Ordinateur Infecté

jkpex93 -  
fix200 Messages postés 3365 Statut Contributeur sécurité -
Bonjour,
J'ai un ordinateur assez puissant et hier j'ai téléchargé un logiciel de P2P et quelques heures après lorsque j'ai voulu lancé une application, un messae d'erreur comme quoi il est impossible d'acceder à la memoire, mon ordi rame, et j'ai remarqué dans les processus que iexplore.exe se lance deux fois sans ouvrir de fenetre pour autant, en douce quoi et il ne veux pas se fermer, c'est assez inquietant car mon anti virus n'etait pas à jour et ne veux plus se lancer.
Pire, maintenant une fois sur deux l'écran de demarrage pour entrer dans ma session ne s'affiche pas lorsque je redemarre. En mode sans echec ça passe mais je n'arrive pas à installer avira antivirus.

NB: iexplore se lance aussi en mode sans echec mais j'arrive a le fermer.

Aiiiiiiiideeeez mouuuaaaaa....
Configuration: Processeur 4 coeurs
4Go de RAM
Windows XP 
Firefox 3.0.10

16 réponses

  1. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    EDIT:
    ypsllnydwdhxu.dll

    Un méchant rootkit tibs donc :(

    Si etes sous Vista désactivez l'UAC

    Télécharge ComboFix de sUBs sur ton bureau

    /!\ Outil très puissant,sachez qu'une mauvaise utilisation du programme pourrait entraîner des problèmes dans le fonctionnement normal de votre ordinateur /!\


    ============> A lire, Impératif <============

    AVANT d'utiliser ComboFix :

    /!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
    (!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).


    ▶ Renomme Combofix.exe en F-Combo.exe

    Double clique sur F-Combo.exe afin de le lancer (Sous Vista: Clique droit et choisir exécuter en tant qu'administrateur")

    ▶ Appuies sur la touche 1, pour que le programme commence à s'exécuter et suit les instructions à l'écran

    ▶ Si il te demande d'installer la console de récupération, Accepte. En cas de problémes d'installation: tuto

    */!\ Ne touche a rien pendant le scan /!\

    ▶ Si il te demande de redémarrer , accepte

    ▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle le dans ton a ta prochaine réponse


    (Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)

    A+
    1
  2. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Ahhhhhhh,m**** , tu es infecté par virut très dangereux ........ :(

    Désactive la restauration du systéme:

    *Désactivation:
    ▶ Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
    > Appliquer patiente jusqu'a que cela soit marqué "désactivée" puis OK.
    ***

    > Sauvegarde tes donnés importants IMPORTANT: Ne sauvegarde aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, tu risque de sauvegarder un fichier infecté.

    Télécharge Dr.Web CureIt sur ton Bureau:

    ▶ Démarre en mode sans échec.
    ▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
    ▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
    **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
    ▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
    ▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
    ▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
    ▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
    ▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
    ▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
    ▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
    ▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
    ▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

    Ensuite passe a combofix.

    A+
    1
  3. jkpex93
     
    J'ai oublié de preciser que j'écris depuis un autre ordi.
    0
  4. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Hello,

    T'a chopé bagle
    Les cracks sont souvent pourri !

    **********************************************************
    ********************* Option 1 (Recherche) *********************
    **********************************************************

    Télécharge FindyKill de Chiquitine29

    ▶ Lance l'installation avec les paramètres par défaut

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés (!) sans les ouvrir (!)

    ▶ Double clic sur le raccourci FindyKill sur ton bureau

    ▶ Choisissez F pour Français puis pressez Entrée

    ▶ Au menu principal,choisis l'option 1 (Recherche)

    ▶ Poste le rapport FindyKill.txt

    Note: le rapport FindyKill.txt est sauvegardé a la racine du disque

    Tutoriel installation

    Tutoriel recherche

    A+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jkpex93
     
    Merci de repondre aussi vite :)
    J'essaye de suite

    A+
    0
  7. jkpex93
     
    Bonjour,

    Merci encore pour ta réponse, mais
    J'ai bien essayé ce que tu m'as dit. J'ai téléchargé le logiciel, etc...
    Sauf que pour opérer je suis en mode sans echec. Et lorsqu'il redémarre, il le fait en mode normal donc ça plante.
    Et quand je redemarre en mode sans echec, j'ai l'impression qu'il s'est rien passé.

