K8m1l3e9f4n7.exe et autres saloper***...

Yanki.Wolff Messages postés 20 Statut Membre -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour tout le monde,
Je crapahute sur le net depuis un moment à la recherche d'informations sur les méthodes d'éradications de ce "rootkit" mais je galère. Donc je viens ici vous demander un peu d'aide.
Mais hélas ce n'est pas mon seul problème... Je reçois régulièrement un message d'erreur :

"initié par AUTORITE NT\SYSTEM
arrêt du systeme
C:\windows\sytem32\Isass.exe c'est arrêté de manière inattendue
code d'état 0"

Je me retrouve avec un compte à rebours d'une minute avant l'extinction des feux.

Ca ne s'arrête pas là... Je n'ai accès à aucun de ces sites du style : microsoft, scan en ligne (panda, kaspersky,...), windows update, etc...

Et non ! Ca ne s'arrête toujours pas là, pour finir mon antivirus antivir est complétement HS. Quand il se lance, je reçois ce message d'erreur :
c:\program files\avira\antivir desktop\avcenter.exe
cannot be found or has been modified or destroyed. The AVCENTER.EXE cannot be strated. Please check your installation!

Je ne peux pas le désinstaller correctement : pas d'unistall, et il plante quand je le désinstalle par l'ajout/suppression de programmes.

Je suis sur xp familial. J'ai formaté il y a 3 jours mon disque dur principal. (j'ai 2 autres disques durs, certainement à l'origine de ces problèmes...) Aucune mise à jour windows n'est possible.
J'ai fais des analyses avec spybot, malwarebyte's, CCleaner sans avoir fais les mises à jour, elle aussi sont bloquées ; quelques trojans et autre cookies ont été supprimés mais rien de concluant.

Je me tiens à votre disposition pour tout autres informations.
Je vous remercie par avance.
Configuration: Windows XP familial
Firefox 3.0.7

33 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    salut;
    as tu scanné les autres partitions??
    0
  2. Yanki.Wolff Messages postés 20 Statut Membre
     
    Salut,
    oui j'ai bien scan les autres partitions.
    0
  3. Yanki.Wolff Messages postés 20 Statut Membre
     
    Besoin d'un rapport hi jack this ou autre ?
    0
  4. Yanki.Wolff Messages postés 20 Statut Membre
     
    Je suis toujours au même point. Je reçois régulièrement un message avec un compte à rebours. Je réussis à m'en sortir en changeant l'heure mais ça devient lourd.

    Une idée quelqu'un ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Yanki.Wolff Messages postés 20 Statut Membre
     
    Aurais-je oublié de mettre une quelconque information ? Ou mal formulé ma requête ?
    0
  7. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

    • Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
    • Double clique sur RSIT.exe pour lancer l'outil.
    • Clique sur ' continue ' à l'écran Disclaimer.
    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés

    0
  8. Yanki.Wolff Messages postés 20 Statut Membre
     
    Salut,
    J'ai bien galéré pour télécharger ton logiciel étant donné que je n'avais pas accès au site que tu m'a donné tout comme les autres site de scan et de microsoft.
    Bref, voilà les 2 rapports :


    Info.txt :

    info.txt logfile of random's system information tool 1.06 2009-03-24 18:41:11

    ======Uninstall list======

    -->"C:\Program Files\Creative\SBLive\Program\Ctzapxx.EXE" /X /U /S /L:FRN
    -->C:\Program Files\Codecs\DivX\DivXConverterUninstall.exe /CONVERTER
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{58582977-44D2-44A0-A09B-031CC2AE5938}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9A4D2983-4662-4387-BE3D-4CFC2FA9C100}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{A731533B-B325-4D9C-91A4-D93C8E294C19}\setup.exe" -l0x40c /remove
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x40c
    -->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FD851F7E-F887-405D-9E1C-488811113EF3}\setup.exe" -l0x40c /remove
    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 9.1 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A91000000001}
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
    CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
    DivX Codec-->C:\Program Files\Codecs\DivX\DivXCodecUninstall.exe /CODEC
    DivX Converter-->C:\Program Files\Codecs\DivX\DivXConverterUninstall.exe /CONVERTER
    DivX Player-->C:\Program Files\Codecs\DivX\DivXPlayerUninstall.exe /PLAYER
    DivX Plus DirectShow Filters-->C:\Program Files\Codecs\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
    EVEREST Ultimate Edition v5.00-->"C:\Program Files\Lavalys\EVEREST Ultimate Edition\unins000.exe"
    ffdshow [rev 2768] [2009-03-13]-->"C:\Program Files\Codecs\ffdshow\unins000.exe"
    Haali Media Splitter-->"C:\Program Files\Codecs\Matroska Pack\haali\uninstall.exe"
    HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
    Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
    Matroska Pack-->C:\Program Files\Codecs\Matroska Pack\uninstall.exe
    Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
    Mozilla Firefox (3.0.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    NVIDIA Drivers-->C:\WINDOWS\System32\nvuninst.exe UninstallGUI
    Razer Reclusa Config-->C:\Program Files\InstallShield Installation Information\{328591D2-4F59-4EE1-ABF1-7F47E90E31A1}\setup.exe -runfromtemp -l0x0009 -removeonly
    Real Alternative 1.9.0-->"C:\Program Files\Codecs\Real Alternative\unins000.exe"
    Realtek AC'97 Audio-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
    Sound Blaster Live! Web 2K/XP-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{3FCAADB8-EB1B-11D6-AB2D-0090271A23A2}\Setup.exe" -l0x40c
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    SUPERAntiSpyware Free Edition-->MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
    TeamSpeak 2 RC2-->"C:\Program Files\Teamspeak2_RC2\unins000.exe"
    VC80CRTRedist - 8.0.50727.762-->MsiExec.exe /I{767CC44C-9BBC-438D-BAD3-FD4595DD148B}
    Visual C++ 2008 x86 Runtime - (v9.0.30729)-->MsiExec.exe /X{F333A33D-125C-32A2-8DCE-5C5D14231E27}
    Visual C++ 2008 x86 Runtime - v9.0.30729.01-->C:\WINDOWS\System32\msiexec.exe /x {F333A33D-125C-32A2-8DCE-5C5D14231E27} /qb+ REBOOTPROMPT=""
    VLC media player 0.9.8a-->C:\Program Files\Codecs\VLC\uninstall.exe
    Winamp-->"C:\Program Files\Winamp\UninstWA.exe"
    Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
    Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
    Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
    Xvid 1.2.1 final uninstall-->"C:\Program Files\Codecs\Xvid\unins000.exe"

    =====HijackThis Backups=====

    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE [2009-03-19]
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [2009-03-19]

    ======Hosts File======

    127.0.0.1 localhost # loopback
    87.98.207.15 l2authd.lineage2.com # m0o age
    87.98.207.15 L2testauthd.lineage2.com #m0o age
    91.121.50.64 nProtect.lineage2.com
    91.121.50.64 update.nProtect.com
    91.121.50.64 update.nProtect.net

    ======System event log======

    Computer Name: YANNICK
    Event Code: 60054
    Message: Le programme d'installation a correctement installé Windows version 2600.
    Record Number: 5
    Source Name: Setup
    Time Written: 20090316195333.000000+060
    Event Type: Informations
    User:

    Computer Name: YANNICK
    Event Code: 6011
    Message: Le nom NetBIOS et le nom de l'hôte DNS de cet ordinateur ont été modifiés de MACHINENAME vers YANNICK.

