Sujet Précédent Sujet Suivant

Virus empeche la suppression de programmes

Résolu/Fermé
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 - 6 avril 2009 à 11:28
 Utilisateur anonyme - 9 avril 2009 à 16:10
Bonjour,
J'ai récupéré un vieux PC que j'essaye de désinfecter mais il est salement endommagé. Il y a par ailleurs plusieurs antivirus (Antivir, Avast et un certain A360 qui me semble douteux) et je n'arrive pas à les désinstaller car je n'ai pas accès à la partie "ajout/suppression de programmes", il me dit que je n'ai pas les droits nécessaires ou je ne sais pas quoi. Que dois-je faire? Le PC fonctionne sous Windows XP.

87 réponses

Réponse 1 / 87
Utilisateur anonyme
6 avril 2009 à 11:31
salut ca c est du defi !!!


Télécharge SDFix sur ton bureau :
ici :SDFix
ou ici SDFix
ou ici SDFix

--> Double-clique sur SDFix.exe et choisis "Install" .

Tuto

Puis une fois l'installe faite ,

Impératif : Démarrer en mode sans echec .

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
attention : pas de connexion possible en mode sans échec , donc copie ou imprime bien la manipe pour éviter les erreurs ...


Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer l'outil .
-->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normal ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier
C:\SDFix sous le nom "Report.txt".

Poste ce dernier dans ta prochaine réponse

Si SDfix ne se lance pas (ça arrive!)

* Démarrer->Exécuter

* Copie/colle ceci :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

* Clique sur ok, et valide.

* Redémarre et essaye de nouveau de lancer SDfix. --
G3и-н@¢км@и™©®
1
Réponse 2 / 87
Utilisateur anonyme
6 avril 2009 à 11:34
un bon coup de cutter (formatage) serai plus propice a ton problème, 2ou 3 antivirus, il doit pas mal déconner ton pc!
Il est fortement déconseillé d'avoir plusieurs antivirus installés sur un même ordinateur, car cela pourrait l’endommager, en particulier s’ils résident en mémoire. Cette mise en garde n’est pas toujours mentionnée dans les manuels...source wiki
0
Réponse 3 / 87
Utilisateur anonyme
6 avril 2009 à 11:36
cette personne vient de dire qu'elle venait de recuperer le pc !!!
0
Réponse 4 / 87
Utilisateur anonyme
6 avril 2009 à 11:39
pour norton
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 87
Utilisateur anonyme
6 avril 2009 à 11:41
il n y pas de Norton dans son pc !!!
0
Réponse 6 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
6 avril 2009 à 12:37
Au redémmarage, une fenêtre s'ouvre et me dit que SDFix termine de checker les malwares et que je dois attendre, mais antivir guard se lance aussi et me trouve plein de virus dans C:/WINDOWS/system32/...dll. Je met chaque fois "refuser l'accès" mais y en a tout le temps qui se rajoutent (je viens de vérifier, ce sont toujours les deux même: Bitkv1.dll et vbsdfe0.dll)... Et en attendant SDFix n'a toujours pas fini. Ca fait une petite dizaine de minutes, je sais pas si c'est normal.
0
Réponse 7 / 87
Utilisateur anonyme
6 avril 2009 à 12:38
Impossible

Antivir est inactif en mode sans echec
0
Réponse 8 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
6 avril 2009 à 12:42
oui je parle du deuxième redémmarage!
0
Réponse 9 / 87
Utilisateur anonyme
6 avril 2009 à 12:46
ok attends encore et on trouvera autre chose si inefficace :)
0
Réponse 10 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
6 avril 2009 à 13:00
Si je supprime les deux fichiers au lieu de refuser l'accès il me laissera p-ê tranquille? Ca dure comme ça depuis tantôt et je suis pas sur que SDFix fasse encore qqch, même si la fenêtre est tjs ouverte et me dit d'attendre.
0
Réponse 11 / 87
Utilisateur anonyme
6 avril 2009 à 13:13
non mais tu parles sur le meme pc là ?
0
Réponse 12 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
6 avril 2009 à 13:19
Ben oui, pour récapituler, j'ai lancer SDFix en mode sans échec, il a fait son boulot puis j'ai appuyé sur une touche pour redémarrer, et là il termine son boulot au démmarage de windows mais ca fait super longtemps et en plus antivir m'envoit des messages toutes les 30 secondes parce qu'il y a deux virus :s
0
Réponse 13 / 87
Utilisateur anonyme
6 avril 2009 à 13:23
ok stoppes le et fais ceci en mode normal :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :
Malwarebytes ou :
Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dis, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
0
Réponse 14 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
6 avril 2009 à 18:57
Je n'arrivais pas à avoir accès à internet alors j'ai lancé l'analyse avant d'avoir mis à jour la base de donnée. Le PC buggait ensuite beaucoup moins donc j'ai su mettre à jour la base de donnée et j'ai fait une deuxième analyse. Voici les deux rapports (J'ai ensuite désinstallé Avast avec aswclear, il y a toujours Antivir donc pas de soucis):

Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1904
Windows 5.1.2600 Service Pack 2

6/04/2009 15:45:19
mbam-log-2009-04-06 (15-45-19).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 92732
Temps écoulé: 31 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\Bitkv1.dll (Spyware.OnlineGames) -> Delete on reboot.
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{d263fa6d-84cc-48a8-9af6-c664362b7a5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d263fa6d-84cc-48a8-9af6-c664362b7a5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d263fa6d-84cc-48a8-9af6-c664362b7a5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c5f43bef-ce2f-afe6-46d8-a647bacd1f09} (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545d8c8-f53c-4e2f-8fa0-d248ef4a6e61} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c5f43bef-ce2f-46d8-afe6-a647bacd1f09} (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\acd206fe47cc815e67a648d37018dd40 (Rogue.A360Antivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\explorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vamsoft (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{c5f43bef-ce2f-46d8-afe6-a647bacd1f09} (Spyware.OnlineGames) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{bb4c402f-882a-4526-8c08-51278ea437c1} (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\A360 (Rogue.A360Antivirus) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Menu Démarrer\A360 (Rogue.A360Antivirus) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\winconfig.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Program Files\A360\av360.exe (Rogue.A360Antivirus) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Menu Démarrer\A360\A360.lnk (Rogue.A360Antivirus) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Menu Démarrer\A360\Help.lnk (Rogue.A360Antivirus) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Menu Démarrer\A360\Registration.lnk (Rogue.A360Antivirus) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Bureau\A360.lnk (Rogue.Antivirus360) -> Quarantined and deleted successfully.
C:\Documents and Settings\admin\Application Data\Microsoft\Internet Explorer\Quick Launch\A360.lnk (Rogue.Antivirus360) -> Quarantined and deleted successfully.
C:\m0vnonh.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vamsoft.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\olhrwef.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ckvo1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\n6t1h.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\cv22.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\p1y2.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\xih9.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Bitkv0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Bitkv1.dll (Spyware.OnlineGames) -> Delete on reboot.
C:\WINDOWS\system32\afmain0.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\afmain1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\afmain2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\afmain3.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nmdfgds0.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nmdfgds1.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nmdfgds2.dll (Spyware.OnLineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ckvo2.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasretyw0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gasretyw1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.





Malwarebytes' Anti-Malware 1.35
Version de la base de données: 1945
Windows 5.1.2600 Service Pack 2

6/04/2009 17:49:46
mbam-log-2009-04-06 (17-49-46).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 94461
Temps écoulé: 42 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{BD615A9D-7E87-43D3-A856-26B22BC0EC6C}\RP182\A0157536.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BD615A9D-7E87-43D3-A856-26B22BC0EC6C}\RP182\A0157547.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\AhnRpta.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
0
Réponse 15 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
6 avril 2009 à 21:04
J'ai réessayé SDFix, voilà ce que ca donne:


