client.lnk - c:\program files\Cisco Systems\VPN Client\vpngui.exe [2009-01-27 1544984]
SetPoint.lnk - c:\program files\SetPoint\SetPoint.exe [2009-01-22 679936]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"c:\\Program Files\\Xming\\Xming.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-06 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-06 20560]
R3 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [2009-01-23 51288]
R3 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [2009-01-23 43608]
R3 OEM13Afx;Provides a software interface to control audio effects of OEM013 camera.;c:\windows\system32\drivers\OEM13Afx.sys [2009-01-23 141376]
R3 OEM13Vfx;Creative Camera OEM013 Video VFX Driver;c:\windows\system32\drivers\OEM13Vfx.sys [2009-01-23 7424]
R3 OEM13Vid;Creative Camera OEM013 Driver;c:\windows\system32\drivers\OEM13Vid.sys [2009-01-23 235840]
S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-01-22 30192]
S3 KProcWatch;KProcWatch;\??\c:\windows\system32\drivers\KProcWatch.sys --> c:\windows\system32\drivers\KProcWatch.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{575d9ccc-f053-11dd-b9a7-001f3ccca52e}]
\Shell\AutoRun\command - E:\hl80c6b1.com
\Shell\open\Command - E:\hl80c6b1.com
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

.
------- Supplementary Scan -------
.
uStart Page = hxxp://yahoo.fr/
mStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=eu&l=en&s=gen
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
uInternet Connection Wizard,ShellNext = hxxp://partnerpage.google.com/smallbiz.dell.com/en_fr?hl=en&client=dell-row&channel=fr-smb&ibd=5090123
uInternet Settings,ProxyServer = www-cache.ujf-grenoble.fr:3128
uSearchURL,(Default) = hxxp://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {BCE204E6-9C63-485A-959E-7E558A94FDCB} = 193.54.238.51,152.77.2.5
FF - ProfilePath - c:\documents and settings\Eric\Application Data\Mozilla\Firefox\Profiles\e89fc8ya.default\
FF - prefs.js: network.proxy.ftp - www-cache.ujf-grenoble.fr
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - www-cache.ujf-grenoble.fr
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - www-cache.ujf-grenoble.fr
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - www-cache.ujf-grenoble.fr
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - www-cache.ujf-grenoble.fr
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 1
FF - component: c:\program files\Mozilla Firefox\components\GoogleDesktopMozilla.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-08 04:41:26
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Cisco Systems\VPN Client\cvpnd.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\drivers\o2flash.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\Intel\Wireless\Bin\WLKEEPER.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\hidfind.exe
c:\program files\DellTPad\ApntEx.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Intel\Wireless\Bin\Dot1XCfg.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\program files\Yahoo!\Messenger\Ymsgr_tray.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-02-08 4:42:26 - machine was rebooted [Eric]
ComboFix-quarantined-files.txt 2009-02-08 03:42:24

Pre-Run: 237,708,632,064 bytes free
Post-Run: 237,902,147,584 bytes free

276

RAPPORT HijackThis
*****************

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:43:33 AM, on 2/8/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\DRIVERS\o2flash.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\DellTPad\Apoint.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\OEM13Mon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\DellTPad\ApMsgFwd.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe
C:\Program Files\DellTPad\Apntex.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\SetPoint\SetPoint.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=eu&l=en&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://partnerpage.google.com/smallbiz.dell.com/en_fr?hl=en&client=dell-row&channel=fr-smb&ibd=5090123
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://partnerpage.google.com/smallbiz.dell.com/en_fr?hl=en&client=dell-row&channel=fr-smb&ibd=5090123
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.ujf-grenoble.fr:3128
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OEM13Mon.exe] C:\WINDOWS\OEM13Mon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DELL Webcam Manager] "C:\Program Files\Dell\Dell Webcam Manager\DellWMgr.exe" /s
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "c:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dscactivate] "C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe"
O4 - HKLM\..\Run: [PDVDDXSrv] "C:\Program Files\CyberLink\PowerDVD DX\PDVDDXSrv.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: SetPoint.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5515/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCE204E6-9C63-485A-959E-7E558A94FDCB}: Domain = ujf-grenoble.fr
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCE204E6-9C63-485A-959E-7E558A94FDCB}: NameServer = 193.54.238.51,152.77.2.5
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ujf-grenoble.fr
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ujf-grenoble.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2FLASH - O2Micro International - C:\WINDOWS\system32\DRIVERS\o2flash.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

geoffrey5 · Answer

Bonsoir ric38,

Dsl mais je n'étais pas devant le PC quand tu m'as envoyé le message privé...