    J'ai fait un scan avec avast! qui n'a rien donné. J'ai nettoyé un peu tout avec Ccleaner, mais le probleme reste quand même que je ne peux plus accéder à une session en demarrant normalent. L'écran reste noir après le chargement Windows, rien à faire.

    Pire, en mode sans echec je n'arrive pas à installer Kapersky , Avira, et autres anti virus du genre.

    (iexplore.exe apparait toujours dans le gestionnaire des taches.)

    Y a t-il une solution radicale à ce type de probleme?

    Merci d'avance
    A+
    0
  8. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Tu redémarre en mode sans échec avec prise ne charge réseau.

    Ne supprimer pas IExplore.exe car légitime. (pour internet explorer).
    0
  9. jkpex93
     
    C'est bon pour FindyKill ça a marché en redemmarant en mode sans echec .
    Mais ce satané bug est toujours la.
    Je demarre normalement et il affiche pas l'écran d'accueil.
    Les seuls fois ou il l'affiche ça plante.

    Et je suis sur que iexplore.exe est pour quelque chose.
    Je surfe sur Firefox, jamais sur IE et il se lance tout d'un coup plusieurs fois sans que je l'ai ordonné.
    Dans les Processus je vois deux iexplore.exe qui n'ont rien à faire la, explorer.exe ok mais pas iexplore.exe

    De plus j'ai remarqué en faisant un scan avec hijackthis que ce fichier se répétait : ypsllnydwdhxu.dll
    0
  10. jkpex93
     
    Salut!

    Alors ce que j'ai fait c'est que j'ai rebooté sur un LiveCD de Avira, il m'a fait un scan et j'ai decouvert que le TrojanHorse s'était foutu dans pratiquement tout les fichiers .exe

    Donc la c'est en train de scanner un à un tout les fichiers de mon ordi pour voir si c'est réparable.
    (c'est long)

    Dès que c'est fini , si c'est ça n'a pas marché je tente ta solution.
    C'est vraiment cool de m'aider ;)

    Je pense les premiers trucs que je vais faire dès que c'est réparé c'est d'installer Avira, et d'autres logiciels de sécurité puis surtout faire un Ghost et une sauvegarde de mes partitions histoire de pas passer 3 jours la prochaine fois... =D

    A+ je te tiens au courant
    0
  11. jkpex93
     
    Ok merci je vais essayer.

    A+

    (Commence à me faire .... ce virus.........)
    0
  12. jkpex93
     
    Salut!

    J'ai utilisé Dr.Web et ça a l'air d'avoir marché, en tout cas j'ai le rapport.
    Maintenant il faut que je passe à combofix c'est ça?

    Je me risque pas à transférer le rapport parce que je pense que mes clés sont infectées.

    Je fais ce que tu m'as dit avec ComboFix et je reviens

    Merci encore
    0
  13. jkpex93
     
    Hé bien Merci Beaucoup!!!
    Ah vraiment! Apparamment le virus a cessé de nuire. Je peux de nouveau accéder à ma session, iexplore.exe ne se lance plus tout seul, et j'ai réussi à installer sans problème Avira et Spybot. J'ai fait un scan avec Avira et supprimé les restes.

    Bref encore merci pour votre aide.

    Maintenant je vais aller me coucher tiens... :)
    0
    1. fix200 Messages postés 3365 Statut Contributeur sécurité 158
       
      Salut,

      J ai besoin des rapports pour vérifier si il y a d autres infections ...