[b]SDFix: Version 1.177 [/b]
Run by admin on lun. 06/04/2009 at 20:27

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\DOCUME~1\ADMIN\HIWMYOSF.EXE - Deleted
C:\HIWMYOSF.EXE - Deleted
C:\DOCUME~1\ADMIN\HIWMYOSF.EXE - Deleted
C:\autorun.inf - Deleted
C:\WINDOWS\system\svchost.exe - Deleted
C:\DOCUME~1\ADMIN\HIWMYOSF.EXE - Deleted
C:\DOCUME~1\ADMIN\HIWMYOSF.EXE - Deleted
C:\autorun.inf - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-06 20:38:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Disabled:Veoh Client"
"C:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"="C:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe:*:Enabled:Veoh Web Player "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 10 Oct 2008 101,500 ..SHR --- "C:\08dgu.com"
Tue 14 Oct 2008 104,628 ..SHR --- "C:\68.exe"
Fri 5 Dec 2008 105,097 ..SHR --- "C:\6fnlpetp.exe"
Tue 3 Feb 2009 109,930 ..SHR --- "C:\a2h2.com"
Fri 30 Jan 2009 109,127 ..SHR --- "C:\hl80c6b1.com"
Tue 7 Oct 2008 100,569 ..SHR --- "C:\itsduel.exe"
Mon 29 Sep 2008 100,108 ..SHR --- "C:\nfdmg.com"
Fri 28 Nov 2008 105,411 ..SHR --- "C:\o1.com"
Tue 10 Feb 2009 109,724 ..SHR --- "C:\opgde.exe"
Tue 3 Feb 2009 108,836 ..SHR --- "C:\pook.com"
Thu 12 Feb 2009 108,565 ..SHR --- "C:\ur0.com"
Fri 20 Feb 2009 106,970 ..SHR --- "C:\w2.com"
Fri 16 Jan 2009 110,003 ..SHR --- "C:\x2csvg.exe"
Mon 4 Aug 2008 89,885 ..SHR --- "C:\xqf.com"
Mon 21 Jul 2008 118,782 ..SHR --- "C:\ybj8df.exe"
Mon 6 Apr 2009 85,504 ..SHR --- "C:\WINDOWS\system32\vbsdfe0.dll"
Sat 20 Dec 2008 85,504 ..SHR --- "C:\WINDOWS\system32\vbsdfe1.dll"
Mon 30 Apr 2007 106,496 A.SHR --- "C:\WINDOWS\system\_sv_CMD_\_U_.exe"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\admin\Application Data\U3\temp\Launchpad Removal.exe"

[b]Finished![/b]
0
Réponse 16 / 87
Utilisateur anonyme
7 avril 2009 à 08:51
ok salut tu es encore pas mal infectée mais je voudrais faire un petit point de vue avant de continuer mais on est en bonne voie on a deja tué le Rogue (Faux Antivirus) A360

Salut,


commences par ceci pour voir ce qu'il en est,avoir un diagnostic précis et donc repérer les infections possibles et les neutraliser:


Télécharges et installes le logiciel de diagnostic :

ici Hijackthis
ou ici Hijackthis
ou ici Hijackthis


1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :(merci balltrap34)
Regardes ici, c'est parfaitement expliqué en images ,

( Ne fixes encore AUCUNE ligne de ton plein gré, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :

S'il ne se lance pas clique ici

fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

--->copies-colles le rapport généré pour analyse --
G3и-н@¢км@и™©®
0
Réponse 17 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
7 avril 2009 à 11:16
Hello!
Voilà ce que ca donne:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:55, on 7/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\tp4mon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.exe
C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.be/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
0
Réponse 18 / 87
Utilisateur anonyme
7 avril 2009 à 12:15
bon ok y a encore trop de monde la-dedans :


/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

______________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
===========================================================

Lors de son exécution,

ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles.
Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows

et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

Sous XP

Sous Vista

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


A Lire , Impératif !!!!

Télécharges Combofix :


Et important, enregistre le sous <>souligne"moi.exe"</souligne> sur le bureau.

Avant d'utiliser ComboFix :
______________________________________________________________________
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

Une fois fait, sur ton bureau double-clic sur "moi.exe"

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc ni de tout autre periphérique ,et n'ouvre aucun programme.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

0
Réponse 19 / 87
cutter4 Messages postés 181 Date d'inscription mercredi 30 avril 2008 Statut Membre Dernière intervention 8 juin 2011 1
7 avril 2009 à 12:51
Voilà chef:

ComboFix 09-04-04.01 - admin 2009-04-07 12:36:49.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.255.65 [GMT 2:00]
Lancé depuis: c:\documents and settings\admin\Bureau\moi.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\[u]0/u8dgu.com
C:\[u]0/uu.cmd
C:\1utbfd.bat
C:\68.exe
C:\8.bat
C:\abk.bat
C:\bo1dhu.bat
C:\e.cmd
C:\ev60a2.cmd
C:\ij.bat
C:\itsduel.exe
C:\nfdmg.com
C:\pook.com
C:\vva0hc0p.cmd
c:\windows\explorer.exe.tmp
c:\windows\MS32DLL.dll.vbs
c:\windows\system\_sv_CMD_
c:\windows\system\_sv_CMD_\_U_.exe
C:\yew.bat

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))
.

