k8m1l3e9f4n7.exe et autres saloper***...

Question

Bonjour tout le monde,
Je crapahute sur le net depuis un moment à la recherche d'informations sur les méthodes d'éradications de ce "rootkit" mais je galère. Donc je viens ici vous demander un peu d'aide.
Mais hélas ce n'est pas mon seul problème... Je reçois régulièrement un message d'erreur :

"initié par AUTORITE NT\SYSTEM 
arrêt du systeme
C:\windows\sytem32\Isass.exe c'est arrêté de manière inattendue 
code d'état 0"

Je me retrouve avec un compte à rebours d'une minute avant l'extinction des feux. 

Ca ne s'arrête pas là... Je n'ai accès à aucun de ces sites du style : microsoft, scan en ligne (panda, kaspersky,...), windows update, etc... 

Et non ! Ca ne s'arrête toujours pas là, pour finir mon antivirus antivir est complétement HS. Quand il se lance, je reçois ce message d'erreur : 
c:\program files\avira\antivir desktop\avcenter.exe
cannot be found or has been modified or destroyed. The AVCENTER.EXE cannot be strated. Please check your installation!

Je ne peux pas le désinstaller correctement : pas d'unistall, et il plante quand je le désinstalle par l'ajout/suppression de programmes.

Je suis sur xp familial. J'ai formaté il y a 3 jours mon disque dur principal. (j'ai 2 autres disques durs, certainement à l'origine de ces problèmes...) Aucune mise à jour windows n'est possible.
J'ai fais des analyses avec spybot, malwarebyte's, CCleaner sans avoir fais les mises à jour, elle aussi sont bloquées ; quelques trojans et autre cookies ont été supprimés mais rien de concluant.

Je me tiens à votre disposition pour tout autres informations.
Je vous remercie par avance.

Utilisateur anonyme · Answer

salut; 
as tu scanné les autres partitions??

Yanki.Wolff · Answer

Salut,
oui j'ai bien scan les autres partitions.

Yanki.Wolff · Answer

Besoin d'un rapport hi jack this ou autre ?

Yanki.Wolff · Answer

Je suis toujours au même point. Je reçois régulièrement un message avec un compte à rebours. Je réussis à m'en sortir en changeant l'heure mais ça devient lourd.

Une idée quelqu'un ?

Yanki.Wolff · Answer

Aurais-je oublié de mettre une quelconque information ? Ou mal formulé ma requête ?

anthony5151 · Answer

Bonjour,



Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés

Yanki.Wolff · Answer

Salut,
J'ai bien galéré pour télécharger ton logiciel étant donné que je n'avais pas accès au site que tu m'a donné tout comme les autres site de scan et de microsoft. 
Bref, voilà les 2 rapports :


Info.txt :
info.txt logfile of random's system information tool 1.06 2009-03-24 18:41:11

======Uninstall list======

-->"C:\Program Files\Creative\SBLive\Program\Ctzapxx.EXE" /X /U /S /L:FRN
-->C:\Program Files\Codecs\DivX\DivXConverterUninstall.exe /CONVERTER
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x40c  /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x40c  /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x40c  /remove
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x40c 
-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x40c  /remove
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
DivX Codec-->C:\Program Files\Codecs\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\Codecs\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\Codecs\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\Codecs\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
EVEREST Ultimate Edition v5.00-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe"
ffdshow [rev 2768] [2009-03-13]-->"C:\Program Files\Codecs\ffdshow\unins000.exe"
Haali Media Splitter-->"C:\Program Files\Codecs\Matroska Pack\haali\uninstall.exe"
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Matroska Pack-->C:\Program Files\Codecs\Matroska Pack\uninstall.exe
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
NVIDIA Drivers-->C:\WINDOWS\System32
vuninst.exe UninstallGUI
Razer Reclusa Config-->C:\Program Files\InstallShield Installation Information\{328591D2-4F59-4EE1-ABF1-7F47E90E31A1}\setup.exe -runfromtemp -l0x0009 -removeonly
Real Alternative 1.9.0-->"C:\Program Files\Codecs\Real Alternative\unins000.exe"
Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Sound Blaster Live! Web 2K/XP-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3FCAADB8-EB1B-11D6-AB2D-0090271A23A2}\Setup.exe" -l0x40c 
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\System32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
VLC media player 0.9.8a-->C:\Program Files\Codecs\VLC\uninstall.exe
Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Xvid 1.2.1 final uninstall-->"C:\Program Files\Codecs\Xvid\unins000.exe"

=====HijackThis Backups=====

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE [2009-03-19]
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-03-19]

======Hosts File======

127.0.0.1 localhost # loopback
87.98.207.15 l2authd.lineage2.com # m0o age
87.98.207.15 L2testauthd.lineage2.com #m0o age
91.121.50.64 nProtect.lineage2.com
91.121.50.64 update.nProtect.com
91.121.50.64 update.nProtect.net

======System event log======

Computer Name: YANNICK
Event Code: 60054
Message: Le programme d'installation a correctement installé Windows version 2600.
Record Number: 5
Source Name: Setup
Time Written: 20090316195333.000000+060
Event Type: Informations
User: 

Computer Name: YANNICK
Event Code: 6011
Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers YANNICK.

Record Number: 4
Source Name: EventLog
Time Written: 20090316194917.000000+060
Event Type: Informations
User: 

Computer Name: MACHINENAME
Event Code: 6005
Message: Le service d'Enregistrement d'événement a démarré.

Record Number: 3
Source Name: EventLog
Time Written: 20040101235004.000000+060
Event Type: Informations
User: 

Computer Name: MACHINENAME
Event Code: 6009
Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

Record Number: 2
Source Name: EventLog
Time Written: 20040101235004.000000+060
Event Type: Informations
User: 

Computer Name: MACHINENAME
Event Code: 2
Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

Record Number: 1
Source Name: Serial
Time Written: 20040101235027.000000+060
Event Type: Informations
User: 

=====Application event log=====

Computer Name: YANNICK
Event Code: 8
Message: Échec de la récupération de la mise à jour automatique du numéro de séquence de la liste racine tierce partie à partir de : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> avec l'erreur : 0x2ee7

Record Number: 40
Source Name: crypt32
Time Written: 20090317174834.000000+060
Event Type: erreur
User: 

Computer Name: YANNICK
Event Code: 11707
Message: Produit : Windows Live Messenger -- L'installation s'est terminée correctement.