      Au moins combofix (ru le trouveras ici : C:\Combofix.txt)

      ++
      0
  14. jkpex93
     
    OK le voila :
    "
    ComboFix 09-06-21.01 - Administrateur 23/06/2009 0:27.1 - NTFSx86 MINIMAL

    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3327.3097 [GMT 2:00]

    Lancé depuis: c:\documents and settings\Administrateur\Bureau\F-Combo.exe

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

    .

    c:\windows\system32\a90c1ea4-d31f-ad1b-44ed-e94dd7d643c5.exe

    c:\windows\system32\drivers\SKYNETfcvwjdon.sys

    c:\windows\system32\SKYNETcvthegcd.dll

    c:\windows\system32\SKYNEThybxsuql.dat

    c:\windows\system32\SKYNETibexymru.dat

    c:\windows\system32\SKYNETqlhcmarx.dll

    c:\windows\system32\UACecumkyuvplgkxqyou.dll

    c:\windows\system32\UACfynwjdwirjdhihsbw.log

    c:\windows\system32\UAClcfunadgkuhaurcuk.dll

    c:\windows\system32\UACoktijgvmrhwualqvq.dat

    c:\windows\system32\UACriyqypuatmtqcrxrc.db

    c:\documents and settings\Moi\autorun.inf

    c:\program files\INSTALL.LOG

    c:\windows\system32\drivers\SKYNETfcvwjdon.sys

    c:\windows\system32\qyedugsdvjcolkgk.dll-uninst.exe

    c:\windows\system32\SKYNETcvthegcd.dll

    c:\windows\system32\SKYNEThybxsuql.dat

    c:\windows\system32\SKYNETibexymru.dat

    c:\windows\system32\SKYNETqlhcmarx.dll

    c:\windows\system32\test

    c:\windows\system32\tnktsjglpx.exe

    c:\windows\system32\uacinit.dll

    c:\windows\system32\uactmp.db

    .

    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .

    -------\Service_SKYNETkywkewwr

    -------\Legacy_PROTECT

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-05-22 au 2009-06-22 ))))))))))))))))))))))))))))))))))))

    .

    2009-06-22 22:36 . 2009-06-22 22:36 -------- d-sh--w- C:\found.000

    2009-06-22 18:07 . 2009-06-22 18:26 -------- d-----w- c:\documents and settings\Administrateur\DoctorWeb

    2009-06-21 18:12 . 2009-06-21 21:50 -------- d-----w- C:\UBCD4Win

    2009-06-21 18:06 . 2009-02-05 20:06 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys

    2009-06-21 18:06 . 2009-02-05 20:06 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys

    2009-06-21 18:06 . 2009-02-05 20:05 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys

    2009-06-21 18:05 . 2009-02-05 20:08 93296 ----a-w- c:\windows\system32\drivers\aswmon.sys

    2009-06-21 18:05 . 2009-02-05 20:08 94032 ----a-w- c:\windows\system32\drivers\aswmon2.sys

    2009-06-21 18:05 . 2009-02-05 20:07 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

    2009-06-21 18:05 . 2009-02-05 20:07 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

    2009-06-21 18:05 . 2009-02-05 20:04 97480 ----a-w- c:\windows\system32\AvastSS.scr

    2009-06-21 18:05 . 2009-02-05 20:11 1256296 ----a-w- c:\windows\system32\aswBoot.exe

    2009-06-21 18:05 . 2009-06-21 18:05 -------- d-----w- c:\program files\Alwil Software

    2009-06-21 17:58 . 2009-06-21 17:58 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Winamp

    2009-06-20 09:45 . 2009-06-20 09:45 -------- d-----w- c:\documents and settings\Administrateur\Application Data\InfraRecorder

    2009-06-19 16:52 . 2009-06-19 18:17 -------- d-----w- c:\documents and settings\Moi\Application Data\LimeWire

    2009-06-18 20:06 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll

    2009-06-18 20:04 . 2009-06-22 18:29 53248 ----a-w- c:\documents and settings\All Users\Application Data\Temp\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe

    2009-06-18 20:04 . 2009-06-18 20:04 -------- d-----w- c:\documents and settings\All Users\Application Data\Temp

    2009-06-18 19:03 . 2009-06-18 19:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Razer

    2009-06-18 19:03 . 2007-09-27 19:12 21888 ----a-w- c:\windows\system32\drivers\Lycosa.sys

    2009-06-18 14:35 . 2009-06-22 19:13 228352 -c--a-w- c:\windows\system32\dllcache\wmiprvse.exe

    2009-06-18 14:35 . 2009-06-22 19:13 111616 -c--a-w- c:\windows\system32\dllcache\services.exe

    2009-06-18 14:35 . 2009-03-06 14:20 286720 -c----w- c:\windows\system32\dllcache\pdh.dll