2009-04-07 11:13 . 2009-04-07 11:13 <REP> d-------- c:\program files\Trend Micro
2009-04-06 23:34 . 2009-04-07 12:36 0 --a------ c:\documents and settings\admin\hiwmyosf.exe
2009-04-06 14:30 . 2009-04-06 14:30 <REP> d-------- c:\documents and settings\admin\Application Data\Malwarebytes
2009-04-06 14:29 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-06 14:28 . 2009-04-06 14:29 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-04-06 14:28 . 2009-04-06 14:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-04-06 14:28 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 12:04 . 2009-04-06 12:04 <REP> d-------- c:\windows\ERUNT
2009-04-06 11:50 . 2009-04-06 20:42 <REP> d-------- C:\SDFix

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-07 08:59 --------- d-----w c:\documents and settings\admin\Application Data\OpenOffice.org2
2009-04-06 16:36 --------- d-----w c:\program files\Alwil Software
2009-04-06 12:37 85,504 --sh--r c:\windows\system32\vbsdfe0.dll
2009-02-20 19:44 --------- d-----w c:\program files\Avira
2009-02-20 19:44 --------- d-----w c:\documents and settings\All Users\Application Data\Avira
2009-02-20 19:23 --------- d-----w c:\program files\Enigma Software Group
2009-02-20 18:21 106,970 --sh--r C:\w2.com
2009-02-19 23:07 --------- d-----w c:\program files\Common Files
2009-02-12 20:00 108,565 --sh--r C:\ur0.com
2009-02-10 18:47 109,724 --sh--r C:\opgde.exe
2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
2009-02-03 13:02 109,930 --sh--r C:\a2h2.com
2009-01-30 16:01 109,127 --sh--r C:\hl80c6b1.com
2009-01-16 21:20 110,003 --sh--r C:\x2csvg.exe
2008-12-20 06:43 85,504 --sh--r c:\windows\system32\vbsdfe1.dll
.

------- Sigcheck -------

2007-06-13 15:22 1100553 35cd19e741081f84a3d3a23a193f2e2e c:\windows\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-19 19:38 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa c:\windows\$NtUninstallKB938828$\explorer.exe
2008-04-14 04:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd c:\windows\SoftwareDistribution\Download\44b6174a4a693136d02d4a7ecd7cbd54\explorer.exe
2007-06-13 15:22 1100553 35cd19e741081f84a3d3a23a193f2e2e c:\windows\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Veoh"="c:\program files\Veoh Networks\Veoh\VeohClient.exe" [2008-08-28 3660848]
"VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-11-04 3522296]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-16 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-01 335872]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 c:\windows\system32\tp4mon.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 c:\windows\AGRSMMSG.exe]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

c:\documents and settings\admin\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-02-02 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 23:45 28672 c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 20:16 24576 c:\windows\system32\tphklock.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

R3 PCX504;Cisco Systems Wireless LAN Adapter Driver;c:\windows\system32\drivers\PCX504.sys [2004-05-04 119296]
S3 LucentSoftModem;Lucent Technologies Soft Modem;c:\windows\system32\drivers\LTSM.sys [2007-07-19 802683]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - iky.bat
\Shell\explore\Command - iky.bat
\Shell\open\Command - iky.bat
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-wsctf.exe - wsctf.exe


.
------- Examen supplémentaire -------
.
uStart Page = www.google.be/
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-07 12:39:18
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(728)
c:\windows\system32\tphklock.dll
.
Heure de fin: 2009-04-07 12:42:53
ComboFix-quarantined-files.txt 2009-04-07 10:42:33

Avant-CF: 13.220.552.704 octets libres
Après-CF: 13,887,311,872 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

135 --- E O F --- 2009-04-06 19:16:25
0
Réponse 20 / 87
Utilisateur anonyme
7 avril 2009 à 13:09

_________________________________________________________________________
|======>/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement cet ordinateur,<=========|
|======>il est fort déconseillé de le transposer sur un autre ordinateur !<==========|
-------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\documents and settings\admin\hiwmyosf.exe
c:\windows\system32\vbsdfe0.dll
C:\w2.com
C:\ur0.com
C:\opgde.exe
c:\windows\system32\win32k.sys
C:\a2h2.com
C:\hl80c6b1.com
C:\x2csvg.exe
c:\windows\system32\vbsdfe1.dll
------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix)

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


0

Discussions similaires

Message "Un bloqueur de publicité empêche la lecture..."
pistouri -
pistouri -

0 réponse
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
comment desactiver un bloqueur de pub
amour10 -
MPMP10 -

4 réponses
programme qui n'affiche pas le mot secret
EMy.chev -
yg_be -

3 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses