Virus TR vundo

Fermé
fortydub Messages postés 44 Date d'inscription dimanche 30 novembre 2008 Statut Membre Dernière intervention 31 janvier 2016 - 17 févr. 2009 à 20:30
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 19 févr. 2009 à 23:06
Bonjour,

J'ai un virus TR vundo Gen ou quelque chose comme ca et un autre dont j ai oublié le nom

Ci joint mon rapport Hijackthis merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:41, on 17/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Documents and Settings\Stéphane\Local Settings\Temporary Internet Files\Content.IE5\T4F6VVLZ\VundoFix[1].exe
C:\Documents and Settings\Stéphane\Local Settings\Temporary Internet Files\Content.IE5\VGPTF048\HiJackThis[1].exe
C:\WINDOWS\system32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {2376E487-EF05-43C1-BD07-F96A2A27002E} - C:\WINDOWS\system32\nnnoMGYS.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ssqOFVMC.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {810EFB49-6415-471B-8BC3-DBB0ED345EAF} - C:\WINDOWS\system32\rqRJCTll.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {D706C36D-E7A9-421D-996C-33B22CB4EAFF} - C:\WINDOWS\system32\efcBrSlm.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab
O20 - Winlogon Notify: ssqOFVMC - C:\WINDOWS\SYSTEM32\ssqOFVMC.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

9 réponses

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
17 févr. 2009 à 20:33
Bonjour,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
0
fortydub Messages postés 44 Date d'inscription dimanche 30 novembre 2008 Statut Membre Dernière intervention 31 janvier 2016
17 févr. 2009 à 22:25
Ca y est j ai posté le rapport
0
fortydub Messages postés 44 Date d'inscription dimanche 30 novembre 2008 Statut Membre Dernière intervention 31 janvier 2016
17 févr. 2009 à 20:42
je l 'execute et le post en attendant voila les rapport anti vir


je suis infecté par 2 virus

Ci joint les rapport Antivir

Dans le fichier 'C:\WINDOWS\system32\ssqOFVMC.dll'
un virus ou un programme indésirable 'TR/Crypt.ZPACK.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Dans le fichier 'C:\WINDOWS\system32\mlaixuje.dll'
un virus ou un programme indésirable 'TR/Vundo.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
17 févr. 2009 à 22:13
Re,

un problème ?
0
fortydub Messages postés 44 Date d'inscription dimanche 30 novembre 2008 Statut Membre Dernière intervention 31 janvier 2016
17 févr. 2009 à 22:22
Ca y est j ai réussi Anti vir se lancer apres chaque redémarrage

Voici le rapport

omboFix 09-02-15.01 - Stéphane 2009-02-17 22:10:41.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.495.199 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Stéphane\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\BHkmonpo.ini
C:\WINDOWS\system32\BHkmonpo.ini2
C:\WINDOWS\system32\ejuxialm.ini
C:\WINDOWS\system32\hs78344kjkfd.dll
C:\WINDOWS\system32\ievgyaeb.ini
C:\WINDOWS\system32\leovldpi.ini
C:\WINDOWS\system32\llTCJRqr.ini
C:\WINDOWS\system32\llTCJRqr.ini2
C:\WINDOWS\system32\mlaixuje.dll
C:\WINDOWS\system32\mlSrBcfe.ini
C:\WINDOWS\system32\mlSrBcfe.ini2
C:\WINDOWS\system32\mtglcfbs.ini
C:\WINDOWS\system32\opnomkHB.dll.vir
C:\WINDOWS\system32\pmnmkKcA.dll
C:\WINDOWS\system32\pqBLlUtv.ini
C:\WINDOWS\system32\pqBLlUtv.ini2
C:\WINDOWS\system32\ssqOFVMC.dll
C:\WINDOWS\system32\SYGMonnn.ini
C:\WINDOWS\system32\SYGMonnn.ini2
C:\WINDOWS\system32\UACbwwonjed.log
C:\WINDOWS\system32\UACinit.dll
C:\WINDOWS\system32\UACrpkcmaoq.dll
C:\WINDOWS\system32\UACudhhsdpp.dat
C:\WINDOWS\system32\UACuoacpyla.dll
C:\WINDOWS\system32\UACwvjdnqxo.dll
C:\WINDOWS\system32\uvcgpwrx.ini
C:\WINDOWS\system32\vtUlLBqp.dll
C:\WINDOWS\system32\xthubyiu.ini
.
---- Exécution préalable -------
.
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\drivers\UACjupseeje.sys
C:\WINDOWS\system32\rs32net.exe
C:\WINDOWS\system32\UACacvjnsty.log
C:\WINDOWS\system32\UACaopxyidd.dll
C:\WINDOWS\system32\UACkbycylbd.dat
C:\WINDOWS\system32\UAClauxvrfv.log
C:\WINDOWS\system32\UACmawputaa.dll
C:\WINDOWS\system32\UACtpjtyddd.log
C:\WINDOWS\system32\UACyuejirrs.dll