Record Number: 39
Source Name: MsiInstaller
Time Written: 20090317174753.000000+060
Event Type: Informations
User: 

Computer Name: YANNICK
Event Code: 4097
Message: L'application, C:\Documents and Settings\J@n\Bureau\CCCP-Insurgent-2007-01-01.exe, a généré une erreur d'application
L'erreur s'est produite le 03/17/2009 à 16:15:15.468
L'exception générée était c0000005 à l'adresse 0040A84A (CCCP-Insurgent-2007-01-01)

Record Number: 38
Source Name: DrWatson
Time Written: 20090317161515.000000+060
Event Type: Informations
User: 

Computer Name: YANNICK
Event Code: 1000
Message: Application défaillante cccp-insurgent-2007-01-01.exe, version 1.0.1.0, module défaillant cccp-insurgent-2007-01-01.exe, version 1.0.1.0, adresse de défaillance 0x0000a84a.

Record Number: 37
Source Name: Application Error
Time Written: 20090317161514.000000+060
Event Type: erreur
User: 

Computer Name: YANNICK
Event Code: 1002
Message: Application bloquée explorer.exe, version 6.0.2800.1106, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

Record Number: 36
Source Name: Application Hang
Time Written: 20090316233453.000000+060
Event Type: erreur
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 39 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=2701
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------


log.txt :
Logfile of random's system information tool 1.06 (written by random/random)
Run by J@n at 2009-03-24 18:41:06
Microsoft Windows XP Édition familiale Service Pack 1
System drive C: has 81 GB (84%) free of 95 GB
Total RAM: 2047 MB (84% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:09, on 24/03/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\drivers\DelSrv.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\drivers\DelSrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Razer\Reclusaazerhid.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
I:\jeux\steam\steam.exe
C:\Program Files\Razer\Reclusaazertra.exe
C:\WINDOWS\System32\imapi.exe
C:\Documents and Settings\J@n\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\J@n.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\DelSrv.exe
O1 - Hosts: 87.98.207.15 l2authd.lineage2.com # m0o age
O1 - Hosts: 87.98.207.15 L2testauthd.lineage2.com #m0o age
O1 - Hosts: 91.121.50.64 nProtect.lineage2.com
O1 - Hosts: 91.121.50.64 update.nProtect.com
O1 - Hosts: 91.121.50.64 update.nProtect.net
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Reclusa] C:\Program Files\Razer\Reclusaazerhid.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "i:\jeux\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: DelSrv Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\DelSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe

anthony5151 · Answer

Ton ordinateur est très infecté, on va devoir utiliser plusieurs programmes pour désinfecter... Si tu n'arrives pas à accéder à certaines pages que je te propose, c'est à cause de l'infection : préviens moi, on contourneras le problème


Télécharge Flash Disinfector (de sUBs) sur ton Bureau.
• Double clique dessus pour le lancer
• Une fenêtre "Start Flash Disinfector" va apparaître --> branche tous tes disques amovibles (clés USB, lecteurs mp3, disques durs externes, iPod...) et clique sur OK.
• Tes icônes vont disparaitre, c'est normal, ne touche à rien pendant la désinfection.
• Lorsque le message "Finish" apparaît, clique sur OK.

Remarque : ton antivirus peut afficher une alerte pour ce programme, c'est bien sûr une fausse alerte. Si c'est le cas, désactive le temporairement.



• Télécharge RHosts (de S!Ri)
• Double clique dessus pour l'exécuter
• Clique sur "Restore original Hosts" (il ne se passe rien de visible, c'est normal)
• Pour finir, fais redémarrer l'ordinateur.



• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici

Yanki.Wolff · Answer

Je viens de désinfecter avec Flash Disinfector.
Concernant le hosts, je l'ai modifié moi même pour pouvoir me connecter à un server de jeu. Mais j'ai quand même utilisé RHosts au cas où.
Pour Malwarebytes' Anti-Malware, je ne peux pas faire les mise à jour. Elles sont bloquées comme pour les sites de scan, etc... Une solution ?
Merci.

anthony5151 · Answer

"Concernant le hosts, je l'ai modifié moi même pour pouvoir me connecter à un server de jeu"
==> Ok, dans ce cas tu devras sûrement le refaire après avoir utilisé Rhosts.

En fait on va passer tout de suite à la grosse artillerie, on utilisera MalwareBytes quand ta connection sera rétablie.



/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur Yanki.Wollff.exe afin de le lancer (je l'ai renommé pour éviter qu'il soit bloqué par l'infection)
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Yanki.Wolff · Answer