    2009-06-18 14:35 . 2009-02-09 10:53 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll

    2009-06-18 14:35 . 2009-06-22 19:13 35840 -c--a-w- c:\windows\system32\dllcache\sc.exe

    2009-06-18 14:35 . 2009-02-09 10:53 735744 -c----w- c:\windows\system32\dllcache\lsasrv.dll

    2009-06-18 14:35 . 2009-02-09 10:53 739840 -c----w- c:\windows\system32\dllcache\ntdll.dll

    2009-06-18 14:35 . 2009-02-09 10:53 685568 -c----w- c:\windows\system32\dllcache\advapi32.dll

    2009-06-18 14:35 . 2009-02-09 10:53 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll

    2009-06-18 14:35 . 2009-02-09 10:53 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll

    2009-06-18 14:31 . 2008-12-16 12:31 354304 -c----w- c:\windows\system32\dllcache\winhttp.dll

    2009-06-18 12:59 . 2009-06-18 12:59 -------- d-----w- c:\documents and settings\Moi\Local Settings\Application Data\PunkBuster

    2009-06-17 07:12 . 2009-06-17 07:12 -------- d-----w- c:\documents and settings\Moi\Application Data\InstallShield

    .

    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

    .

    2009-06-22 22:38 . 2008-09-11 17:29 -------- d-----w- c:\program files\WinFlip

    2009-06-22 19:14 . 2008-09-09 01:04 228352 ----a-w- c:\windows\system32\wbem\wmiprvse.exe

    2009-06-22 19:14 . 2008-09-09 01:04 197120 ----a-w- c:\windows\system32\wbem\wmiadap.exe

    2009-06-22 19:14 . 2008-09-09 01:04 120320 ----a-w- c:\windows\system32\wbem\wbemtest.exe

    2009-06-22 19:14 . 2008-09-09 01:05 17408 ----a-w- c:\windows\system32\wbem\unsecapp.exe

    2009-06-22 19:14 . 2008-09-09 01:04 36864 ----a-w- c:\windows\system32\wbem\scrcons.exe

    2009-06-22 19:14 . 2008-09-09 01:04 17408 ----a-w- c:\windows\system32\wbem\mofcomp.exe

    2009-06-22 19:12 . 2008-04-14 12:00 34816 ----a-w- c:\windows\system32\ping6.exe

    2009-06-22 19:10 . 2008-09-09 01:06 151552 ----a-w- c:\windows\pchealth\UploadLB\Binaries\UploadM.exe

    2009-06-22 19:10 . 2008-09-09 01:06 35840 ----a-w- c:\windows\pchealth\helpctr\binaries\notiflag.exe

    2009-06-22 19:10 . 2008-09-09 01:06 18944 ----a-w- c:\windows\pchealth\helpctr\binaries\HscUpd.exe

    2009-06-22 19:10 . 2008-09-09 01:06 173056 ----a-w- c:\windows\pchealth\helpctr\binaries\msconfig.exe

    2009-06-22 19:10 . 2008-09-09 01:06 100352 ----a-w- c:\windows\pchealth\helpctr\binaries\HelpHost.exe

    2009-06-22 19:10 . 2008-09-09 01:06 765952 ----a-w- c:\windows\pchealth\helpctr\binaries\helpctr.exe

    2009-06-22 19:10 . 2008-09-09 01:06 744960 ----a-w- c:\windows\pchealth\helpctr\binaries\HelpSvc.exe

    2009-06-22 19:08 . 2008-09-09 01:34 32768 ----a-w- c:\windows\inf\UpdateUSB.exe

    2009-06-22 18:29 . 2008-09-19 17:41 2363392 ----a-w- c:\documents and settings\Moi\Application Data\Microsoft\Installer\{2CD2C0DB-81C3-416B-9FA6-589B9235359B}\soffice.exe

    2009-06-22 18:29 . 2009-06-19 17:28 73728 ----a-w- c:\documents and settings\Moi\Application Data\LimeWire\browser\xulrunner\xulrunner-stub.exe

    2009-06-22 18:29 . 2009-06-19 17:28 102400 ----a-w- c:\documents and settings\Moi\Application Data\LimeWire\browser\xulrunner\xulrunner.exe