----- BITS: Il y a peut-être des sites infectés -----

hxxp://www.mp3codecinstall.net
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_TCPSR
-------\Service_tcpsr


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-17 au 2009-02-17 ))))))))))))))))))))))))))))))))))))
.

2009-02-17 21:03 . 2009-02-17 21:54 100,590 --a------ C:\WINDOWS\system32\drivers\6d921e83.sys
2009-02-17 21:03 . 2009-02-17 21:03 81,920 --a------ C:\dykhyp.exe
2009-02-17 21:03 . 2009-02-17 21:03 68,608 --a------ C:\WINDOWS\system32\tobvsdmr.dll
2009-02-17 21:03 . 2009-02-17 22:16 32,768 --a------ C:\WINDOWS\system32\drivers\ati7adxx.sys
2009-02-17 21:03 . 2009-02-17 21:03 705 --a------ C:\xyephkl.exe
2009-02-17 21:03 . 2009-02-17 21:03 2 --a------ C:\-1735064707
2009-02-17 20:06 . 2009-02-17 20:06 <REP> d-------- C:\VundoFix Backups
2009-02-09 14:48 . 2009-02-09 14:48 237,568 --a------ C:\WINDOWS\system32\nnnoMGYS.VIR000
2009-02-06 17:15 . 2009-02-06 17:15 236,544 --a------ C:\WINDOWS\system32\efcBrSlm.VIR
2009-02-02 18:59 . 2009-02-02 18:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Microgaming
2009-02-02 18:59 . 2009-02-02 18:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MGS
2009-01-22 22:12 . 2009-01-22 22:12 <REP> d-------- C:\Documents and Settings\Stéphane\Application Data\GrabIt