Je vois que le sioux s'occupe déjà de toi, il fait aussi du beau travail, tu peux lui faire confiance  ;-)

Bon courage @+

Le sioux · Answer

Bonsoir Ric38

Pourquoi n'as tu pas installé la console de récupération comme demandé ? En cas de soucis, c'est un filet de secours utile ...
Tu peux reprendre la procédure afin de l'installer puis une fois cela fait, Cliquez sur Non/No afin de ne pas effectuer la recherche via ComboFix, on va utiliser un petit script :

Branche tes clefs usb avant de commencer, ne les ouvrent pas.

/!\ Note: Le code ci-dessous a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système./!\

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

KillAll::

File::
C:\a2h2.com       
C:\hl80c6b1.com
E:\hl80c6b1.com     
 
Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{575d9ccc-f053-11dd-b9a7-001f3ccca52e}]  

* Copie le texte sélectionné (CTRL+C).
* Ouvre le Bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce Bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript 

/!\ Déconnecte toi du net et désactive ton antivirus  pour que ComboFix puisse s'exécuter normalement. /!\
(aide si besoin : https://forum.pcastuces.com/default.asp  Merci Morgane )

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici  http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

ric38 · Answer

Le Resioux, merci beaucoup pour ton aider.Au fait, hier (samedi ) dès que j'avais fini avec combofix, je n'avais plus de messages d'alert.Après j'ai été imprudent de suivre les  étapes que joeffrey5 avait donné à merlin69, après  que celui-ci avait posté son rapport combofix.Merci, beaucoup pour tout.

Le sioux · Answer

Hello Ric

La désinfection n'est pas terminé, je ne vois pas de quoi tu me causes en rapport avec geoffrey 5 ...

Je t'ai donné des choses à faire ici 

http://www.commentcamarche.net/forum/affich 10915880 c windows system32 nmdfgds0 dll?#7

Ta ou tes clefs usb sont infectées et il reste les deux vers responsables de cette infection dans ton disque C :
C:\a2h2.com
C:\hl80c6b1.com 

plus des traces dans le registre ....

@ suivre.

jeandepoussan · Answer

Salut Ric,
J'ai le même pb que toi depuis une semaine.
As tu trouvé la solution?
Cela me paraît un peu simple mais, puis je supprimer le fichier tout simplement?
Ce processus est il dangereux?
Connait tu les risques que fait encourir ce fichier sur le système?

Merci pour ta réponse. Jean

Le sioux · Answer

Bonjour jeandepoussan

J'attends moi aussi Ric afin de finir sa désinfection ... mais je ne pense pas qu'il soit à même de répondre à tes questions ...

Salut.

jeandepoussan · Answer

Bonjour le Sioux,
En fait j'ai exactement le même pb que Ric, Avast me recommande d'ignorer...
Spyboot search e destroy ne detecte pas ce fichier et Malwwarebytes non plus.
Peux tu me dire si c'est dangereux pour le système et si c'est le cas m'aider à l'éradiquer.
Si cela ne t'es pas possible peux tu m'indiquer un membre qui aurait les compétences?
Par avance, merci beaucoup.
Jean

Le sioux · Answer

Salut

Ce sujet a été ouvert par Ric.
Il serait plus que préférable que tu crées ton propre sujet.
Cela rendra le poste (ici) plus compréhensible, et nous pourrons traiter ton soucis avec plus d’efficacité.
Pour t'y aider, regarde ici :
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm 
http://pagesperso-orange.fr/rginformatique/section%20virus/demofairesontmessage.htm

Salut.

jeandepoussan · Answer

Ok, merci. Jean

totobetourne · Answer

le sioux.

ayant deja traite des problemes analogue. apres avoir enlever cela comme tu lui as indique , fait le passer a antivir qui a integre cette variante d infection , il y a aussi souvent un fichier qui reste le nom est :(je crois) opgde.exe

Le sioux · Answer

Bonjour totobetourne

Je ne sais pas si tu as remarqué, mais ce n'est pas le même demandeur, celui que j'ai commencé à prendre en charge, Ric, n'est pas revenu ...

Quand à ce qui est du changement d'antivirus, je conseille (sans obliger) à chaque fois que je croise quelqu'un qui a avast! ou MacAffee de mettre un vrai antivirus : antivir

Salut.

C:\WINDOWS\SYSTEM32\nmdfgds0.dll

14 réponses

Votre réponse

Newsletters