    2009-06-22 18:29 . 2009-06-19 17:28 77824 ----a-w- c:\documents and settings\Moi\Application Data\LimeWire\browser\xulrunner\xpicleanup.exe

    2009-06-22 18:29 . 2009-06-19 17:28 266240 ----a-w- c:\documents and settings\Moi\Application Data\LimeWire\browser\xulrunner\xpidl.exe

    2009-06-22 18:29 . 2009-06-19 17:28 196608 ----a-w- c:\documents and settings\Moi\Application Data\LimeWire\browser\xulrunner\updater.exe

    2009-06-22 18:29 . 2009-06-19 17:28 163840 ----a-w- c:\documents and settings\Moi\Application Data\LimeWire\browser\xulrunner\crashreporter.exe

    2009-06-22 18:28 . 2008-09-26 18:54 45568 ----a-w- c:\documents and settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon iP5200R Installer\Inst2\helpkicker.exe

    2009-06-22 18:28 . 2008-09-26 18:54 23552 ----a-w- c:\documents and settings\All Users\Application Data\CanonBJ\IJPrinter\CNMWINDOWS\Canon iP5200R Installer\Inst2\Cnmvsa.exe

    2009-06-22 13:05 . 2008-09-13 21:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

    2009-06-22 13:05 . 2008-09-13 21:46 -------- d-----w- c:\program files\Avira

    2009-06-22 13:05 . 2008-09-13 21:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

    2009-06-22 13:03 . 2008-09-14 20:03 -------- d-----w- c:\program files\eMule

    2009-06-21 21:46 . 2008-09-14 17:46 -------- d-----w- c:\program files\EssentialPIM

    2009-06-21 21:46 . 2008-09-10 23:26 -------- d-----w- c:\program files\components

    2009-06-21 21:45 . 2008-09-21 09:32 -------- d-----w- c:\program files\VirtualDJ Skin

    2009-06-21 16:45 . 2008-09-10 23:26 -------- d-----w- c:\program files\res

    2009-06-20 09:05 . 2008-04-14 12:00 48616 ----a-w- c:\windows\system32\perfc00C.dat

    2009-06-20 09:05 . 2008-04-14 12:00 367658 ----a-w- c:\windows\system32\perfh00C.dat

    2009-06-19 19:01 . 2008-09-09 03:38 87120 ----a-w- c:\documents and settings\Moi\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

    2009-06-19 18:13 . 2009-06-19 18:13 0 ----a-w- c:\windows\system32\7F.tmp

    2009-06-19 18:12 . 2009-06-19 18:12 120 ----a-w- c:\windows\system32\77.tmp

    2009-06-19 17:59 . 2008-09-09 16:53 189072 ----a-w- c:\windows\system32\PnkBstrB.exe

    2009-06-19 17:58 . 2008-09-09 16:53 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

    2009-06-19 15:20 . 2008-09-10 23:27 -------- d-----w- c:\program files\Mozilla Thunderbird

    2009-06-19 07:19 . 2008-09-10 23:26 -------- d-----w- c:\program files\extensions

    2009-06-18 20:09 . 2008-09-24 14:25 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

    2009-06-18 19:03 . 2008-09-09 13:47 -------- d-----w- c:\program files\Razer

    2009-06-18 19:03 . 2008-09-09 01:40 -------- d--h--w- c:\program files\InstallShield Installation Information

    2009-06-18 13:00 . 2008-09-09 16:53 75064 ----a-w- c:\windows\system32\PnkBstrA.exe

    2009-06-17 17:55 . 2008-09-20 14:08 -------- d-----w- c:\documents and settings\Moi\Application Data\OpenOffice.org2

    2009-06-17 17:55 . 2008-09-20 14:09 1 ----a-w- c:\documents and settings\Moi\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys

    2009-05-07 15:33 . 2008-04-14 12:00 348672 ----a-w- c:\windows\system32\localspl.dll

    2009-04-29 04:34 . 2008-04-14 12:00 670720 ----a-w- c:\windows\system32\wininet.dll