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-17 19:25 --------- d-----w C:\Program Files\PokerStars
2009-02-03 23:21 --------- d-----w C:\Documents and Settings\Stéphane\Application Data\uTorrent
2009-02-03 20:42 --------- d-----w C:\Documents and Settings\Stéphane\Application Data\Sports Interactive
2009-01-29 19:50 --------- d-----w C:\Program Files\WinamaxPoker
2009-01-26 21:42 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2009-01-15 19:10 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2009-01-15 18:50 --------- d-----w C:\Program Files\MSBuild
2009-01-15 18:50 --------- d-----w C:\Program Files\Microsoft Works
2009-01-15 18:47 --------- d-----w C:\Program Files\Microsoft.NET
2009-01-15 18:44 --------- d-----w C:\Program Files\Microsoft Visual Studio 8
2009-01-13 18:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sports Interactive
2009-01-13 18:39 --------- d-----w C:\Program Files\Sports Interactive
2009-01-12 21:50 --------- d-----w C:\Program Files\eMule
2009-01-12 21:37 --------- d-----w C:\Documents and Settings\Stéphane\Application Data\DAEMON Tools Pro
2009-01-08 19:33 --------- d--h--w C:\Program Files\Zero G Registry
2009-01-08 19:27 --------- d-----w C:\Documents and Settings\Stéphane\Application Data\DAEMON Tools Lite
2009-01-08 18:44 --------- d-----w C:\Documents and Settings\Stéphane\Application Data\DAEMON Tools
2009-01-08 18:43 --------- d-----w C:\Program Files\DAEMON Tools Toolbar
2009-01-08 18:43 --------- d-----w C:\Program Files\DAEMON Tools Lite
2009-01-08 18:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\DAEMON Tools Lite
2009-01-08 18:32 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2009-01-07 21:14 --------- d-----w C:\Program Files\uTorrent
2009-01-07 20:27 --------- d-----w C:\Program Files\Windows Live
2009-01-07 20:27 --------- d-----w C:\Program Files\Microsoft Silverlight
2009-01-07 20:22 --------- d-----w C:\Program Files\Microsoft Sync Framework
2009-01-07 20:20 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
2009-01-07 20:20 --------- d-----w C:\Program Files\Java
2009-01-07 20:19 --------- d-----w C:\Program Files\Microsoft
2009-01-07 20:18 --------- d-----w C:\Program Files\Windows Live SkyDrive
2009-01-07 20:00 --------- d-----w C:\Program Files\Fichiers communs\Windows Live
2009-01-07 18:12 --------- d-----w C:\Program Files\Avira
2009-01-07 18:12 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2009-01-06 21:32 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2009-01-06 21:31 --------- d--h--w C:\Program Files\InstallShield Installation Information
2009-01-06 21:31 --------- d-----w C:\Program Files\Synaptics
2009-01-06 21:30 --------- d-----w C:\Program Files\VIAudioi
2009-01-06 21:28 --------- d-----w C:\Program Files\Intel
2009-01-06 21:19 --------- d-----w C:\Program Files\microsoft frontpage
2009-01-06 21:18 --------- d-----w C:\Program Files\Fichiers communs\Java
2009-01-06 21:14 --------- d-----w C:\Program Files\Services en ligne
2008-12-04 23:11 308,584 ----a-w C:\WINDOWS\WLXPGSS.SCR
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 03:33 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 22:41 3882312]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-12-29 11:40 687560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2009-01-07 21:20 136600]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-03-19 11:37 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-03-19 11:33 118784]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 10:49 98304]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 10:49 536576]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 13:28 266497]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 03:33 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\aqvywp]
2009-02-17 22:16 16896 C:\WINDOWS\system32\aqvywp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7adxx.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R0 ati7adxx;ati7adxx;C:\WINDOWS\system32\drivers\ati7adxx.sys [2009-02-17 21:03:23 32768]
R2 SeaPort;SeaPort;C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 16:03:00 226640]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2009-01-06 22:32:23 191092]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2009-01-06 22:32:23 6100]
R3 tcpsr;tcpsr;\??\C:\WINDOWS\System32\drivers\tcpsr.sys --> C:\WINDOWS\System32\drivers\tcpsr.sys [?]
S2 FCI;FCI;C:\WINDOWS\system32\svchost.exe:ext.exe []

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - TCPSR
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-rs32net - C:\WINDOWS\System32\rs32net.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://plugins.valueactive.eu/flashax/iefax.cab
FF - ProfilePath - C:\Documents and Settings\Stéphane\Application Data\Mozilla\Firefox\Profiles\7ft50uny.default\
FF - prefs.js: browser.search.selectedEngine - xeoo.com
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=
FF - plugin: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
C:\Program Files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
17 févr. 2009 à 23:48
Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Killall::

rootkit::
C:\WINDOWS\system32\drivers\6d921e83­.sys
C:\dykhyp.exe
C:\WINDOWS\system32\tobvsdmr.dll
C:\WINDOWS\system32\drivers\ati7adxx.­sys
C:\xyephkl.exe
C:\-1735064707
C:\WINDOWS\system32\nnnoMGYS.VIR000
C:\WINDOWS\system32\efcBrSlm.VIR
C:\WINDOWS\system32\aqvywp.dll
C:\WINDOWS\System32\drivers\tcpsr.sys

registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\aqvywp]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7adxx.sys]

driver::
ati7adxx
tcpsr
FCI


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.


Supprime ta version d'Hijackthis : C:\Documents and Settings\Stéphane\Local Settings\Temporary Internet Files\Content.IE5\VGPTF048\HiJackThis[1].exe


Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"



Choisis Open the misc tools section.