    Record Number: 4
    Source Name: EventLog
    Time Written: 20090316194917.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6005
    Message: Le service d'Enregistrement d'événement a démarré.

    Record Number: 3
    Source Name: EventLog
    Time Written: 20040101235004.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 6009
    Message: Microsoft (R) Windows (R) 5.01. 2600 Service Pack 1 Uniprocessor Free.

    Record Number: 2
    Source Name: EventLog
    Time Written: 20040101235004.000000+060
    Event Type: Informations
    User:

    Computer Name: MACHINENAME
    Event Code: 2
    Message: Pendant la validation de \Device\Serial0 en tant que port série, une FIFO a été détectée. La FIFO sera utilisée.

    Record Number: 1
    Source Name: Serial
    Time Written: 20040101235027.000000+060
    Event Type: Informations
    User:

    =====Application event log=====

    Computer Name: YANNICK
    Event Code: 8
    Message: Échec de la récupération de la mise à jour automatique du numéro de séquence de la liste racine tierce partie à partir de : <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt> avec l'erreur : 0x2ee7

    Record Number: 40
    Source Name: crypt32
    Time Written: 20090317174834.000000+060
    Event Type: erreur
    User:

    Computer Name: YANNICK
    Event Code: 11707
    Message: Produit : Windows Live Messenger -- L'installation s'est terminée correctement.

    Record Number: 39
    Source Name: MsiInstaller
    Time Written: 20090317174753.000000+060
    Event Type: Informations
    User:

    Computer Name: YANNICK
    Event Code: 4097
    Message: L'application, C:\Documents and Settings\J@n\Bureau\CCCP-Insurgent-2007-01-01.exe, a généré une erreur d'application
    L'erreur s'est produite le 03/17/2009 à 16:15:15.468
    L'exception générée était c0000005 à l'adresse 0040A84A (CCCP-Insurgent-2007-01-01)

    Record Number: 38
    Source Name: DrWatson
    Time Written: 20090317161515.000000+060
    Event Type: Informations
    User:

    Computer Name: YANNICK
    Event Code: 1000
    Message: Application défaillante cccp-insurgent-2007-01-01.exe, version 1.0.1.0, module défaillant cccp-insurgent-2007-01-01.exe, version 1.0.1.0, adresse de défaillance 0x0000a84a.

    Record Number: 37
    Source Name: Application Error
    Time Written: 20090317161514.000000+060
    Event Type: erreur
    User:

    Computer Name: YANNICK
    Event Code: 1002
    Message: Application bloquée explorer.exe, version 6.0.2800.1106, module bloqué hungapp, version 0.0.0.0, adresse de blocage 0x00000000.

    Record Number: 36
    Source Name: Application Hang
    Time Written: 20090316233453.000000+060
    Event Type: erreur
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "windir"=%SystemRoot%
    "OS"=Windows_NT
    "PROCESSOR_ARCHITECTURE"=x86
    "PROCESSOR_LEVEL"=15
    "PROCESSOR_IDENTIFIER"=x86 Family 15 Model 39 Stepping 1, AuthenticAMD
    "PROCESSOR_REVISION"=2701
    "NUMBER_OF_PROCESSORS"=1
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP

    -----------------EOF-----------------


    log.txt :

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by J@n at 2009-03-24 18:41:06
    Microsoft Windows XP Édition familiale Service Pack 1
    System drive C: has 81 GB (84%) free of 95 GB
    Total RAM: 2047 MB (84% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:41:09, on 24/03/2009
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\WINDOWS\system32\drivers\DelSrv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\drivers\DelSrv.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Razer\Reclusa\razerhid.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    I:\jeux\steam\steam.exe
    C:\Program Files\Razer\Reclusa\razertra.exe
    C:\WINDOWS\System32\imapi.exe
    C:\Documents and Settings\J@n\Bureau\RSIT.exe
    C:\Program Files\Trend Micro\HijackThis\J@n.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\DelSrv.exe
    O1 - Hosts: 87.98.207.15 l2authd.lineage2.com # m0o age
    O1 - Hosts: 87.98.207.15 L2testauthd.lineage2.com #m0o age
    O1 - Hosts: 91.121.50.64 nProtect.lineage2.com
    O1 - Hosts: 91.121.50.64 update.nProtect.com
    O1 - Hosts: 91.121.50.64 update.nProtect.net
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Reclusa] C:\Program Files\Razer\Reclusa\razerhid.exe
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "i:\jeux\steam\steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
    O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
    O23 - Service: DelSrv Service Controler - Unknown owner - C:\WINDOWS\system32\drivers\DelSrv.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  9. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Ton ordinateur est très infecté, on va devoir utiliser plusieurs programmes pour désinfecter... Si tu n'arrives pas à accéder à certaines pages que je te propose, c'est à cause de l'infection : préviens moi, on contourneras le problème

    Télécharge Flash Disinfector (de sUBs) sur ton Bureau.
    • Double clique dessus pour le lancer
    • Une fenêtre "Start Flash Disinfector" va apparaître --> branche tous tes disques amovibles (clés USB, lecteurs mp3, disques durs externes, iPod...) et clique sur OK.
    • Tes icônes vont disparaitre, c'est normal, ne touche à rien pendant la désinfection.
    • Lorsque le message "Finish" apparaît, clique sur OK.

    Remarque : ton antivirus peut afficher une alerte pour ce programme, c'est bien sûr une fausse alerte. Si c'est le cas, désactive le temporairement.

    • Télécharge RHosts (de S!Ri)
    • Double clique dessus pour l'exécuter
    • Clique sur "Restore original Hosts" (il ne se passe rien de visible, c'est normal)
    • Pour finir, fais redémarrer l'ordinateur.

    • Télécharge et installe Malwarebytes' Anti-Malware
    • A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    • Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    • Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    • Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    • A la fin du scan, clique sur Afficher les résultats
    • Coche tous les éléments détectés puis clique sur Supprimer la sélection
    • Enregistre le rapport
    • S'il t'est demandé de redémarrer, clique sur Yes

    • Poste le rapport de scan après la suppression ici

    0
  10. Yanki.Wolff Messages postés 20 Statut Membre
     
    Je viens de désinfecter avec Flash Disinfector.
    Concernant le hosts, je l'ai modifié moi même pour pouvoir me connecter à un server de jeu. Mais j'ai quand même utilisé RHosts au cas où.
    Pour Malwarebytes' Anti-Malware, je ne peux pas faire les mise à jour. Elles sont bloquées comme pour les sites de scan, etc... Une solution ?
    Merci.
    0
  11. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    "Concernant le hosts, je l'ai modifié moi même pour pouvoir me connecter à un server de jeu"
    ==> Ok, dans ce cas tu devras sûrement le refaire après avoir utilisé Rhosts.

    En fait on va passer tout de suite à la grosse artillerie, on utilisera MalwareBytes quand ta connection sera rétablie.

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection /!\

    • Télécharge ComboFix (de sUBs) sur ton Bureau.
    • Double-clique sur Yanki.Wollff.exe afin de le lancer (je l'ai renommé pour éviter qu'il soit bloqué par l'infection)
    • Il va te demander d'installer la console de récupération : accepte.
    • Ne touche à rien pendant le scan.
    • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    0
  12. Yanki.Wolff Messages postés 20 Statut Membre
     
    J'ai accepté l'installation de la console, mais ça a échoué, même problème que pour les mises à jour et site scan...