    2009-04-29 04:34 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll

    2009-04-19 19:50 . 2008-04-14 12:00 1847296 ----a-w- c:\windows\system32\win32k.sys

    2009-04-15 14:53 . 2008-04-14 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll

    2009-04-10 09:58 . 2009-04-10 09:58 711680 ----a-w- c:\windows\system32\nsc89.dll

    2008-09-18 14:06 . 2008-09-18 14:06 391 ----a-w- c:\program files\Raccourci vers Program Files.lnk

    2008-09-13 11:38 . 2008-09-09 14:15 88 --sh--r- c:\windows\system32\3AFBF38D5A.sys

    2008-09-13 11:38 . 2008-09-09 14:15 2516 --sha-w- c:\windows\system32\KGyGaAvL.sys

    .

    ------- Sigcheck -------

    [-] 2009-06-22 18:08 1001472 B299542D61C60B45CE9275C66AB722B7 c:\windows\explorer.exe

    [-] 2009-06-22 19:14 1038336 F4A97E2EE046AFF04B2BB1C98A3F1C45 c:\windows\system32\VITrans\explorer.exe

    [-] 2009-06-22 18:08 15872 1F2D14E6045D07BE9BA017FD3C0D7BB5 c:\windows\system32\ctfmon.exe

    [-] 2009-06-22 18:08 58368 779B7781F6613272E090461B08900082 c:\windows\system32\spoolsv.exe

    [-] 2009-06-22 18:08 27136 B02C42E4C19F715C285EBB6C893DEB14 c:\windows\system32\userinit.exe

    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

    .

    .

    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12bb7459-77db-60ff-3eaa-03f1d8b9c03d}]

    2009-04-10 09:58 711680 ----a-w- c:\windows\system32\nsc89.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2009-06-22 15872]

    "Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2009-06-22 266240]

    "RocketDock"="e:\_vista inspirat_\Vista Inspirat 2\RocketDock\RocketDock.exe" [2009-06-22 630784]

    "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2009-06-22 204800]

    "ccleaner"="c:\program files\CCleaner\ccleaner.exe" [2007-05-10 598920]

    "eMuleAutoStart"="c:\program files\eMule\emule.exe" [2009-06-22 5480448]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

    "Six Engine"="c:\program files\ASUS\Six Engine\SixEngine.exe" [2009-06-22 5965312]

    "Ai Nap"="c:\program files\ASUS\Ai Suite\AiNap\AiNap.exe" [2009-06-22 1425920]

    "QFan Help"="c:\program files\ASUS\Ai Suite\QFan3\QFanHelp.exe" [2009-06-22 598528]

    "Cpu Level Up help"="c:\program files\ASUS\Ai Suite\CpuLevelUpHelp.exe" [2009-06-22 883712]

    "Launch Direct Link"="c:\program files\ASUS\AI Direct Link\AsShare.exe" [2009-06-22 1212416]

    "Launch As Cmd Runner"="c:\program files\ASUS\AI Direct Link\AsCmd.exe" [2009-06-22 377344]

    "Drive Xpert"="c:\program files\ASUS\Drive Xpert\DriveXpert.exe" [2009-06-22 10235904]

    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-25 13529088]

    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-25 86016]

    "ACU"="c:\program files\OLITEC\ACU.exe" [2009-06-22 307200]

    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-06-22 413696]

    "Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2009-06-22 409600]

    "Lycosa"="c:\program files\Razer\razerhid.exe" [2009-06-22 147456]

    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2009-06-22 16864256]

    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-06-22 1630208]

    "PD0870 STISvc"="P0870Pin.dll" - c:\windows\system32\P0870Pin.dll [2005-05-04 36864]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-06-22 15872]

    c:\documents and settings\Moi\Menu D‚marrer\Programmes\D‚marrage\

    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 114176]

    RocketDock.lnk - e:\_vista inspirat_\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-19 630784]

    TransBar.lnk - e:\_vista inspirat_\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 66048]

    Y'z Shadow.lnk - e:\_vista inspirat_\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

    WinFlip.lnk - c:\program files\WinFlip\WinFlip.exe [2008-5-30 483328]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    "%windir%\\system32\\sessmgr.exe"=