Clique sur Open ADS Spy

Vérifie que Quick scan et calculate MD5 sont cochés.

Clique sur scan.

En fin de scan, clique sur save log.

Donne lui un nom, édite le avec le Bloc-notes et poste son contenu ici.
0
fortydub Messages postés 44 Date d'inscription dimanche 30 novembre 2008 Statut Membre Dernière intervention 31 janvier 2016
19 févr. 2009 à 19:41
Ci dessous le Rapport de combo fix je t envoi l'autre des que possible

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.495.212 [GMT 1:00]
Lancé depuis: c:\documents and settings\Stéphane\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Stéphane\Bureau\CFscript.txt
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
.
[i] ADS - svchost.exe: deleted 32256 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\-1735064707
.
---- Exécution préalable -------
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\BHkmonpo.ini
c:\windows\system32\BHkmonpo.ini2
c:\windows\system32\crypts.dll
c:\windows\system32\drivers\UACjupseeje.sys
c:\windows\system32\ejuxialm.ini
c:\windows\system32\hs78344kjkfd.dll
c:\windows\system32\ievgyaeb.ini
c:\windows\system32\leovldpi.ini
c:\windows\system32\llTCJRqr.ini
c:\windows\system32\llTCJRqr.ini2
c:\windows\system32\mlaixuje.dll
c:\windows\system32\mlSrBcfe.ini
c:\windows\system32\mlSrBcfe.ini2
c:\windows\system32\mtglcfbs.ini
c:\windows\system32\opnomkHB.dll.vir
c:\windows\system32\pmnmkKcA.dll
c:\windows\system32\pqBLlUtv.ini
c:\windows\system32\pqBLlUtv.ini2
c:\windows\system32\rs32net.exe
c:\windows\system32\ssqOFVMC.dll
c:\windows\system32\SYGMonnn.ini
c:\windows\system32\SYGMonnn.ini2
c:\windows\system32\UACacvjnsty.log
c:\windows\system32\UACaopxyidd.dll
c:\windows\system32\UACbwwonjed.log
c:\windows\system32\UACinit.dll
c:\windows\system32\UACkbycylbd.dat
c:\windows\system32\UAClauxvrfv.log
c:\windows\system32\UACmawputaa.dll
c:\windows\system32\UACrpkcmaoq.dll
c:\windows\system32\UACtpjtyddd.log
c:\windows\system32\UACudhhsdpp.dat
c:\windows\system32\UACuoacpyla.dll
c:\windows\system32\UACwvjdnqxo.dll
c:\windows\system32\UACyuejirrs.dll
c:\windows\system32\uvcgpwrx.ini
c:\windows\system32\vtUlLBqp.dll
c:\windows\system32\xthubyiu.ini

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_TCPSR
-------\Service_tcpsr
-------\Legacy_ATI7ADXX
-------\Legacy_FCI
-------\Legacy_TCPSR
-------\Service_ati7adxx
-------\Service_FCI
-------\Service_tcpsr


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-19 au 2009-02-19 ))))))))))))))))))))))))))))))))))))
.

2009-02-17 23:10 . 2008-04-14 03:33 159,232 --a------ c:\windows\system32\ptpusd.dll
2009-02-17 23:10 . 2008-04-13 19:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2009-02-17 23:10 . 2008-04-13 19:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2009-02-17 23:10 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
2009-02-17 21:03 . 2009-02-17 22:16 32,768 --a------ c:\windows\system32\drivers\ati7adxx.sys
2009-02-17 20:06 . 2009-02-17 20:06 <REP> d-------- C:\VundoFix Backups
2009-02-02 18:59 . 2009-02-02 18:59 <REP> d-------- c:\documents and settings\All Users\Application Data\Microgaming
2009-02-02 18:59 . 2009-02-02 18:59 <REP> d-------- c:\documents and settings\All Users\Application Data\MGS
2009-01-22 22:12 . 2009-01-22 22:12 <REP> d-------- c:\documents and settings\Stéphane\Application Data\GrabIt