    Voilà le scan :

    ComboFix 09-03-23.01 - J@n 2009-03-24 21:10:37.1 - NTFSx86
    Lancé depuis: c:\documents and settings\J@n\Bureau\YankiWolff.exe
    * Un nouveau point de restauration a été créé

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\.exe
    c:\windows\system32\ftpupd.exe
    c:\windows\system32\pthreadGC2.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-24 au 2009-03-24 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-24 21:00 . 2009-03-24 21:07 <REP> d--h----- c:\documents and settings\All Users\Application Data\~0
    2009-03-24 20:49 . 2009-03-24 20:49 <REP> d-------- c:\program files\Unlocker
    2009-03-24 19:00 . 2009-03-24 19:00 872,960 --a------ c:\windows\system32\dlu.exe
    2009-03-24 18:07 . 2009-03-24 18:09 872,960 --a------ c:\windows\system32\nyf.exe
    2009-03-24 14:36 . 2009-03-24 14:37 872,960 --a------ c:\windows\system32\vnw.exe
    2009-03-24 13:20 . 2009-03-24 13:20 268 --ah----- C:\sqmdata16.sqm
    2009-03-24 13:20 . 2009-03-24 13:20 244 --ah----- C:\sqmnoopt16.sqm
    2009-03-24 11:39 . 2009-03-24 18:41 <REP> d-------- C:\rsit
    2009-03-24 10:14 . 2009-03-24 10:14 268 --ah----- C:\sqmdata15.sqm
    2009-03-24 10:14 . 2009-03-24 10:14 244 --ah----- C:\sqmnoopt15.sqm
    2009-03-24 10:07 . 2009-03-24 10:07 268 --ah----- C:\sqmdata14.sqm
    2009-03-24 10:07 . 2009-03-24 10:07 244 --ah----- C:\sqmnoopt14.sqm
    2009-03-23 18:13 . 2009-03-23 18:13 872,960 --a------ c:\windows\system32\mbe.exe
    2009-03-23 18:03 . 2009-03-23 18:03 268 --ah----- C:\sqmdata13.sqm
    2009-03-23 18:03 . 2009-03-23 18:03 244 --ah----- C:\sqmnoopt13.sqm
    2009-03-23 13:06 . 2009-03-23 13:07 872,960 --a------ c:\windows\system32\uzq.exe
    2009-03-23 12:11 . 2009-03-23 12:11 872,960 --a------ c:\windows\system32\jow.exe
    2009-03-22 16:55 . 2009-03-22 16:57 872,960 --a------ c:\windows\system32\zae.exe
    2009-03-22 13:11 . 2009-03-22 13:11 268 --ah----- C:\sqmdata11.sqm
    2009-03-22 13:11 . 2009-03-22 13:11 244 --ah----- C:\sqmnoopt11.sqm
    2009-03-22 12:59 . 2009-03-22 12:59 268 --ah----- C:\sqmdata10.sqm
    2009-03-22 12:59 . 2009-03-22 12:59 244 --ah----- C:\sqmnoopt10.sqm
    2009-03-22 12:57 . 2009-03-22 12:57 268 --ah----- C:\sqmdata09.sqm
    2009-03-22 12:57 . 2009-03-22 12:57 244 --ah----- C:\sqmnoopt09.sqm
    2009-03-22 12:56 . 2009-03-22 12:56 268 --ah----- C:\sqmdata08.sqm
    2009-03-22 12:56 . 2009-03-22 12:56 244 --ah----- C:\sqmnoopt08.sqm
    2009-03-22 12:51 . 2009-03-22 12:51 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
    2009-03-22 12:50 . 2009-03-22 12:51 <REP> d-------- c:\program files\SUPERAntiSpyware
    2009-03-22 12:50 . 2009-03-22 12:50 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
    2009-03-22 12:50 . 2009-03-22 12:50 <REP> d-------- c:\documents and settings\J@n\Application Data\SUPERAntiSpyware.com
    2009-03-22 12:42 . 2009-03-22 12:42 <REP> d-------- c:\program files\CCleaner
    2009-03-22 12:38 . 2009-03-22 12:38 2,422 --a------ c:\windows\system32\wpa.bak
    2009-03-22 11:39 . 2009-03-22 11:39 872,960 -r-hs---- c:\windows\system32\drivers\DelSrv.exe
    2009-03-22 09:07 . 2009-03-22 09:07 268 --ah----- C:\sqmdata12.sqm
    2009-03-22 09:07 . 2009-03-22 09:07 244 --ah----- C:\sqmnoopt12.sqm
    2009-03-21 12:36 . 2009-03-21 12:36 872,960 --a------ c:\windows\system32\vlo.exe
    2009-03-21 11:46 . 2009-03-21 11:46 268 --ah----- C:\sqmdata07.sqm
    2009-03-21 11:46 . 2009-03-21 11:46 244 --ah----- C:\sqmnoopt07.sqm
    2009-03-21 11:42 . 2009-03-21 11:42 49,152 --a------ c:\windows\system32\lrp.exe
    2009-03-21 11:38 . 2009-03-21 11:38 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2009-03-21 11:38 . 2009-03-21 11:38 <REP> d-------- c:\documents and settings\J@n\Application Data\Malwarebytes
    2009-03-21 11:38 . 2009-03-21 11:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-03-21 11:38 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2009-03-21 11:38 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2009-03-21 11:24 . 2009-03-21 11:24 <REP> d-------- c:\program files\Avira
    2009-03-20 20:20 . 2009-03-20 20:21 872,960 --a------ c:\windows\system32\ttd.exe
    2009-03-20 20:10 . 2009-03-21 11:24 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
    2009-03-20 20:05 . 2009-03-20 20:05 268 --ah----- C:\sqmdata06.sqm
    2009-03-20 20:05 . 2009-03-20 20:05 244 --ah----- C:\sqmnoopt06.sqm
    2009-03-20 18:28 . 2009-03-20 18:28 <REP> d-------- c:\program files\Spybot - Search & Destroy
    2009-03-20 18:28 . 2009-03-22 12:34 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-03-20 18:27 . 2009-03-20 18:27 268 --ah----- C:\sqmdata05.sqm
    2009-03-20 18:27 . 2009-03-20 18:27 244 --ah----- C:\sqmnoopt05.sqm
    2009-03-20 17:58 . 2009-03-24 20:55 33,325 --a------ C:\k8m1l3e9f4n7.exe
    2009-03-20 17:53 . 2009-03-20 17:53 16,896 --a------ c:\windows\system32\fltlib.dll
    2009-03-20 17:47 . 2009-03-20 17:47 268 --ah----- C:\sqmdata04.sqm
    2009-03-20 17:47 . 2009-03-20 17:47 244 --ah----- C:\sqmnoopt04.sqm
    2009-03-20 17:45 . 2009-03-20 18:50 <REP> d-------- c:\program files\Lavasoft
    2009-03-20 17:43 . 2009-03-20 17:43 <REP> d----c--- c:\documents and settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
    2009-03-20 13:52 . 2009-03-20 13:56 872,960 --a------ c:\windows\system32\wjz.exe
    2009-03-20 10:02 . 2009-03-20 10:02 268 --ah----- C:\sqmdata03.sqm
    2009-03-20 10:02 . 2009-03-20 10:02 244 --ah----- C:\sqmnoopt03.sqm
    2009-03-19 21:32 . 2009-03-19 21:32 <REP> d-------- c:\program files\Trend Micro
    2009-03-19 21:30 . 2009-03-19 21:30 268 --ah----- C:\sqmdata02.sqm
    2009-03-19 21:30 . 2009-03-19 21:30 244 --ah----- C:\sqmnoopt02.sqm
    2009-03-19 21:24 . 2009-03-20 18:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
    2009-03-19 21:16 . 2009-03-19 21:16 268 --ah----- C:\sqmdata01.sqm
    2009-03-19 21:16 . 2009-03-19 21:16 244 --ah----- C:\sqmnoopt01.sqm
    2009-03-19 21:00 . 2009-03-19 21:00 865,792 --a------ c:\windows\system32\xxj.exe
    2009-03-18 17:24 . 2009-03-18 17:24 268 --ah----- C:\sqmdata00.sqm
    2009-03-18 17:24 . 2009-03-18 17:24 244 --ah----- C:\sqmnoopt00.sqm