    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=

    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=

    "c:\\Program Files\\Messenger\\msmsgs.exe"=

    "e:\\_JEUX\\UbiSoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

    "e:\\_JEUX\\UbiSoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

    "e:\\_JEUX\\UbiSoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

    "e:\\_JEUX\\UbiSoft\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=

    "e:\\_JEUX\\UbiSoft\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=

    "c:\\Program Files\\firefox.exe"=

    "e:\\_JEUX\\Codemasters\\Worms 4 Mayhem\\launcher.exe"=

    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

    "c:\\Program Files\\SightSpeed\\SightSpeed.exe"=

    "c:\\Program Files\\eMule\\emule.exe"=

    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

    "e:\\_JEUX\\BlackSite\\Binaries\\BlackSite.exe"=

    "e:\\_JEUX\\UbiSoft\\H.A.W.X\\HAWX.exe"=

    "e:\\_JEUX\\Activision\\iw3mp.exe"=

    R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [24/06/2008 00:21 150568]

    R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\drivers\Lycosa.sys [18/06/2009 21:03 21888]

    R3 Razerlow;Diamondback 3G USB Filter Driver;c:\windows\system32\drivers\DB3G.sys [09/09/2008 15:50 13225]

    S1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [21/06/2009 20:05 114768]

    S2 57xx SteelVine Manager;57xx SteelVine;c:\program files\ASUS\Drive Xpert\SteelVine.exe [29/05/2008 15:55 1286144]

    S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [21/06/2009 20:05 20560]

    S3 DMSKSSRh;DMSKSSRh;\??\c:\docume~1\Moi\LOCALS~1\Temp\DMSKSSRh.sys --> c:\docume~1\Moi\LOCALS~1\Temp\DMSKSSRh.sys [?]

    S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [04/10/2008 18:40 33752]

    S3 L1e;Miniport Driver for Atheros AR8121/AR8113 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [09/09/2008 03:44 36864]

    S3 P0870Dev;Creative WebCam Live! Motion;c:\windows\system32\drivers\P0870Dev.sys [15/09/2008 20:41 171776]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f60e5b94-7e2b-11dd-8bbc-806d6172696f}]

    \Shell\AutoRun\command - d:\.\Bin\ASSETUP.exe

    .

    Contenu du dossier 'Tâches planifiées'

    2009-06-18 c:\windows\Tasks\AppleSoftwareUpdate.job

    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    .

    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{98E21355-7261-292E-7021-F6EADB5B24E7} - c:\windows\system32\qyedugsdvjcolkgk.dll

    HKCU-Run-Moi - c:\documents and settings\Moi\Moi.exe

    HKU-Default-Run-reader_s - c:\documents and settings\Moi\reader_s.exe

    .

    ------- Examen supplémentaire -------

    .

    uStart Page = hxxp://www.google.fr/

    mStart Page = hxxp://www.yoower.com/

    uInternet Settings,ProxyOverride = *.local

    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

    IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

    IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

    IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

    IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

    FF - ProfilePath -

    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

    Rootkit scan 2009-06-23 00:38

    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès

    Fichiers cachés: 0

    **************************************************************************

    .

    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-602162358-1844237615-682003330-1004\Software\SecuROM\License information*]

    "datasecu"=hex:28,a6,c2,70,78,89,2e,8e,0d,1a,c8,df,f5,0d,d0,b4,e2,42,e9,eb,d5,

    7e,55,e2,0b,16,6f,f0,5c,66,7e,24,a8,a6,10,db,bf,ee,eb,28,9a,5d,24,16,02,b0,\

    "rkeysecu"=hex:4a,af,e8,f1,e8,3b,4d,e4,ea,e5,7e,05,af,5f,f5,33

    .

    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(4092)

    e:\_vista inspirat_\Vista Inspirat 2\RocketDock\RocketDock.dll

    c:\windows\system32\nview.dll

    c:\windows\system32\NVWRSFR.DLL

    c:\windows\system32\ntshrui.dll

    c:\windows\system32\msi.dll

    c:\windows\system32\NETSHELL.dll

    c:\windows\system32\credui.dll

    c:\windows\system32\eappprxy.dll

    c:\windows\system32\WPDShServiceObj.dll

    c:\windows\system32\PortableDeviceTypes.dll

    c:\windows\system32\PortableDeviceApi.dll

    .