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 20:59 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-02-17 19:25 --------- d-----w c:\program files\PokerStars
2009-02-03 23:21 --------- d-----w c:\documents and settings\Stéphane\Application Data\uTorrent
2009-02-03 20:42 --------- d-----w c:\documents and settings\Stéphane\Application Data\Sports Interactive
2009-01-29 19:50 --------- d-----w c:\program files\WinamaxPoker
2009-01-15 19:10 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-01-15 18:50 --------- d-----w c:\program files\MSBuild
2009-01-15 18:50 --------- d-----w c:\program files\Microsoft Works
2009-01-15 18:47 --------- d-----w c:\program files\Microsoft.NET
2009-01-15 18:44 --------- d-----w c:\program files\Microsoft Visual Studio 8
2009-01-13 18:59 --------- d-----w c:\documents and settings\All Users\Application Data\Sports Interactive
2009-01-13 18:39 --------- d-----w c:\program files\Sports Interactive
2009-01-12 21:50 --------- d-----w c:\program files\eMule
2009-01-12 21:37 --------- d-----w c:\documents and settings\Stéphane\Application Data\DAEMON Tools Pro
2009-01-08 19:33 --------- d--h--w c:\program files\Zero G Registry
2009-01-08 19:27 --------- d-----w c:\documents and settings\Stéphane\Application Data\DAEMON Tools Lite
2009-01-08 18:44 --------- d-----w c:\documents and settings\Stéphane\Application Data\DAEMON Tools
2009-01-08 18:43 --------- d-----w c:\program files\DAEMON Tools Toolbar
2009-01-08 18:43 --------- d-----w c:\program files\DAEMON Tools Lite
2009-01-08 18:43 --------- d-----w c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-01-08 18:32 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-01-07 21:14 --------- d-----w c:\program files\uTorrent
2009-01-07 20:27 --------- d-----w c:\program files\Windows Live
2009-01-07 20:27 --------- d-----w c:\program files\Microsoft Silverlight
2009-01-07 20:22 --------- d-----w c:\program files\Microsoft Sync Framework
2009-01-07 20:20 --------- d-----w c:\program files\Microsoft SQL Server Compact Edition
2009-01-07 20:20 --------- d-----w c:\program files\Java
2009-01-07 20:19 --------- d-----w c:\program files\Microsoft
2009-01-07 20:18 --------- d-----w c:\program files\Windows Live SkyDrive
2009-01-07 20:00 --------- d-----w c:\program files\Fichiers communs\Windows Live
2009-01-07 18:12 --------- d-----w c:\program files\Avira
2009-01-07 18:12 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-01-06 21:32 --------- d-----w c:\program files\Fichiers communs\InstallShield
2009-01-06 21:31 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-06 21:31 --------- d-----w c:\program files\Synaptics
2009-01-06 21:30 --------- d-----w c:\program files\VIAudioi
2009-01-06 21:28 --------- d-----w c:\program files\Intel
2009-01-06 21:19 --------- d-----w c:\program files\microsoft frontpage
2009-01-06 21:18 --------- d-----w c:\program files\Fichiers communs\Java
2009-01-06 21:14 --------- d-----w c:\program files\Services en ligne
2008-12-04 23:11 308,584 ----a-w c:\windows\WLXPGSS.SCR
.