    2009-03-17 19:55 . 2009-03-17 19:55 <REP> d-------- c:\program files\Common Files
    2009-03-17 19:51 . 2003-07-18 13:17 5,174 --a------ c:\windows\system32\nppt9x.vxd
    2009-03-17 19:51 . 2005-01-02 04:43 4,682 --a------ c:\windows\system32\npptNT2.sys
    2009-03-17 19:22 . 2009-03-17 19:22 <REP> d-------- c:\program files\Fichiers communs\Adobe
    2009-03-17 19:10 . 2002-08-29 01:32 21,760 --a--c--- c:\windows\system32\dllcache\usbstor.sys
    2009-03-17 19:05 . 2009-03-24 20:44 16,516 --a------ c:\windows\system32\BMXStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 19:05 . 2009-03-24 20:44 16,516 --a------ c:\windows\system32\BMXState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 19:05 . 2009-03-24 20:44 1,080 --a------ c:\windows\system32\settingsbkup.sfm
    2009-03-17 19:05 . 2009-03-24 20:44 1,080 --a------ c:\windows\system32\settings.sfm
    2009-03-17 19:05 . 2009-03-24 20:44 24 --a------ c:\windows\system32\DVCStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.dat
    2009-03-17 19:05 . 2009-03-24 20:44 24 --a------ c:\windows\system32\DVCState-{00000001-00000000-00000009-00001102-00000002-80651102}.dat
    2009-03-17 18:52 . 2009-03-19 21:32 3,375,097 --a------ c:\windows\{00000001-00000000-00000009-00001102-00000002-80651102}.CDF
    2009-03-17 18:50 . 1999-12-17 01:00 6,752 --------- c:\windows\system32\PFMODNT.SYS
    2009-03-17 18:42 . 2009-03-17 18:51 <REP> d-------- c:\program files\Creative
    2009-03-17 18:41 . 2003-03-05 12:19 15,840 --------- c:\windows\system32\drivers\PFMODNT.SYS
    2009-03-17 18:38 . 2001-11-15 08:25 3,735,544 --a------ c:\windows\CTDV10K2.CDF
    2009-03-17 18:38 . 2002-07-02 07:38 3,206,822 --a------ c:\windows\CTDVAUDY.CDF
    2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a------ c:\windows\system32\drivers\portcls.sys
    2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a--c--- c:\windows\system32\dllcache\portcls.sys
    2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a------ c:\windows\system32\drivers\drmk.sys
    2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a--c--- c:\windows\system32\dllcache\drmk.sys
    2009-03-17 18:38 . 2009-03-24 20:44 25,296 --a------ c:\windows\system32\BMXCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 18:38 . 2009-03-24 20:44 25,296 --a------ c:\windows\system32\BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 18:38 . 2001-12-21 01:02 20,480 --a------ c:\windows\INRESFRN.DLL
    2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a------ c:\windows\system32\drivers\gameenum.sys
    2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a--c--- c:\windows\system32\dllcache\gameenum.sys
    2009-03-17 18:34 . 1999-10-11 02:01 41,984 --------- c:\windows\CTRegRun.exe
    2009-03-17 18:29 . 2009-03-17 18:29 <REP> d-------- c:\program files\Lavalys
    2009-03-17 18:10 . 2009-03-17 18:10 <REP> d-------- c:\program files\Teamspeak2_RC2
    2009-03-17 18:10 . 2009-03-17 18:10 <REP> d-------- c:\documents and settings\J@n\Application Data\teamspeak2
    2009-03-17 18:10 . 2009-03-17 18:10 34,064 --a------ c:\windows\system32\lhacm.acm
    2009-03-17 17:48 . 2009-03-17 17:48 <REP> d-------- c:\documents and settings\J@n\Contacts
    2009-03-17 17:47 . 2009-03-20 18:50 <REP> d----c--- c:\windows\system32\DRVSTORE
    2009-03-17 17:47 . 2009-03-17 17:47 <REP> d-------- c:\program files\Razer
    2009-03-17 17:47 . 2009-03-17 17:47 <REP> d-------- c:\program files\MSN Messenger
    2009-03-17 17:47 . 2009-03-17 17:47 <REP> d-------- c:\documents and settings\All Users\Application Data\Razer
    2009-03-17 17:47 . 2007-01-23 16:17 77,824 --a------ c:\windows\system32\ReclusaR.cpl
    2009-03-17 17:47 . 2007-01-18 09:21 41,984 --a------ c:\windows\system32\drivers\RecFltr.sys
    2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a------ c:\windows\system32\drivers\hidclass.sys
    2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a--c--- c:\windows\system32\dllcache\hidclass.sys
    2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a------ c:\windows\system32\drivers\hidparse.sys
    2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a--c--- c:\windows\system32\dllcache\hidparse.sys
    2009-03-17 17:47 . 2005-12-22 03:23 14,592 --a------ c:\windows\system32\drivers\Usbicp.sys
    2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys
    2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys
    2009-03-17 17:46 . 2009-03-17 17:46 <REP> d-------- c:\documents and settings\J@n\Application Data\InstallShield
    2009-03-17 16:40 . 2009-03-17 16:40 <REP> d-------- c:\documents and settings\J@n\Application Data\dvdcss
    2009-03-17 16:39 . 2003-03-19 04:14 499,712 --a------ c:\windows\system32\msvcp71.dll
    2009-03-17 16:39 . 2004-01-11 23:00 348,160 --a------ c:\windows\system32\msvcr71.dll
    2009-03-17 16:09 . 2009-03-17 16:10 <REP> d-------- c:\documents and settings\J@n\Application Data\vlc
    2009-03-16 23:18 . 2009-03-02 19:10 67,584 --a------ c:\windows\system32\ff_vfw.dll
    2009-03-16 23:18 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
    2009-03-16 23:15 . 2008-12-04 21:42 815,104 --a------ c:\windows\system32\xvidcore.dll
    2009-03-16 23:15 . 2008-12-04 21:46 180,224 --a------ c:\windows\system32\xvidvfw.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-19 19:17 135,168 ----a-w c:\windows\system32\sfc_os.dll
    2009-03-16 18:52 558,142 ----a-w c:\windows\java\Packages\77N9BFTB.ZIP
    2009-03-16 18:52 155,995 ----a-w c:\windows\java\Packages\VVHVDF1N.ZIP
    2009-03-16 18:52 --------- d-----w c:\program files\microsoft frontpage
    2009-03-16 18:50 --------- d-----w c:\program files\Services en ligne
    2009-02-16 22:17 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
    2009-01-27 01:34 90,112 ----a-w c:\windows\system32\dpl100.dll
    2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
    2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx07.dll
    2009-01-27 01:34 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
    2009-01-27 01:34 802,816 ----a-w c:\windows\system32\divx_xx11.dll
    2009-01-27 01:34 684,032 ----a-w c:\windows\system32\DivX.dll
    2002-08-30 12:00 157,868 --sha-r c:\windows\system32\tqkrlnvq.dll
    .