J'ai accepté l'installation de la console, mais ça a échoué, même problème que pour les mises à jour et site scan... Voilà le scan : ComboFix 09-03-23.01 - J@n 2009-03-24 21:10:37.1 - NTFSx86 Lancé depuis: c:\documents and settings\J@n\Bureau\YankiWolff.exe * Un nouveau point de restauration a été créé AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\.exe c:\windows\system32\ftpupd.exe c:\windows\system32\pthreadGC2.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-24 au 2009-03-24 )))))))))))))))))))))))))))))))))))) . 2009-03-24 21:00 . 2009-03-24 21:07 d--h----- c:\documents and settings\All Users\Application Data\~0 2009-03-24 20:49 . 2009-03-24 20:49 d-------- c:\program files\Unlocker 2009-03-24 19:00 . 2009-03-24 19:00 872,960 --a------ c:\windows\system32\dlu.exe 2009-03-24 18:07 . 2009-03-24 18:09 872,960 --a------ c:\windows\system32 yf.exe 2009-03-24 14:36 . 2009-03-24 14:37 872,960 --a------ c:\windows\system32\vnw.exe 2009-03-24 13:20 . 2009-03-24 13:20 268 --ah----- C:\sqmdata16.sqm 2009-03-24 13:20 . 2009-03-24 13:20 244 --ah----- C:\sqmnoopt16.sqm 2009-03-24 11:39 . 2009-03-24 18:41 d-------- C: sit 2009-03-24 10:14 . 2009-03-24 10:14 268 --ah----- C:\sqmdata15.sqm 2009-03-24 10:14 . 2009-03-24 10:14 244 --ah----- C:\sqmnoopt15.sqm 2009-03-24 10:07 . 2009-03-24 10:07 268 --ah----- C:\sqmdata14.sqm 2009-03-24 10:07 . 2009-03-24 10:07 244 --ah----- C:\sqmnoopt14.sqm 2009-03-23 18:13 . 2009-03-23 18:13 872,960 --a------ c:\windows\system32\mbe.exe 2009-03-23 18:03 . 2009-03-23 18:03 268 --ah----- C:\sqmdata13.sqm 2009-03-23 18:03 . 2009-03-23 18:03 244 --ah----- C:\sqmnoopt13.sqm 2009-03-23 13:06 . 2009-03-23 13:07 872,960 --a------ c:\windows\system32\uzq.exe 2009-03-23 12:11 . 2009-03-23 12:11 872,960 --a------ c:\windows\system32\jow.exe 2009-03-22 16:55 . 2009-03-22 16:57 872,960 --a------ c:\windows\system32\zae.exe 2009-03-22 13:11 . 2009-03-22 13:11 268 --ah----- C:\sqmdata11.sqm 2009-03-22 13:11 . 2009-03-22 13:11 244 --ah----- C:\sqmnoopt11.sqm 2009-03-22 12:59 . 2009-03-22 12:59 268 --ah----- C:\sqmdata10.sqm 2009-03-22 12:59 . 2009-03-22 12:59 244 --ah----- C:\sqmnoopt10.sqm 2009-03-22 12:57 . 2009-03-22 12:57 268 --ah----- C:\sqmdata09.sqm 2009-03-22 12:57 . 2009-03-22 12:57 244 --ah----- C:\sqmnoopt09.sqm 2009-03-22 12:56 . 2009-03-22 12:56 268 --ah----- C:\sqmdata08.sqm 2009-03-22 12:56 . 2009-03-22 12:56 244 --ah----- C:\sqmnoopt08.sqm 2009-03-22 12:51 . 2009-03-22 12:51 d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com 2009-03-22 12:50 . 2009-03-22 12:51 d-------- c:\program files\SUPERAntiSpyware 2009-03-22 12:50 . 2009-03-22 12:50 d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2009-03-22 12:50 . 2009-03-22 12:50 d-------- c:\documents and settings\J@n\Application Data\SUPERAntiSpyware.com 2009-03-22 12:42 . 2009-03-22 12:42 d-------- c:\program files\CCleaner 2009-03-22 12:38 . 2009-03-22 12:38 2,422 --a------ c:\windows\system32\wpa.bak 2009-03-22 11:39 . 2009-03-22 11:39 872,960 -r-hs---- c:\windows\system32\drivers\DelSrv.exe 2009-03-22 09:07 . 2009-03-22 09:07 268 --ah----- C:\sqmdata12.sqm 2009-03-22 09:07 . 2009-03-22 09:07 244 --ah----- C:\sqmnoopt12.sqm 2009-03-21 12:36 . 2009-03-21 12:36 872,960 --a------ c:\windows\system32\vlo.exe 2009-03-21 11:46 . 2009-03-21 11:46 268 --ah----- C:\sqmdata07.sqm 2009-03-21 11:46 . 2009-03-21 11:46 244 --ah----- C:\sqmnoopt07.sqm 2009-03-21 11:42 . 2009-03-21 11:42 49,152 --a------ c:\windows\system32\lrp.exe 2009-03-21 11:38 . 2009-03-21 11:38 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-03-21 11:38 . 2009-03-21 11:38 d-------- c:\documents and settings\J@n\Application Data\Malwarebytes 2009-03-21 11:38 . 2009-03-21 11:38 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-03-21 11:38 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-21 11:38 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-21 11:24 . 2009-03-21 11:24 d-------- c:\program files\Avira 2009-03-20 20:20 . 2009-03-20 20:21 872,960 --a------ c:\windows\system32 td.exe 2009-03-20 20:10 . 2009-03-21 11:24 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-03-20 20:05 . 2009-03-20 20:05 268 --ah----- C:\sqmdata06.sqm 2009-03-20 20:05 . 2009-03-20 20:05 244 --ah----- C:\sqmnoopt06.sqm 2009-03-20 18:28 . 2009-03-20 18:28 d-------- c:\program files\Spybot - Search & Destroy 2009-03-20 18:28 . 2009-03-22 12:34 d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-03-20 18:27 . 2009-03-20 18:27 268 --ah----- C:\sqmdata05.sqm 2009-03-20 18:27 . 2009-03-20 18:27 244 --ah----- C:\sqmnoopt05.sqm 2009-03-20 17:58 . 2009-03-24 20:55 33,325 --a------ C:\k8m1l3e9f4n7.exe 2009-03-20 17:53 . 2009-03-20 17:53 16,896 --a------ c:\windows\system32\fltlib.dll 2009-03-20 17:47 . 2009-03-20 17:47 268 --ah----- C:\sqmdata04.sqm 2009-03-20 17:47 . 2009-03-20 17:47 244 --ah----- C:\sqmnoopt04.sqm 2009-03-20 17:45 . 2009-03-20 18:50 d-------- c:\program files\Lavasoft 2009-03-20 17:43 . 2009-03-20 17:43 d----c--- c:\documents and settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185} 2009-03-20 13:52 . 2009-03-20 13:56 872,960 --a------ c:\windows\system32\wjz.exe 2009-03-20 10:02 . 2009-03-20 10:02 268 --ah----- C:\sqmdata03.sqm 2009-03-20 10:02 . 2009-03-20 10:02 244 --ah----- C:\sqmnoopt03.sqm 2009-03-19 21:32 . 2009-03-19 21:32 d-------- c:\program files\Trend Micro 2009-03-19 21:30 . 2009-03-19 21:30 268 --ah----- C:\sqmdata02.sqm 2009-03-19 21:30 . 2009-03-19 21:30 244 --ah----- C:\sqmnoopt02.sqm 2009-03-19 21:24 . 2009-03-20 18:50 d-------- c:\documents and settings\All Users\Application Data\Lavasoft 2009-03-19 21:16 . 2009-03-19 21:16 268 --ah----- C:\sqmdata01.sqm 2009-03-19 21:16 . 2009-03-19 21:16 244 --ah----- C:\sqmnoopt01.sqm 2009-03-19 21:00 . 2009-03-19 21:00 865,792 --a------ c:\windows\system32\xxj.exe 2009-03-18 17:24 . 2009-03-18 17:24 268 --ah----- C:\sqmdata00.sqm 2009-03-18 17:24 . 2009-03-18 17:24 244 --ah----- C:\sqmnoopt00.sqm 2009-03-17 19:55 . 2009-03-17 19:55 d-------- c:\program files\Common Files 2009-03-17 19:51 . 2003-07-18 13:17 5,174 --a------ c:\windows\system32 ppt9x.vxd 2009-03-17 19:51 . 2005-01-02 04:43 4,682 --a------ c:\windows\system32 pptNT2.sys 2009-03-17 19:22 . 2009-03-17 19:22 d-------- c:\program files\Fichiers communs\Adobe 2009-03-17 19:10 . 2002-08-29 01:32 21,760 --a--c--- c:\windows\system32\dllcache\usbstor.sys 2009-03-17 19:05 . 2009-03-24 20:44 16,516 --a------ c:\windows\system32\BMXStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 19:05 . 2009-03-24 20:44 16,516 --a------ c:\windows\system32\BMXState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 19:05 . 2009-03-24 20:44 1,080 --a------ c:\windows\system32\settingsbkup.sfm 2009-03-17 19:05 . 2009-03-24 20:44 1,080 --a------ c:\windows\system32\settings.sfm 2009-03-17 19:05 . 2009-03-24 20:44 24 --a------ c:\windows\system32\DVCStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.dat 2009-03-17 19:05 . 2009-03-24 20:44 24 --a------ c:\windows\system32\DVCState-{00000001-00000000-00000009-00001102-00000002-80651102}.dat 2009-03-17 18:52 . 2009-03-19 21:32 3,375,097 --a------ c:\windows\{00000001-00000000-00000009-00001102-00000002-80651102}.CDF 2009-03-17 18:50 . 1999-12-17 01:00 6,752 --------- c:\windows\system32\PFMODNT.SYS 2009-03-17 18:42 . 2009-03-17 18:51 d-------- c:\program files\Creative 2009-03-17 18:41 . 2003-03-05 12:19 15,840 --------- c:\windows\system32\drivers\PFMODNT.SYS 2009-03-17 18:38 . 2001-11-15 08:25 3,735,544 --a------ c:\windows\CTDV10K2.CDF 2009-03-17 18:38 . 