((((((((((((((((((((((((((((( SnapShot@2009-02-17_22.19.50.48 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-01-19 02:06:59 1,165,584 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\accicons.exe
+ 2009-02-18 20:59:17 1,165,584 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\accicons.exe
- 2009-01-19 02:07:02 20,240 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\cagicon.exe
+ 2009-02-18 20:59:19 20,240 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\cagicon.exe
- 2009-01-19 02:07:00 159,504 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\inficon.exe
+ 2009-02-18 20:59:18 159,504 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\inficon.exe
- 2009-01-19 02:07:01 217,864 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\misc.exe
+ 2009-02-18 20:59:19 217,864 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\misc.exe
- 2009-01-19 02:07:02 18,704 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\mspicons.exe
+ 2009-02-18 20:59:19 18,704 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\mspicons.exe
- 2009-01-19 02:07:02 35,088 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\oisicon.exe
+ 2009-02-18 20:59:20 35,088 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\oisicon.exe
- 2009-01-19 02:07:00 845,584 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\outicon.exe
+ 2009-02-18 20:59:18 845,584 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\outicon.exe
- 2009-01-19 02:07:01 922,384 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pptico.exe
+ 2009-02-18 20:59:19 922,384 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pptico.exe
- 2009-01-19 02:07:02 272,648 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pubs.exe
+ 2009-02-18 20:59:19 272,648 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pubs.exe
- 2009-01-19 02:07:02 888,080 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe
+ 2009-02-18 20:59:20 888,080 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe
- 2009-01-19 02:07:00 1,172,240 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe
+ 2009-02-18 20:59:18 1,172,240 ----a-r c:\windows\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe
- 2009-02-17 21:16:55 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-17 21:17:44 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-02-17 21:17:41 16,384 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Application Data\Microsoft\Internet Explorer\MSIMGSIZ.DAT
- 2009-02-17 21:16:55 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-02-17 21:28:47 163,840 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2007-11-30 11:19:06 18,296 ------w c:\windows\system32\spmsg.dll
+ 2008-07-09 07:40:22 18,296 ------w c:\windows\system32\spmsg.dll
+ 2009-02-19 18:11:15 16,384 ----atw c:\windows\temp\Perflib_Perfdata_4ec.dat
.
-- Instantané actualisé --
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560]
"rs32net"="c:\windows\System32\rs32net.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-07 136600]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-03-19 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-03-19 118784]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 98304]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 536576]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 226640]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2009-01-06 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2009-01-06 6100]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} - hxxps://plugins.valueactive.eu/flashax/iefax.cab
FF - ProfilePath - c:\documents and settings\Stéphane\Application Data\Mozilla\Firefox\Profiles\7ft50uny.default\
FF - prefs.js: browser.search.selectedEngine - xeoo.com
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-19 19:11:57
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-02-19 19:14:26 - La machine a redémarré [Stéphane]
ComboFix-quarantined-files.txt 2009-02-19 18:14:23

Avant-CF: 46,689,845,248 octets libres
Après-CF: 46,717,280,256 octets libres

236 --- E O F --- 2009-02-18 20:59:23
0
fortydub Messages postés 44 Date d'inscription dimanche 30 novembre 2008 Statut Membre Dernière intervention 31 janvier 2016
19 févr. 2009 à 19:46
J'arrive pas a faire le rapport Hijackthis quand j'active quick scan et Calculate Md5 des que je clique ca me met scan terminé et impossible d'enregistrer
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
19 févr. 2009 à 21:54
Re,


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.
0
fortydub Messages postés 44 Date d'inscription dimanche 30 novembre 2008 Statut Membre Dernière intervention 31 janvier 2016
19 févr. 2009 à 22:07
Ca y est, voici le rapport

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.40GHz )
BIOS : Default System BIOS
USER : Virginie ( Administrator )
BOOT : Normal boot
Antivirus : Avira AntiVir PersonalEdition Classic 8.0.1.30 (Not Activated)
C:\ (Local Disk) - NTFS - Total:55 Go (Free:43 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 19/02/2009|22:05 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
Supprime! - C:\Program Files\DAEMON Tools Toolbar\Resources
Supprime! - C:\Program Files\DAEMON Tools Toolbar\uninst.exe
Supprime! - C:\Program Files\DAEMON Tools Toolbar\_DTLite.xml
Supprime! - C:\Program Files\DAEMON Tools Toolbar

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://www.xeoo.com/?p=h&a=f"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Start Page"="https://www.msn.com/fr-fr/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 19/02/2009|22:06 - Option : [2]

-----------\\ Fin du rapport a 22:06:55,54
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
19 févr. 2009 à 23:06
Re,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


Killall::


Driver::
ati7adxx

Rootkit::
c:\windows\system32\drivers\ati7adxx.­sys
c:\windows\System32\rs32net.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"rs32net"=-



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

===================
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

0