    ------- Sigcheck -------

    2002-08-30 13:00 1015296 3e32f0ab7fca08b0dca56c1f40b5d620 c:\windows\explorer.exe
    2002-08-30 13:00 1015296 a9630320d9141a7b70d58f8d59667284 c:\windows\system32\dllcache\explorer.exe

    2002-08-30 13:00 20480 273d235c693dcd8aa8ffbddb844d8e05 c:\windows\system32\ctfmon.exe
    2002-08-30 13:00 20480 8eb0a80e91180a0328dc6197b8eee851 c:\windows\system32\dllcache\ctfmon.exe

    2002-08-30 13:00 58368 14a829fcda7b7c008de11de96eccac8f c:\windows\system32\spoolsv.exe
    2002-08-30 13:00 58368 282945a8e3937ef2c98f68e0da1da30f c:\windows\system32\dllcache\spoolsv.exe

    2002-08-30 13:00 150016 2baaae5a225f3473ea398d6ad9dee169 c:\windows\system32\wuauclt.exe
    2002-08-30 13:00 150016 57e63af5a265f18240a4b8b76e8e288c c:\windows\system32\dllcache\wuauclt.exe

    2002-08-30 13:00 29696 4e98af93f4605013fac7f090f7a2d287 c:\windows\system32\userinit.exe
    2002-08-30 13:00 29696 e6c27fb80b8bedbb11bb3c81e197d71d c:\windows\system32\dllcache\userinit.exe
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 20480]
    "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
    "Steam"="i:\jeux\steam\steam.exe" [2008-10-08 1410296]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2009-02-18 13680640]
    "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2009-02-18 86016]
    "Reclusa"="c:\program files\Razer\Reclusa\razerhid.exe" [2007-06-18 176128]
    "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 98304]
    "Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 36864]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 216321]
    "SoundMan"="SOUNDMAN.EXE" [2004-12-01 c:\windows\SOUNDMAN.EXE]
    "nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 20480]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2007-04-19 13:41 294912 c:\program files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001

    R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-03-20 22360]
    R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-03-20 45416]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2008-05-13 8944]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2008-05-13 55024]
    R2 DelSrv Service Controler;DelSrv Service Controler;c:\windows\system32\drivers\DelSrv.exe [2009-03-22 872960]
    R3 RecFltr;Reclusa Keyboard;c:\windows\system32\drivers\RecFltr.sys [2009-03-17 41984]
    S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-21 115457]
    S2 bgyvtx;System Security;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800]
    S2 ovsva;Windows Microsoft;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800]
    S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-05-13 7408]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    bgyvtx
    ovsva
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath - c:\documents and settings\J@n\Application Data\Mozilla\Firefox\Profiles\dv36ulxn.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?rls=ig&hl=fr&source=iglk
    FF - plugin: c:\program files\Codecs\DivX\DivX Player\npDivxPlayerPlugin.dll
    FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins\nprpjplug.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-24 21:11:41
    Windows 5.1.2600 Service Pack 1 NTFS

    detected NTDLL code modification:
    ZwOpenFile

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bgyvtx]
    "ServiceDll"="c:\windows\System32\tqkrlnvq.dll"
    0
  13. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour YankiWolff, il n'est pas transposable sur un autre ordinateur !

    • Télécharge ce dossier YankiWolff.zip
    • Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
    • Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

    • Désactive tes logiciels de protection
    • Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe

    • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    • Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

    0
  14. Yanki.Wolff Messages postés 20 Statut Membre
     
    J'ai eu une erreur du fichier Delserv.exe, me disant qu'il était introuvable. bizare....

    Voici le rapport :

    ComboFix 09-03-23.01 - J@n 2009-03-25 14:48:01.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.2047.1693 [GMT 1:00]
    Lancé depuis: c:\documents and settings\J@n\Bureau\combo.exe
    Commutateurs utilisés :: c:\documents and settings\J@n\Bureau\CFScript.txt
    * Un nouveau point de restauration a été créé