    ------------------------ Autres processus actifs ------------------------

    .

    c:\program files\Alwil Software\Avast4\aswUpdSv.exe

    c:\windows\system32\rundll32.exe

    c:\windows\system32\rundll32.exe

    c:\windows\system32\rundll32.exe

    c:\ubcd4win\plugin\AntiSpyware\a2free\files\a2service.exe

    c:\windows\system32\nvsvc32.exe

    c:\windows\system32\PnkBstrA.exe

    c:\windows\system32\PnkBstrB.exe

    c:\windows\system32\PSIService.exe

    c:\windows\system32\wscntfy.exe

    .

    **************************************************************************

    .

    Heure de fin: 2009-06-22 0:40 - La machine a redémarré [Moi]

    ComboFix-quarantined-files.txt 2009-06-22 22:40

    Avant-CF: 139 321 413 632 octets libres

    Après-CF: 139 382 435 840 octets libres

    Current=1 Default=1 Failed=4 LastKnownGood=5 Sets=1,2,3,4,5

    288 --- E O F --- 2009-06-18 20:09
    0
  15. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Salut :

    Driver::
    mv61xx
    SKYNETkywkewwr
    PROTECT
    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{12bb7459-77db-60ff-3eaa-03f1d8b9c03d}]
    File::
    c:\windows\system32\drivers\mv61xx.sys
    c:\windows\system32\dllcache\services.exe
    c:\windows\system32\nsc89.dll
    c:\windows\system32\3AFBF38D5A.sys
    c:\windows\system32\7F.tmp
    c:\windows\system32\77.tmp
    c:\windows\system32\AvastSS.scr

    - Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

    - Sauvegarde ce fichier sous le nom de CFScript.txt

    - Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt

    Ensuite:

    Télécharge SDFix de andymanchesta

    Laisse le te guider...

    • Après l'installation ,redémarre en mode sans échec

    • Sous XP: fais un double clique sur: C:\SDFix\RunThis.bat
    Sous Vista: fais un clic droit sur C:\SDFix\RunThis.bat et choisis "exécuter en tant qu'administrateur"

    • Appuie sur la touche Y pour commencer le processus de nettoyage.

    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

    • Appuie sur une touche pour redémarrer le PC.

    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    Si SDfix ne se lance pas (ça arrive)
    * Démarrer->Exécuter
    * Copie/colle ceci dans la fenêtre :

    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

    * Patiente le temps du scan...

    tutoriel

    Ensuite:

    Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.

    * Double-clique sur RSIT.exe afin de lancer RSIT.

    * Clique sur Continue à l'écran Disclaimer.

    * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    Note : Les deux rapports sont également sauvegardés %systemdrive%\rsit ou C:\rsit

    ++
    0
  16. jkpex93
     
    Il y a encore des trojan horses sur mon PC ?

    Parce que la il marche normalement. A part que oui, j'ai un problème parce que mon PC n'arrive plus à se, connecter. Le cable réseau est bien branché mais il ne voit rien meme si je debranche puis rebranche il voit rien.
    Est ce que certains fichiers Windows ont été supprimés lors de mes différents scans? A ce moment la comment les restaurer?

    J'aimerais aussi faire une Sauvegarde de ma config et de mes données histoire de ne pas repasser trois jours la prochaine fois, avec quoi je peux le faire ?

    Merci

    A+
    0
  17. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Il y a encore des trojan horses sur mon PC ? 


    =======>> Oui.

    A part que oui, j'ai un problème parce que mon PC n'arrive plus à se, connecter. Le cable réseau est bien branché mais il ne voit rien meme si je debranche puis rebranche il voit rien. 


    =======>> Un message d'erreur?

    Est ce que certains fichiers Windows ont été supprimés lors de mes différents scans? A ce moment la comment les restaurer? 


    =======>> Je ne sais pas. je pense que drweb l'a fait mais j'ai besoin du rapport pour voir.

    Ne t'inquiètes pas, on peux les restaurer, as tu le CD de windows?

    Si tu veux sauvegarder les donnés: voila

    Tu fais les procédures en haut stp ...

    A+
    0