2002-07-02 07:38 3,206,822 --a------ c:\windows\CTDVAUDY.CDF 2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a------ c:\windows\system32\drivers\portcls.sys 2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a--c--- c:\windows\system32\dllcache\portcls.sys 2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a------ c:\windows\system32\drivers\drmk.sys 2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a--c--- c:\windows\system32\dllcache\drmk.sys 2009-03-17 18:38 . 2009-03-24 20:44 25,296 --a------ c:\windows\system32\BMXCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 18:38 . 2009-03-24 20:44 25,296 --a------ c:\windows\system32\BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 18:38 . 2001-12-21 01:02 20,480 --a------ c:\windows\INRESFRN.DLL 2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a------ c:\windows\system32\drivers\gameenum.sys 2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a--c--- c:\windows\system32\dllcache\gameenum.sys 2009-03-17 18:34 . 1999-10-11 02:01 41,984 --------- c:\windows\CTRegRun.exe 2009-03-17 18:29 . 2009-03-17 18:29 d-------- c:\program files\Lavalys 2009-03-17 18:10 . 2009-03-17 18:10 d-------- c:\program files\Teamspeak2_RC2 2009-03-17 18:10 . 2009-03-17 18:10 d-------- c:\documents and settings\J@n\Application Data eamspeak2 2009-03-17 18:10 . 2009-03-17 18:10 34,064 --a------ c:\windows\system32\lhacm.acm 2009-03-17 17:48 . 2009-03-17 17:48 d-------- c:\documents and settings\J@n\Contacts 2009-03-17 17:47 . 2009-03-20 18:50 d----c--- c:\windows\system32\DRVSTORE 2009-03-17 17:47 . 2009-03-17 17:47 d-------- c:\program files\Razer 2009-03-17 17:47 . 2009-03-17 17:47 d-------- c:\program files\MSN Messenger 2009-03-17 17:47 . 2009-03-17 17:47 d-------- c:\documents and settings\All Users\Application Data\Razer 2009-03-17 17:47 . 2007-01-23 16:17 77,824 --a------ c:\windows\system32\ReclusaR.cpl 2009-03-17 17:47 . 2007-01-18 09:21 41,984 --a------ c:\windows\system32\drivers\RecFltr.sys 2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a------ c:\windows\system32\drivers\hidclass.sys 2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a--c--- c:\windows\system32\dllcache\hidclass.sys 2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a------ c:\windows\system32\drivers\hidparse.sys 2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a--c--- c:\windows\system32\dllcache\hidparse.sys 2009-03-17 17:47 . 2005-12-22 03:23 14,592 --a------ c:\windows\system32\drivers\Usbicp.sys 2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys 2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys 2009-03-17 17:46 . 2009-03-17 17:46 d-------- c:\documents and settings\J@n\Application Data\InstallShield 2009-03-17 16:40 . 2009-03-17 16:40 d-------- c:\documents and settings\J@n\Application Data\dvdcss 2009-03-17 16:39 . 2003-03-19 04:14 499,712 --a------ c:\windows\system32\msvcp71.dll 2009-03-17 16:39 . 2004-01-11 23:00 348,160 --a------ c:\windows\system32\msvcr71.dll 2009-03-17 16:09 . 2009-03-17 16:10 d-------- c:\documents and settings\J@n\Application Data\vlc 2009-03-16 23:18 . 2009-03-02 19:10 67,584 --a------ c:\windows\system32\ff_vfw.dll 2009-03-16 23:18 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest 2009-03-16 23:15 . 2008-12-04 21:42 815,104 --a------ c:\windows\system32\xvidcore.dll 2009-03-16 23:15 . 2008-12-04 21:46 180,224 --a------ c:\windows\system32\xvidvfw.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-19 19:17 135,168 ----a-w c:\windows\system32\sfc_os.dll 2009-03-16 18:52 558,142 ----a-w c:\windows\java\Packages\77N9BFTB.ZIP 2009-03-16 18:52 155,995 ----a-w c:\windows\java\Packages\VVHVDF1N.ZIP 2009-03-16 18:52 --------- d-----w c:\program files\microsoft frontpage 2009-03-16 18:50 --------- d-----w c:\program files\Services en ligne 2009-02-16 22:17 453,152 ----a-w c:\windows\system32\NVUNINST.EXE 2009-01-27 01:34 90,112 ----a-w c:\windows\system32\dpl100.dll 2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx0c.dll 2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx07.dll 2009-01-27 01:34 815,104 ----a-w c:\windows\system32\divx_xx0a.dll 2009-01-27 01:34 802,816 ----a-w c:\windows\system32\divx_xx11.dll 2009-01-27 01:34 684,032 ----a-w c:\windows\system32\DivX.dll 2002-08-30 12:00 157,868 --sha-r c:\windows\system32 qkrlnvq.dll . ------- Sigcheck ------- 2002-08-30 13:00 1015296 3e32f0ab7fca08b0dca56c1f40b5d620 c:\windows\explorer.exe 2002-08-30 13:00 1015296 a9630320d9141a7b70d58f8d59667284 c:\windows\system32\dllcache\explorer.exe 2002-08-30 13:00 20480 273d235c693dcd8aa8ffbddb844d8e05 c:\windows\system32\ctfmon.exe 2002-08-30 13:00 20480 8eb0a80e91180a0328dc6197b8eee851 c:\windows\system32\dllcache\ctfmon.exe 2002-08-30 13:00 58368 14a829fcda7b7c008de11de96eccac8f c:\windows\system32\spoolsv.exe 2002-08-30 13:00 58368 282945a8e3937ef2c98f68e0da1da30f c:\windows\system32\dllcache\spoolsv.exe 2002-08-30 13:00 150016 2baaae5a225f3473ea398d6ad9dee169 c:\windows\system32\wuauclt.exe 2002-08-30 13:00 150016 57e63af5a265f18240a4b8b76e8e288c c:\windows\system32\dllcache\wuauclt.exe 2002-08-30 13:00 29696 4e98af93f4605013fac7f090f7a2d287 c:\windows\system32\userinit.exe 2002-08-30 13:00 29696 e6c27fb80b8bedbb11bb3c81e197d71d c:\windows\system32\dllcache\userinit.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 20480] "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "Steam"="i:\jeux\steam\steam.exe" [2008-10-08 1410296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2009-02-18 13680640] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2009-02-18 86016] "Reclusa"="c:\program files\Razer\Reclusa azerhid.exe" [2007-06-18 176128] "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 98304] "Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 36864] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 216321] "SoundMan"="SOUNDMAN.EXE" [2004-12-01 c:\windows\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 20480] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\!SASWinLogon] 2007-04-19 13:41 294912 c:\program files\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-03-20 22360] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-03-20 45416] R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2008-05-13 8944] R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2008-05-13 55024] R2 DelSrv Service Controler;DelSrv Service Controler;c:\windows\system32\drivers\DelSrv.exe [2009-03-22 872960] R3 RecFltr;Reclusa Keyboard;c:\windows\system32\drivers\RecFltr.sys [2009-03-17 41984] S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-21 115457] S2 bgyvtx;System Security;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800] S2 ovsva;Windows Microsoft;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800] S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-05-13 7408] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs bgyvtx ovsva . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web elated.htm DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\J@n\Application Data\Mozilla\Firefox\Profiles\dv36ulxn.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?rls=ig&hl=fr&source=iglk FF - plugin: c:\program files\Codecs\DivX\DivX Player pDivxPlayerPlugin.dll FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins ppl3260.dll FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins prpjplug.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-24 21:11:41 Windows 5.1.2600 Service Pack 1 NTFS detected NTDLL code modification: ZwOpenFile Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bgyvtx] "ServiceDll"="c:\windows\System32 qkrlnvq.dll"