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\k8m1l3e9f4n7.exe
    c:\windows\System32\.exe
    c:\windows\system32\dlu.exe
    c:\windows\system32\ftpupd.exe
    c:\windows\System32\jow.exe
    c:\windows\System32\lrp.exe
    c:\windows\System32\mbe.exe
    c:\windows\System32\nyf.exe
    c:\windows\system32\tqkrlnvq.dll
    c:\windows\System32\ttd.exe
    c:\windows\System32\uzq.exe
    c:\windows\System32\vlo.exe
    c:\windows\System32\vnw.exe
    c:\windows\System32\wjz.exe
    c:\windows\System32\xxj.exe
    c:\windows\System32\zae.exe
    K:\autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-25 au 2009-03-25 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-24 21:18 . 2009-03-24 21:18 268 --ah----- C:\sqmdata17.sqm
    2009-03-24 21:18 . 2009-03-24 21:18 244 --ah----- C:\sqmnoopt17.sqm
    2009-03-24 21:08 . 2009-03-24 21:12 <REP> d-------- C:\YankiWolff
    2009-03-24 13:20 . 2009-03-24 13:20 268 --ah----- C:\sqmdata16.sqm
    2009-03-24 13:20 . 2009-03-24 13:20 244 --ah----- C:\sqmnoopt16.sqm
    2009-03-24 11:39 . 2009-03-24 18:41 <REP> d-------- C:\rsit
    2009-03-24 10:14 . 2009-03-24 10:14 268 --ah----- C:\sqmdata15.sqm
    2009-03-24 10:14 . 2009-03-24 10:14 244 --ah----- C:\sqmnoopt15.sqm
    2009-03-24 10:07 . 2009-03-24 10:07 268 --ah----- C:\sqmdata14.sqm
    2009-03-24 10:07 . 2009-03-24 10:07 244 --ah----- C:\sqmnoopt14.sqm
    2009-03-23 18:03 . 2009-03-23 18:03 268 --ah----- C:\sqmdata13.sqm
    2009-03-23 18:03 . 2009-03-23 18:03 244 --ah----- C:\sqmnoopt13.sqm
    2009-03-22 13:11 . 2009-03-22 13:11 268 --ah----- C:\sqmdata11.sqm
    2009-03-22 13:11 . 2009-03-22 13:11 244 --ah----- C:\sqmnoopt11.sqm
    2009-03-22 12:59 . 2009-03-22 12:59 268 --ah----- C:\sqmdata10.sqm
    2009-03-22 12:59 . 2009-03-22 12:59 244 --ah----- C:\sqmnoopt10.sqm
    2009-03-22 12:57 . 2009-03-22 12:57 268 --ah----- C:\sqmdata09.sqm
    2009-03-22 12:57 . 2009-03-22 12:57 244 --ah----- C:\sqmnoopt09.sqm
    2009-03-22 12:56 . 2009-03-22 12:56 268 --ah----- C:\sqmdata08.sqm
    2009-03-22 12:56 . 2009-03-22 12:56 244 --ah----- C:\sqmnoopt08.sqm
    2009-03-22 12:51 . 2009-03-22 12:51 <REP> d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
    2009-03-22 12:50 . 2009-03-22 12:51 <REP> d-------- c:\program files\SUPERAntiSpyware
    2009-03-22 12:50 . 2009-03-22 12:50 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
    2009-03-22 12:50 . 2009-03-22 12:50 <REP> d-------- c:\documents and settings\J@n\Application Data\SUPERAntiSpyware.com
    2009-03-22 12:42 . 2009-03-22 12:42 <REP> d-------- c:\program files\CCleaner
    2009-03-22 12:38 . 2009-03-22 12:38 2,422 --a------ c:\windows\system32\wpa.bak
    2009-03-22 11:39 . 2009-03-22 11:39 872,960 -r-hs---- c:\windows\system32\drivers\DelSrv.exe
    2009-03-22 09:07 . 2009-03-22 09:07 268 --ah----- C:\sqmdata12.sqm
    2009-03-22 09:07 . 2009-03-22 09:07 244 --ah----- C:\sqmnoopt12.sqm
    2009-03-21 11:46 . 2009-03-21 11:46 268 --ah----- C:\sqmdata07.sqm
    2009-03-21 11:46 . 2009-03-21 11:46 244 --ah----- C:\sqmnoopt07.sqm
    2009-03-21 11:38 . 2009-03-24 21:20 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2009-03-21 11:38 . 2009-03-21 11:38 <REP> d-------- c:\documents and settings\J@n\Application Data\Malwarebytes
    2009-03-21 11:38 . 2009-03-21 11:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-03-21 11:38 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2009-03-21 11:38 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2009-03-20 20:10 . 2009-03-21 11:24 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
    2009-03-20 20:05 . 2009-03-20 20:05 268 --ah----- C:\sqmdata06.sqm
    2009-03-20 20:05 . 2009-03-20 20:05 244 --ah----- C:\sqmnoopt06.sqm
    2009-03-20 18:28 . 2009-03-20 18:28 <REP> d-------- c:\program files\Spybot - Search & Destroy
    2009-03-20 18:28 . 2009-03-22 12:34 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2009-03-20 18:27 . 2009-03-20 18:27 268 --ah----- C:\sqmdata05.sqm
    2009-03-20 18:27 . 2009-03-20 18:27 244 --ah----- C:\sqmnoopt05.sqm
    2009-03-20 17:53 . 2009-03-20 17:53 16,896 --a------ c:\windows\system32\fltlib.dll
    2009-03-20 17:47 . 2009-03-20 17:47 268 --ah----- C:\sqmdata04.sqm
    2009-03-20 17:47 . 2009-03-20 17:47 244 --ah----- C:\sqmnoopt04.sqm
    2009-03-20 17:43 . 2009-03-20 17:43 <REP> d----c--- c:\documents and settings\All Users\Application Data\{B46E1EF5-0B37-4DB4-A4E2-9F2B41036185}
    2009-03-20 10:02 . 2009-03-20 10:02 268 --ah----- C:\sqmdata03.sqm
    2009-03-20 10:02 . 2009-03-20 10:02 244 --ah----- C:\sqmnoopt03.sqm
    2009-03-19 21:32 . 2009-03-19 21:32 <REP> d-------- c:\program files\Trend Micro
    2009-03-19 21:30 . 2009-03-19 21:30 268 --ah----- C:\sqmdata02.sqm
    2009-03-19 21:30 . 2009-03-19 21:30 244 --ah----- C:\sqmnoopt02.sqm
    2009-03-19 21:24 . 2009-03-20 18:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
    2009-03-19 21:16 . 2009-03-19 21:16 268 --ah----- C:\sqmdata01.sqm
    2009-03-19 21:16 . 2009-03-19 21:16 244 --ah----- C:\sqmnoopt01.sqm
    2009-03-18 17:24 . 2009-03-18 17:24 268 --ah----- C:\sqmdata00.sqm
    2009-03-18 17:24 . 2009-03-18 17:24 244 --ah----- C:\sqmnoopt00.sqm
    2009-03-17 19:55 . 2009-03-17 19:55 <REP> d-------- c:\program files\Common Files
    2009-03-17 19:51 . 2003-07-18 13:17 5,174 --a------ c:\windows\system32\nppt9x.vxd
    2009-03-17 19:51 . 2005-01-02 04:43 4,682 --a------ c:\windows\system32\npptNT2.sys
    2009-03-17 19:22 . 2009-03-17 19:22 <REP> d-------- c:\program files\Fichiers communs\Adobe
    2009-03-17 19:10 . 2002-08-29 01:32 21,760 --a--c--- c:\windows\system32\dllcache\usbstor.sys
    2009-03-17 19:05 . 2009-03-25 14:49 16,516 --a------ c:\windows\system32\BMXStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 19:05 . 2009-03-25 14:49 16,516 --a------ c:\windows\system32\BMXState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 19:05 . 2009-03-25 14:49 1,080 --a------ c:\windows\system32\settingsbkup.sfm
    2009-03-17 19:05 . 2009-03-25 14:49 1,080 --a------ c:\windows\system32\settings.sfm
    2009-03-17 19:05 . 2009-03-25 14:49 24 --a------ c:\windows\system32\DVCStateBkp-{00000001-00000000-00000009-00001102-00000002-80651102}.dat
    2009-03-17 19:05 . 2009-03-25 14:49 24 --a------ c:\windows\system32\DVCState-{00000001-00000000-00000009-00001102-00000002-80651102}.dat
    2009-03-17 18:52 . 2009-03-19 21:32 3,375,097 --a------ c:\windows\{00000001-00000000-00000009-00001102-00000002-80651102}.CDF
    2009-03-17 18:50 . 1999-12-17 01:00 6,752 --------- c:\windows\system32\PFMODNT.SYS
    2009-03-17 18:42 . 2009-03-17 18:51 <REP> d-------- c:\program files\Creative
    2009-03-17 18:41 . 2003-03-05 12:19 15,840 --------- c:\windows\system32\drivers\PFMODNT.SYS
    2009-03-17 18:38 . 2001-11-15 08:25 3,735,544 --a------ c:\windows\CTDV10K2.CDF
    2009-03-17 18:38 . 2002-07-02 07:38 3,206,822 --a------ c:\windows\CTDVAUDY.CDF
    2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a------ c:\windows\system32\drivers\portcls.sys
    2009-03-17 18:38 . 2002-08-29 02:01 134,272 --a--c--- c:\windows\system32\dllcache\portcls.sys
    2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a------ c:\windows\system32\drivers\drmk.sys
    2009-03-17 18:38 . 2002-08-29 01:32 57,856 --a--c--- c:\windows\system32\dllcache\drmk.sys
    2009-03-17 18:38 . 2009-03-25 14:49 25,296 --a------ c:\windows\system32\BMXCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 18:38 . 2009-03-25 14:49 25,296 --a------ c:\windows\system32\BMXBkpCtrlState-{00000001-00000000-00000009-00001102-00000002-80651102}.rfx
    2009-03-17 18:38 . 2001-12-21 01:02 20,480 --a------ c:\windows\INRESFRN.DLL
    2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a------ c:\windows\system32\drivers\gameenum.sys
    2009-03-17 18:38 . 2002-08-29 01:32 9,856 --a--c--- c:\windows\system32\dllcache\gameenum.sys
    2009-03-17 18:34 . 1999-10-11 02:01 41,984 --------- c:\windows\CTRegRun.exe
    2009-03-17 18:29 . 2009-03-17 18:29 <REP> d-------- c:\program files\Lavalys
    2009-03-17 18:10 . 2009-03-17 18:10 <REP> d-------- c:\program files\Teamspeak2_RC2
    2009-03-17 18:10 . 2009-03-17 18:10 <REP> d-------- c:\documents and settings\J@n\Application Data\teamspeak2
    2009-03-17 18:10 . 2009-03-17 18:10 34,064 --a------ c:\windows\system32\lhacm.acm
    2009-03-17 17:48 . 2009-03-17 17:48 <REP> d-------- c:\documents and settings\J@n\Contacts
    2009-03-17 17:47 . 2009-03-20 18:50 <REP> d----c--- c:\windows\system32\DRVSTORE
    2009-03-17 17:47 . 2009-03-17 17:47 <REP> d-------- c:\program files\Razer
    2009-03-17 17:47 . 2009-03-17 17:47 <REP> d-------- c:\program files\MSN Messenger
    2009-03-17 17:47 . 2009-03-17 17:47 <REP> d-------- c:\documents and settings\All Users\Application Data\Razer
    2009-03-17 17:47 . 2007-01-23 16:17 77,824 --a------ c:\windows\system32\ReclusaR.cpl
    2009-03-17 17:47 . 2007-01-18 09:21 41,984 --a------ c:\windows\system32\drivers\RecFltr.sys
    2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a------ c:\windows\system32\drivers\hidclass.sys
    2009-03-17 17:47 . 2002-08-29 01:32 34,560 --a--c--- c:\windows\system32\dllcache\hidclass.sys
    2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a------ c:\windows\system32\drivers\hidparse.sys
    2009-03-17 17:47 . 2001-08-17 22:02 23,680 --a--c--- c:\windows\system32\dllcache\hidparse.sys
    2009-03-17 17:47 . 2005-12-22 03:23 14,592 --a------ c:\windows\system32\drivers\Usbicp.sys
    2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys
    2009-03-17 17:47 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys
    2009-03-17 17:46 . 2009-03-17 17:46 <REP> d-------- c:\documents and settings\J@n\Application Data\InstallShield
    2009-03-17 16:40 . 2009-03-17 16:40 <REP> d-------- c:\documents and settings\J@n\Application Data\dvdcss
    2009-03-17 16:39 . 2003-03-19 04:14 499,712 --a------ c:\windows\system32\msvcp71.dll
    2009-03-17 16:39 . 2004-01-11 23:00 348,160 --a------ c:\windows\system32\msvcr71.dll
    2009-03-17 16:09 . 2009-03-17 16:10 <REP> d-------- c:\documents and settings\J@n\Application Data\vlc
    2009-03-16 23:18 . 2009-03-02 19:10 67,584 --a------ c:\windows\system32\ff_vfw.dll
    2009-03-16 23:18 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
    2009-03-16 23:15 . 2008-12-04 21:42 815,104 --a------ c:\windows\system32\xvidcore.dll
    2009-03-16 23:15 . 2008-12-04 21:46 180,224 --a------ c:\windows\system32\xvidvfw.dll
    2009-03-16 23:15 . 2008-12-04 19:00 110,592 --a------ c:\windows\system32\xvid.ax
    2009-03-16 23:09 . 2009-03-16 23:09 <REP> d-------- c:\program files\Fichiers communs\DivX Shared
    2009-03-16 23:09 . 2009-03-17 16:41 <REP> d-------- c:\program files\Codecs
    2009-03-16 23:04 . 2009-03-16 23:04 10,752 --ahs---- c:\windows\Thumbs.db
    2009-03-16 23:03 . 2009-03-16 23:03 <REP> d-------- c:\documents and settings\J@n\Application Data\Media Player Classic
    2009-03-16 23:01 . 2009-03-16 23:01 <REP> d-------- c:\documents and settings\J@n\Application Data\DivX
    2009-03-16 23:00 . 2009-01-27 02:35 120,056 --------- c:\windows\system32\pxcpyi64.exe
    2009-03-16 23:00 . 2009-01-27 02:35 118,520 --------- c:\windows\system32\pxinsi64.exe
    2009-03-16 22:45 . 2009-03-16 22:45 <REP> d-------- c:\windows\system32\Lang
    2009-03-16 22:45 . 2009-03-16 22:45 940,794 --a------ c:\windows\system32\LoopyMusic.wav
    2009-03-16 22:45 . 2009-03-16 22:45 146,650 --a------ c:\windows\system32\BuzzingBee.wav
    2009-03-16 22:45 . 2009-03-17 18:56 60,416 --a------ c:\windows\ALCFDRTM.VER
    2009-03-16 22:45 . 2009-03-16 22:45 60,416 --a------ c:\windows\ALCFDRTM.EXE
    2009-03-16 22:13 . 2009-03-16 22:13 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-19 19:17 135,168 ----a-w c:\windows\system32\sfc_os.dll
    2009-03-16 18:52 558,142 ----a-w c:\windows\java\Packages\77N9BFTB.ZIP
    2009-03-16 18:52 155,995 ----a-w c:\windows\java\Packages\VVHVDF1N.ZIP
    2009-03-16 18:52 --------- d-----w c:\program files\microsoft frontpage
    2009-03-16 18:50 --------- d-----w c:\program files\Services en ligne
    2009-02-16 22:17 453,152 ----a-w c:\windows\system32\NVUNINST.EXE
    2009-01-27 01:34 90,112 ----a-w c:\windows\system32\dpl100.dll
    2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx0c.dll
    2009-01-27 01:34 823,296 ----a-w c:\windows\system32\divx_xx07.dll
    2009-01-27 01:34 815,104 ----a-w c:\windows\system32\divx_xx0a.dll
    2009-01-27 01:34 802,816 ----a-w c:\windows\system32\divx_xx11.dll
    2009-01-27 01:34 684,032 ----a-w c:\windows\system32\DivX.dll
    .

    ------- Sigcheck -------

    2002-08-30 13:00 1015296 3e32f0ab7fca08b0dca56c1f40b5d620 c:\windows\explorer.exe
    2002-08-30 13:00 1015296 a9630320d9141a7b70d58f8d59667284 c:\windows\system32\dllcache\explorer.exe

    2002-08-30 13:00 20480 273d235c693dcd8aa8ffbddb844d8e05 c:\windows\system32\ctfmon.exe
    2002-08-30 13:00 20480 8eb0a80e91180a0328dc6197b8eee851 c:\windows\system32\dllcache\ctfmon.exe

    2002-08-30 13:00 58368 14a829fcda7b7c008de11de96eccac8f c:\windows\system32\spoolsv.exe
    2002-08-30 13:00 58368 282945a8e3937ef2c98f68e0da1da30f c:\windows\system32\dllcache\spoolsv.exe

    2002-08-30 13:00 150016 2baaae5a225f3473ea398d6ad9dee169 c:\windows\system32\wuauclt.exe
    2002-08-30 13:00 150016 57e63af5a265f18240a4b8b76e8e288c c:\windows\system32\dllcache\wuauclt.exe

    2002-08-30 13:00 29696 4e98af93f4605013fac7f090f7a2d287 c:\windows\system32\userinit.exe
    2002-08-30 13:00 29696 e6c27fb80b8bedbb11bb3c81e197d71d c:\windows\system32\dllcache\userinit.exe
    .
    ((((((((((((((((((((((((((((( SnapShot@2009-03-24_21.11.50,03 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2009-03-24 19:45:25 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    + 2009-03-25 13:49:58 16,384 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat
    - 2009-03-24 19:45:25 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    + 2009-03-25 13:49:58 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
    - 2009-03-24 19:45:25 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2009-03-25 13:49:58 32,768 ----a-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2002-08-30 20480]
    "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
    "Steam"="i:\jeux\steam\steam.exe" [2008-10-08 1410296]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2009-02-18 13680640]
    "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2009-02-18 86016]
    "Reclusa"="c:\program files\Razer\Reclusa\razerhid.exe" [2007-06-18 176128]
    "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 98304]
    "Jet Detection"="c:\program files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 36864]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "SoundMan"="SOUNDMAN.EXE" [2004-12-01 c:\windows\SOUNDMAN.EXE]
    "nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-30 20480]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2007-04-19 13:41 294912 c:\program files\SUPERAntiSpyware\SASWINLO.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001

    R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2009-03-20 22360]
    R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2009-03-20 45416]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2008-05-13 8944]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2008-05-13 55024]
    R2 DelSrv Service Controler;DelSrv Service Controler;c:\windows\system32\drivers\DelSrv.exe [2009-03-22 872960]
    R3 RecFltr;Reclusa Keyboard;c:\windows\system32\drivers\RecFltr.sys [2009-03-17 41984]
    S2 AntiVirSchedulerService;Avira AntiVir Scheduler;"c:\program files\Avira\AntiVir Desktop\sched.exe" --> c:\program files\Avira\AntiVir Desktop\sched.exe [?]
    S2 bgyvtx;System Security;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800]
    S2 ovsva;Windows Microsoft;c:\windows\system32\svchost.exe -k netsvcs [2002-08-30 12800]
    S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-05-13 7408]

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    bgyvtx
    ovsva
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    FF - ProfilePath - c:\documents and settings\J@n\Application Data\Mozilla\Firefox\Profiles\dv36ulxn.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ig?rls=ig&hl=fr&source=iglk
    FF - plugin: c:\program files\Codecs\DivX\DivX Player\npDivxPlayerPlugin.dll
    FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins\nppl3260.dll
    FF - plugin: c:\program files\Codecs\Real Alternative\browser\plugins\nprpjplug.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-25 14:50:10
    Windows 5.1.2600 Service Pack 1 NTFS

    detected NTDLL code modification:
    ZwOpenFile

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bgyvtx]
    "ServiceDll"="c:\windows\System32\tqkrlnvq.dll"
    0
  15. Yanki.Wolff Messages postés 20 Statut Membre
     
    Je sais pas si c'est terminé, mais en tout cas, j'ai enfin accès au site de type microsoft et autre scan en ligne !
    Tu touche ta bille ! Merci beaucoup.
    J'ai supprimé toutes trace de antivir hier, je l'ai re téléchargé, mais en voulant l'installé, j'ai eu un message d'erreur me disant que le setup.exe avait été modifié certainement par un virus. Je vais le re dl et tenter ma chance.

    edit : je vais d'ailleurs mettre à jour windows.

    edit : Bon apparemment ce n'est pas terminé, je reçois le message
    "La somme CRC de C:\DOCUME~1\J@N\LOCALS~1\Temp\RarSFX0\basic\setup.exe a été modifiée ! Cela pourrait avoir été provoqué par un virus !"
    0
  16. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Lance MalwareBytes, mets le à jour et fais un scan complet stp
    Poste le rapport après la suppression
    0
  17. Yanki.Wolff Messages postés 20 Statut Membre
     
    Impossible de faire de mise à jour... "Vérifier que vous êtes connecté à internet et que votre pare feu...."
    Je soupçonne encore ces cochonneries, puisque qu'aucun parefeu n'est activé...

    Voici tout de même le rapport du scan complet :

    Malwarebytes' Anti-Malware 1.34
    Version de la base de données: 1880
    Windows 5.1.2600 Service Pack 1

    25/03/2009 23:47:05
    mbam-log-2009-03-25 (23-47-05).txt

    Type de recherche: Examen complet (C:\|D:\|E:\|F:\|I:\|K:\|)
    Eléments examinés: 156399
    Temps écoulé: 22 minute(s), 9 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\tqkrlnvq.dll (Worm.Downadup) -> Delete on reboot.
    I:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  18. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Effectivement, on tourne en rond...

    Worm.Downadup ==> C'est le fameux virus Conficker, qui touche des millions d'ordinateurs depuis octobre 2008...

    Ce virus se propage par deux moyens :
    - En exploitant une faille de Windows, qui a été corrigée en octobre dernier (vu que ton ordinateur n'est pas du tout à jour, ça vient surement de là).
    - Par disque amovible... Il faudra que tu désinfectes à nouveau tes disques amovibles quand on aura terminé, en réutilisant FlashDisinfector.

    Commence par télécharger un pare-feu parmi tous ceux-ci
    Personnellement, je te conseille PC Tools Firewall qui est assez simple d'utilisation. Si le téléchargement ne fonctionne pas, utilise celui-ci.

    Ensuite, on recommencera la désinfection, et il faudra immédiatement que tu fasses toutes les mises à jour de Windows

    0
  19. Yanki.Wolff Messages postés 20 Statut Membre
     
    Ca y est j'ai installer le pare feu PC Tools Firewall.

    J'attends les instructions chef. A moins que je reprenne les précédentes ? Mais à partir d'où ?
    0
  20. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    J'ai eu le temps de faire quelques recherches, et j'en ai profité pour écrire une astuce à ce sujet.

    Suis la méthode préliminaire : http://www.commentcamarche.net/faq/sujet 16710 comment supprimer le virus conficker downadup kido#preliminaire

    Ensuite, clique sur Menu démarrer --> tape Combofix /u (l'espace entre Combofix et /u est important). Supprime Combofix s'il en reste des traces sur ton Bureau.

    Ensuite on recommence :

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection /!\

    • Télécharge ComboFix (de sUBs) sur ton Bureau.
    • Double-clique sur ComboFix.exe afin de le lancer.
    • Il va te demander d'installer la console de récupération : accepte (si possible...)
    • Ne touche à rien pendant le scan.
    • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

    Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    0
  21. Yanki.Wolff Messages postés 20 Statut Membre
     
    BON !! J'étais en train de suivre le préliminaire, tout se passait bien jusqu'à que je doive télécharger le patch.
    SP2 est obligatoirement pour pouvoir installer ce patch... Donc je télécharge à reculons sp2 (j'ai eu pas mal de soucis dans le temps avec...) Et évidemment, l'installe plante... j'ai eu beau réparer avec le cd win, impossible de démarrer.... Donc formatage...

    Mais j'ai toujours mes autres disques durs auquel je n'ai rien touché.
    J'ai installé antivir, maj faites. PC tools firewall plus.
    Je re dl SP2 en ce moment même.
    Je fais un rapport avec combofix ? RSIT ?

    Edit : A l'instant...
    Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
    detected in file 'C:\WINDOWS\system32\x.
    Action performed: Delete file

    Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
    detected in file 'C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\I1CL056H\iwhc[1].jpg.
    Action performed: Delete file
    0
  • 1
  • 2