anthony5151 · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour YankiWolff, il n'est pas transposable sur un autre ordinateur ! 

• Télécharge ce dossier YankiWolff.zip 
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination 
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau. 

• Désactive tes logiciels de protection 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe 

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
• Si le fichier ne s'ouvre pas, il se trouve ici &#8594; C:\ComboFix.txt

Yanki.Wolff · Answer

J'ai eu une erreur du fichier Delserv.exe, me disant qu'il était introuvable. bizare.... Voici le rapport : ComboFix 09-03-23.01 - J@n 2009-03-25 14:48:01.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.2047.1693 [GMT 1:00] Lancé depuis: c:\documents and settings\J@n\Bureau\combo.exe Commutateurs utilisés :: c:\documents and settings\J@n\Bureau\CFScript.txt * Un nouveau point de restauration a été créé AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\k8m1l3e9f4n7.exe c:\windows\System32\.exe c:\windows\system32\dlu.exe c:\windows\system32\ftpupd.exe c:\windows\System32\jow.exe c:\windows\System32\lrp.exe c:\windows\System32\mbe.exe c:\windows\System32 yf.exe c:\windows\system32 qkrlnvq.dll c:\windows\System32 td.exe c:\windows\System32\uzq.exe c:\windows\System32\vlo.exe c:\windows\System32\vnw.exe c:\windows\System32\wjz.exe c:\windows\System32\xxj.exe c:\windows\System32\zae.exe K:\autorun.inf . ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-25 au 2009-03-25 )))))))))))))))))))))))))))))))))))) . 2009-03-24 21:18 . 2009-03-24 21:18 268 --ah----- C:\sqmdata17.sqm 2009-03-24 21:18 . 2009-03-24 21:18 244 --ah----- C:\sqmnoopt17.sqm 2009-03-24 21:08 . 2009-03-24 21:12 d-------- C:\YankiWolff 2009-03-24 13:20 . 2009-03-24 13:20 268 --ah----- C:\sqmdata16.sqm 2009-03-24 13:20 . 2009-03-24 13:20 244 --ah----- C:\sqmnoopt16.sqm 2009-03-24 11:39 . 2009-03-24 18:41 d-------- C: sit 2009-03-24 10:14 . 2009-03-24 10:14 268 --ah----- C:\sqmdata15.sqm 2009-03-24 10:14 . 2009-03-24 10:14 244 --ah----- C:\sqmnoopt15.sqm 2009-03-24 10:07 . 2009-03-24 10:07 268 --ah----- C:\sqmdata14.sqm 2009-03-24 10:07 . 2009-03-24 10:07 244 --ah----- C:\sqmnoopt14.sqm 2009-03-23 18:03 . 2009-03-23 18:03 268 --ah----- C:\sqmdata13.sqm 2009-03-23 18:03 . 2009-03-23 18:03 244 --ah----- C:\sqmnoopt13.sqm 2009-03-22 13:11 . 2009-03-22 13:11 268 --ah----- C:\sqmdata11.sqm 2009-03-22 13:11 . 2009-03-22 13:11 244 --ah----- C:\sqmnoopt11.sqm 2009-03-22 12:59 . 2009-03-22 12:59 268 --ah----- C:\sqmdata10.sqm 2009-03-22 12:59 . 2009-03-22 12:59 244 --ah----- C:\sqmnoopt10.sqm 2009-03-22 12:57 . 2009-03-22 12:57 268 --ah----- C:\sqmdata09.sqm 2009-03-22 12:57 . 2009-03-22 12:57 244 --ah----- C:\sqmnoopt09.sqm 2009-03-22 12:56 . 2009-03-22 12:56 268 --ah----- C:\sqmdata08.sqm 2009-03-22 12:56 . 2009-03-22 12:56 244 --ah----- C:\sqmnoopt08.sqm 2009-03-22 12:51 . 2009-03-22 12:51 d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com 2009-03-22 12:50 . 2009-03-22 12:51 d-------- c:\program files\SUPERAntiSpyware 2009-03-22 12:50 . 2009-03-22 12:50 d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2009-03-22 12:50 . 2009-03-22 12:50 d-------- c:\documents and settings\J@n\Application Data\SUPERAntiSpyware.com 2009-03-22 12:42 . 2009-03-22 12:42 d-------- c:\program files\CCleaner 2009-03-22 12:38 . 2009-03-22 12:38 2,422 --a------ c:\windows\system32\wpa.bak 2009-03-22 11:39 . 2009-03-22 11:39 872,960 -r-hs---- c:\windows\system32\drivers\DelSrv.exe 2009-03-22 09:07 . 2009-03-22 09:07 268 --ah----- C:\sqmdata12.sqm 2009-03-22 09:07 . 2009-03-22 09:07 244 --ah----- C:\sqmnoopt12.sqm 2009-03-21 11:46 . 2009-03-21 11:46 268 --ah----- C:\sqmdata07.sqm 2009-03-21 11:46 . 2009-03-21 11:46 244 --ah----- C:\sqmnoopt07.sqm 2009-03-21 11:38 . 2009-03-24 21:20 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-03-21 11:38 . 2009-03-21 11:38 d-------- c:\documents and settings\J@n\Application Data\Malwarebytes 2009-03-21 11:38 . 2009-03-21 11:38 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-03-21 11:38 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-21 11:38 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-20 20:10 . 2009-03-21 11:24 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-03-20 20:05 . 2009-03-20 20:05 268 --ah----- C:\sqmdata06.sqm 2009-03-20 20:05 . 2009-03-20 20:05 244 --ah----- C:\sqmnoopt06.sqm 2009-03-20 18:28 . 2009-03-20 18:28 d-------- c:\program files\Spybot - Search & Destroy 2009-03-20 18:28 . 2009-03-22 12:34 d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-03-20 18:27 . 2009-03-20 18:27 268 --ah----- C:\sqmdata05.sqm 2009-03-20 18:27 . 2009-03-20 18:27 244 --ah----- C:\sqmnoopt05.sqm 2009-03-20 17:53 . 2009-03-20 17:53 16,896 --a------ c:\windows\system32\fltlib.dll 2009-03-20 17:47 . 2009-03-20 17:47 268 --ah----- C:\sqmdata04.sqm 2009-03-20 17:47 . 2009-03-20 17:47 244 --ah----- C:\sqmnoopt04.sqm 2009-03-20 17:43 . 2009-03-20 17:43 d----c--- c:\documents and settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185} 2009-03-20 10:02 . 2009-03-20 10:02 268 --ah----- C:\sqmdata03.sqm 2009-03-20 10:02 . 2009-03-20 10:02 244 --ah----- C:\sqmnoopt03.sqm 2009-03-19 21:32 . 2009-03-19 21:32 d-------- c:\program files\Trend Micro 2009-03-19 21:30 . 2009-03-19 21:30 268 --ah----- C:\sqmdata02.sqm 2009-03-19 21:30 . 2009-03-19 21:30 244 --ah----- C:\sqmnoopt02.sqm 2009-03-19 21:24 . 2009-03-20 18:50 d-------- c:\documents and settings\All Users\Application Data\Lavasoft 2009-03-19 21:16 . 2009-03-19 21:16 268 --ah----- C:\sqmdata01.sqm 2009-03-19 21:16 . 2009-03-19 21:16 244 --ah----- C:\sqmnoopt01.sqm 2009-03-18 17:24 . 2009-03-18 17:24 268 --ah----- C:\sqmdata00.sqm 2009-03-18 17:24 . 2009-03-18 17:24 244 --ah----- C:\sqmnoopt00.sqm 2009-03-17 19:55 . 2009-03-17 19:55 d-------- c:\program files\Common Files 2009-03-17 19:51 . 2003-07-18 13:17 5,174 --a------ c:\windows\system32 ppt9x.vxd 2009-03-17 19:51 . 2005-01-02 04:43 4,682 --a------ c:\windows\system32 pptNT2.sys 2009-03-17 19:22 . 2009-03-17 19:22 d-------- c:\program files\Fichiers communs\Adobe 2009-03-17 19:10 . 2002-08-29 01:32 21,760 --a--c--- c:\windows\system32\dllcache\usbstor.sys 2009-03-17 19:05 . 2009-03-25 14:49 16,516 --a------ c:\windows\system32\BMXStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 19:05 . 2009-03-25 14:49 16,516 --a------ c:\windows\system32\BMXState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 19:05 . 2009-03-25 14:49 1,080 --a------ c:\windows\system32\settingsbkup.sfm 2009-03-17 19:05 . 2009-03-25 14:49 1,080 --a------ c:\windows\system32\settings.sfm 2009-03-17 19:05 . 2009-03-25 14:49 24 --a------ c:\windows\system32\DVCStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.dat 2009-03-17 19:05 . 2009-03-25 14:49 24 --a------ c:\windows\system32\DVCState-{00000001-00000000-00000009-00001102-00000002-80651102}.dat 2009-03-17 18:52 . 2009-03-19 21:32 3,375,097 --a------ c:\windows\{00000001-00000000-00000009-00001102-00000002-80651102}.CDF 2009-03-17 18:50 . 1999-12-17 01:00 6,752 --------- c:\windows\system32\PFMODNT.SYS 2009-03-17 18:42 . 2009-03-17 18:51 d-------- c:\program files\Creative 2009-03-17 18:41 . 2003-03-05 12:19 15,840 --------- c:\windows\system32\drivers\PFMODNT.SYS 2009-03-17 18:38 . 2001-11-15 08:25 3,735,544 --a------ c:\windows\CTDV10K2.CDF 2009-03-17 18:38 . 2002-07-02 07:38 3,206,822 --a------ c:\windows\CTDVAUDY.CDF 2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a------ c:\windows\system32\drivers\portcls.sys 2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a--c--- c:\windows\system32\dllcache\portcls.sys 2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a------ c:\windows\system32\drivers\drmk.sys 2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a--c--- c:\windows\system32\dllcache\drmk.sys 2009-03-17 18:38 . 2009-03-25 14:49 25,296 --a------ c:\windows\system32\BMXCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 18:38 . 2009-03-25 14:49 25,296 --a------ c:\windows\system32\BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx 2009-03-17 18:38 . 2001-12-21 01:02 20,480 --a------ c:\windows\INRESFRN.DLL 2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a------ c:\windows\system32\drivers\gameenum.sys 2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a--c--- c:\windows\system32\dllcache\gameenum.sys 2009-03-17 18:34 . 1999-10-11 02:01 41,984 --------- c:\windows\CTRegRun.exe 2009-03-17 18:29 . 2009-03-17 18:29 d-------- c:\program files\Lavalys 2009-03-17 18:10 . 2009-03-17 18:10 d-------- c:\program files\Teamspeak2_RC2 2009-03-17 18:10 . 2009-03-17 18:10 d-------- c:\documents and settings\J@n\Application Data eamspeak2 2009-03-17 18:10 . 2009-03-17 18:10 34,064 --a------ c:\windows\system32\lhacm.acm 2009-03-17 17:48 . 2009-03-17 17:48 d-------- c:\documents and settings\J@n\Contacts 2009-03-17 17:47 . 2009-03-20 18:50 d----c--- c:\windows\system32\DRVSTORE 2009-03-17 17:47 . 2009-03-17 17:47 d-------- c:\program files\Razer 2009-03-17 17:47 . 2009-03-17 17:47 d-------- c:\program files\MSN Messenger 2009-03-17 17:47 . 2009-03-17 17:47 d-------- c:\documents and settings\All Users\Application Data\Razer 2009-03-17 17:47 . 2007-01-23 16:17 77,824 --a------ c:\windows\system32\ReclusaR.cpl 2009-03-17 17:47 . 2007-01-18 09:21 41,984 --a------ c:\windows\system32\drivers\RecFltr.sys 2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a------ c:\windows\system32\drivers\hidclass.sys 2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a--c--- c:\windows\system32\dllcache\hidclass.sys 2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a------ c:\windows\system32\drivers\hidparse.sys 2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a--c--- c:\windows\system32\dllcache\hidparse.sys 2009-03-17 17:47 . 2005-12-22 03:23 14,592 --a------ c:\windows\system32\drivers\Usbicp.sys 2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys 2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys 2009-03-17 17:46 . 2009-03-17 17:46 d-------- c:\documents and settings\J@n\Application Data\InstallShield 2009-03-17 16:40 . 2009-03-17 16:40 d-------- c:\documents and settings\J@n\Application Data\dvdcss 2009-03-17 16:39 . 2003-03-19 04:14 499,712 --a------ c:\windows\system32\msvcp71.dll 2009-03-17 16:39 . 2004-01-11 23:00 348,160 --a------ c:\windows\system32\msvcr71.dll 2009-03-17 16:09 . 2009-03-17 16:10 d-------- c:\documents and settings\J@n\Application Data\vlc 2009-03-16 23:18 . 2009-03-02 19:10 67,584 --a------ c:\windows\system32\ff_vfw.dll 2009-03-16 23:18 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest 2009-03-16 23:15 . 2008-12-04 21:42 815,104 --a------ c:\windows\system32\xvidcore.dll 2009-03-16 23:15 . 2008-12-04 21:46 180,224 --a------ c:\windows\system32\xvidvfw.dll 2009-03-16 23:15 . 2008-12-04 19:00 110,592 --a------ c:\windows\system32\xvid.ax 2009-03-16 23:09 . 2009-03-16 23:09 d-------- c:\program files\Fichiers communs\DivX Shared 2009-03-16 23:09 . 2009-03-17 16:41 d-------- c:\program files\Codecs 2009-03-16 23:04 . 2009-03-16 23:04 10,752 --ahs---- c:\windows\Thumbs.db 2009-03-16 23:03 . 2009-03-16 23:03 d-------- c:\documents and settings\J@n\Application Data\Media Player Classic 2009-03-16 23:01 . 2009-03-16 23:01 d-------- c:\documents and settings\J@n\Application Data\DivX 2009-03-16 23:00 . 2009-01-27 02:35 120,056 --------- c:\windows\system32\pxcpyi64.exe 2009-03-16 23:00 . 2009-01-27 02:35 118,520 --------- c:\windows\system32\pxinsi64.exe 2009-03-16 22:45 . 2009-03-16 22:45 d-------- c:\windows\system32\Lang 2009-03-16 22:45 . 2009-03-16 22:45 940,794 --a------ c:\windows\system32\LoopyMusic.wav 2009-03-16 22:45 . 2009-03-16 22:45 146,650 --a------ c:\windows\system32\BuzzingBee.wav 2009-03-16 22:45 . 2009-03-17 18:56 60,416 --a------ c:\windows\ALCFDRTM.VER 2009-03-16 22:45 . 2009-03-16 22:45 60,416 --a------ c:\windows\ALCFDRTM.EXE 2009-03-16 22:13 . 2009-03-16 22:13 d-------- c:\documents and settings\All Users\Application Data\ESET . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-19 19:17 135,168 ----a-w c:\windows\system32\sfc_os.dll 2009-03-16 18:52 558,142 ----a-w c:\windows\java\Packages\77N9BFTB.ZIP 2009-03-16 18:52 155,995 ----a-w c:\windows\java\Packages\VVHVDF1N.ZIP 2009-03-16 18:52 --------- d-----w c:\program files\microsoft frontpage 2009-03-16 18:50 --------- d-----w c:\program files\Services en ligne 2009-02-16 22:17 453,152 ----a-w c:\windows\system32\NVUNINST.EXE 2009-01-27 01:34 90,112 ----a-w c:\windows\system32\dpl100.dll 2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx0c.dll 2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx07.dll 2009-01-27 01:34 815,104 ----a-w c:\windows\system32\divx_xx0a.dll 2009-01-27 01:34 802,816 ----a-w c:\windows\system32\divx_xx11.dll 2009-01-27 01:34 684,032 ----a-w c:\windows\system32\DivX.dll . ------- Sigcheck ------- 2002-08-30 13:00 1015296 3e32f0ab7fca08b0dca56c1f40b5d620 c:\windows\explorer.exe 2002-08-30 13:00 1015296 a9630320d9141a7b70d58f8d59667284 c:\windows\system32\dllcache\explorer.exe 2002-08-30 13:00 20480 273d235c693dcd8aa8ffbddb844d8e05 c:\windows\system32\ctfmon.exe 2002-08-30 13:00 20480 8eb0a80e91180a0328dc6197b8eee851 c:\windows\system32\dllcache\ctfmon.exe 2002-08-30 13:00 58368 14a829fcda7b7c008de11de96eccac8f c:\windows\system32\spoolsv.exe 2002-08-30 13:00 58368 282945a8e3937ef2c98f68e0da1da30f c:\windows\system32\dllcache\spoolsv.exe 2002-08-30 13:00 150016 2baaae5a225f3473ea398d6ad9dee169 c:\windows\system32\wuauclt.exe 2002-08-30 13:00 150016 57e63af5a265f18240a4b8b76e8e288c c:\windows\system32\dllcache\wuauclt.exe 2002-08-30 13:00 29696 4e98af93f4605013fac7f090f7a2d287 c:\windows\system32\userinit.exe 2002-08-30 13:00 29696 e6c27fb80b8bedbb11bb3c81e197d71d c:\windows\system32\dllcache\userinit.exe . ((((((((((((((((((((((((((((( SnapShot@2009-03-24_21.11.50,03 ))))))))))))))))))))))))))))))))))))))))) . - 2009-03-24 19:45:25 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat + 2009-03-25 13:49:58 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat - 2009-03-24 19:45:25 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat + 2009-03-25 13:49:58 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat - 2009-03-24 19:45:25 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat + 2009-03-25 13:49:58 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 20480] "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "Steam"="i:\jeux\steam\steam.exe" [2008-10-08 1410296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2009-02-18 13680640] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2009-02-18 86016] "Reclusa"="c:\program files\Razer\Reclusa azerhid.exe" [2007-06-18 176128] "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 98304] "Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 36864] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "SoundMan"="SOUNDMAN.EXE" [2004-12-01 c:\windows\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 20480] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\!SASWinLogon] 2007-04-19 13:41 294912 c:\program files\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-03-20 22360] R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-03-20 45416] R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2008-05-13 8944] R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2008-05-13 55024] R2 DelSrv Service Controler;DelSrv Service Controler;c:\windows\system32\drivers\DelSrv.exe [2009-03-22 872960] R3 RecFltr;Reclusa Keyboard;c:\windows\system32\drivers\RecFltr.sys [2009-03-17 41984] S2 AntiVirSchedulerService;Avira AntiVir Scheduler;"c:\program files\Avira\AntiVir Desktop\sched.exe" --> c:\program files\Avira\AntiVir Desktop\sched.exe [?] S2 bgyvtx;System Security;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800] S2 ovsva;Windows Microsoft;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800] S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-05-13 7408] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs bgyvtx ovsva . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web elated.htm DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\J@n\Application Data\Mozilla\Firefox\Profiles\dv36ulxn.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?rls=ig&hl=fr&source=iglk FF - plugin: c:\program files\Codecs\DivX\DivX Player pDivxPlayerPlugin.dll FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins ppl3260.dll FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins prpjplug.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-25 14:50:10 Windows 5.1.2600 Service Pack 1 NTFS detected NTDLL code modification: ZwOpenFile Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bgyvtx] "ServiceDll"="c:\windows\System32 qkrlnvq.dll"

Yanki.Wolff · Answer

Je sais pas si c'est terminé, mais en tout cas, j'ai enfin accès au site de type microsoft et autre scan en ligne !
Tu touche ta bille ! Merci beaucoup.
J'ai supprimé toutes trace de antivir hier, je l'ai re téléchargé, mais en voulant l'installé, j'ai eu un message d'erreur me disant que le setup.exe avait été modifié certainement par un virus. Je vais le re dl et tenter ma chance.

edit : je vais d'ailleurs mettre à jour windows.

edit : Bon apparemment ce n'est pas terminé, je reçois le message 
"La somme CRC de  C:\DOCUME~1\J@N\LOCALS~1\Temp\RarSFX0\basic\setup.exe a été modifiée ! Cela pourrait avoir été provoqué par un virus !"

anthony5151 · Answer

Lance MalwareBytes, mets le à jour et fais un scan complet stp
Poste le rapport après la suppression

Yanki.Wolff · Answer

Impossible de faire de mise à jour... "Vérifier que vous êtes connecté à internet et que votre pare feu...."
Je soupçonne encore ces cochonneries, puisque qu'aucun parefeu n'est activé...

Voici tout de même le rapport du scan complet :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1880
Windows 5.1.2600 Service Pack 1

25/03/2009 23:47:05
mbam-log-2009-03-25 (23-47-05).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|I:\|K:\|)
Eléments examinés: 156399
Temps écoulé: 22 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32	qkrlnvq.dll (Worm.Downadup) -> Delete on reboot.
I:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Agent) -> Quarantined and deleted successfully.

anthony5151 · Answer

Effectivement, on tourne en rond...


Worm.Downadup ==> C'est le fameux virus Conficker, qui touche des millions d'ordinateurs depuis octobre 2008...

Ce virus se propage par deux moyens : 
- En exploitant une faille de Windows, qui a été corrigée en octobre dernier (vu que ton ordinateur n'est pas du tout à jour, ça vient surement de là). 
- Par disque amovible... Il faudra que tu désinfectes à nouveau tes disques amovibles quand on aura terminé, en réutilisant FlashDisinfector.


Commence par télécharger un pare-feu parmi tous ceux-ci
Personnellement, je te conseille PC Tools Firewall qui est assez simple d'utilisation. Si le téléchargement ne fonctionne pas, utilise celui-ci.


Ensuite, on recommencera la désinfection, et il faudra immédiatement que tu fasses toutes les mises à jour de Windows

Yanki.Wolff · Answer

Ca y est j'ai installer le pare feu PC Tools Firewall. 

J'attends les instructions chef. A moins que je reprenne les précédentes ? Mais à partir d'où ?

anthony5151 · Answer

J'ai eu le temps de faire quelques recherches, et j'en ai profité pour écrire une astuce à ce sujet.

Suis la méthode préliminaire : http://www.commentcamarche.net/faq/sujet 16710 comment supprimer le virus conficker downadup kido#preliminaire

Ensuite, clique sur Menu démarrer --> tape Combofix /u (l'espace entre Combofix et /u est important). Supprime Combofix s'il en reste des traces sur ton Bureau.


Ensuite on recommence :


/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte (si possible...)
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Yanki.Wolff · Answer

BON !! J'étais en train de suivre le préliminaire, tout se passait bien jusqu'à que je doive télécharger le patch.
SP2 est obligatoirement pour pouvoir installer ce patch... Donc je télécharge à reculons sp2 (j'ai eu pas mal de soucis dans le temps avec...) Et évidemment, l'installe plante... j'ai eu beau réparer avec le cd win, impossible de démarrer.... Donc formatage... 

Mais j'ai toujours mes autres disques durs auquel je n'ai rien touché. 
J'ai installé antivir, maj faites. PC tools firewall plus.
Je re dl SP2 en ce moment même.
Je fais un rapport avec combofix ? RSIT ?

Edit : A l'instant...
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\x.
Action performed: Delete file

Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\I1CL056H\iwhc[1].jpg.
Action performed: Delete file

K8m1l3e9f4n7.exe et autres saloper***...

33 réponses

Votre réponse

Discussions similaires

Newsletters