Sujet Précédent Sujet Suivant

Win32.Brontok et Shell32.dll

Résolu/Fermé
Keyah - 5 juil. 2009 à 15:35
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 - 9 juil. 2009 à 06:39
Bonjour,

Depuis ce matin je suis en train d'essayer de supprimer des fichiers qui contiennent ces virus, et que ce soit via mon antivirus (avira) ou manuellement (j'ai trouvé l'emplacement des fichiers), impossible de mettre en quarantaine, de supprimer ou de refuser l'accès.

Il y a plusieurs choses :

Le centre de sécurité windows me signale un ver Win32.Brontok.

L'antivirus me signale un problème avec shell32.dll, et quand je scane manuellement les fichiers dans application file il trouve

Shell32.VIR TR/FraudPack.oyr
Shell32.VIR000 TR/FraudPack.oyr

J'ai fait les opérations de pré-désinfection mentionnées sur ce site . Voici les rapports

info.txt logfile of random's system information tool 1.06 2009-07-05 15:26:10

======Uninstall list======

Heroes of Might and Magic III Armageddon's Blade-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\3DO\Heroes3\UnBlade.isu" -c"C:\Program Files\3DO\Heroes3\unblade.dll
-->C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
-->C:\WINDOWS\IsUn040c.exe -fC:\WINDOWS\orun32.isu
-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
-->C:\WINDOWS\UNNMP.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ACDSee 7.0 PowerPack-->MsiExec.exe /I{B0625F16-B742-4F75-9FD8-20B47ACC7DE2}
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70000000000}
Agere Systems PCI Soft Modem-->C:\WINDOWS\agrsmdel
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Canon PIXMA iP1500-->C:\WINDOWS\system32\CNMCP5y.exe "-PRINTERNAMECanon PIXMA iP1500" "-HELPERDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP1500 Installer\Inst2\cnmis.dll" "-RCDLLC:\BJPrinter\CNMWINDOWS\Canon PIXMA iP1500 Installer\Inst2\cnmi040c.dll"
Correctif pour Windows Internet Explorer 7 (KB947864)-->"C:\WINDOWS\ie7updates\KB947864-IE7\spuninst\spuninst.exe"
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
DesktopX Professional-->C:\PROGRA~1\COMMON~1\Stardock\UNWISE.EXE C:\PROGRA~1\COMMON~1\Stardock\INSTALL.LOG
Devil May Cry 3 Special Edition-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D4A8FCAB-9D30-4509-A3F1-D0B7E1BE9F00}\setup.exe" -l0x9 -removeonly
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro Trial-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
Dynamic Library v1.01-->C:\Program Files\Winamp\Plugins\dl\uninst_gen_dl.exe
EasyCleaner-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F5346614-B7C4-4E94-826A-E2363155233D}\setup.exe" -l0x9
FenAffiche-->C:\WINDOWS\st6unst.exe -n "C:\Program Files\FenAffiche\ST6UNST.LOG"
Heroes of Might and Magic® III The Shadow of Death(TM)-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\3DO\Heroes3\Uninst.isu" -c"C:\Program Files\3DO\Heroes3\uninst.dll
HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
InterActual Player-->C:\Program Files\InterActual\InterActual Player\inuninst.exe
J2SE Runtime Environment 5.0 Update 4-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150040}
Lecteur Windows Media 10-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Macromedia Flash Player 8-->C:\WINDOWS\system32\Macromed\Flash\UninstFl.exe
Macromedia Shockwave Player-->C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1 Hotfix (KB928366)-->"C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\hotfix.exe" "C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Updates\M928366\M928366Uninstall.msp"
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
Microsoft Office 97 Professional-->C:\Program Files\Microsoft Office\Office\Install\Acme.exe /w Off97Pro.STF
Microsoft Office PowerPoint Viewer 2007 (French)-->MsiExec.exe /X{95120000-00AF-040C-0000-0000000FF1CE}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Mise à jour de sécurité pour Lecteur Windows Media (KB952069)-->"C:\WINDOWS\$NtUninstallKB952069_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB911565)-->"C:\WINDOWS\$NtUninstallKB911565$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB917734)-->"C:\WINDOWS\$NtUninstallKB917734_WMP10$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media 10 (KB936782)-->"C:\WINDOWS\$NtUninstallKB936782_WMP10$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB898458)-->"C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Step by Step Interactive Training (KB923723)-->"C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)-->"C:\WINDOWS\ie7updates\KB928090-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)-->"C:\WINDOWS\ie7updates\KB933566-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)-->"C:\WINDOWS\ie7updates\KB938127-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)-->"C:\WINDOWS\ie7updates\KB939653

et

Logfile of random's system information tool 1.06 (written by random/random)
Run by Madamboevarix at 2009-07-05 15:25:33
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 38 GB (26%) free of 144 GB
Total RAM: 511 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:06, on 05/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Documents and Settings\Madamboevarix\Application Data\Google\cjhhl15625481.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\LSI SoftModem\agrsmsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Madamboevarix\Bureau\RSIT.exe
C:\Program Files\trend micro\Madamboevarix.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2fSecure%2fProtected%2fLogin.aspx%3fErrCode%3dPLEASE_LOGIN%26culture%3dfr-FR%26ctst%3d1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet's zone of chaos
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [realteks] "C:\Documents and Settings\Madamboevarix\Application Data\Google\cjhhl15625481.exe" 2
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - https://www.fileplanet.com/
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE

18 réponses

Réponse 1 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
5 juil. 2009 à 17:28
Salut,

Telecharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix detecte quelque chose et de demande a redemarer tu accepte
0
Réponse 2 / 18
Keyah
5 juil. 2009 à 19:32
Coucou,

J'ai suivi la procédure de pré-désinfection indiquée sur ce site à cette adresse

http://www.commentcamarche.net/faq/sujet 3174 virus methode preliminaire de desinfection

et apparemment plus de virus en vue... je referai un scan avec avira cette nuit.

Ce qui m'inquiète plus, c'est que je n'ai ni usb ni disque dur externe sur ce PC. Je n'ai pas non plus de client mail type outlook ou thunderbird mais uniquement des adresses on-line (type hotmail, gmail etc). Comment le virus a-t-il pu infecter mon ordinateur? Par msn peut être? Je fais pourtant attention à ne rien ouvrir ni exécuter sans en connaître la provenance avec certitude, et je n'avais pas ouvert de fichier ce matin.

Merci pour ta réponse en tout cas :)
0
Réponse 3 / 18
Keyah
5 juil. 2009 à 19:53
Et voilà le rapport après scan avec combofix



ComboFix 09-07-04.09 - Madamboevarix 05/07/2009 19:40.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.334 [GMT 2:00]
Lancé depuis: c:\documents and settings\Madamboevarix\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\WinRMSrv.msi
c:\windows\jestertb.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-06-05 au 2009-07-05 ))))))))))))))))))))))))))))))))))))
.

2009-07-05 15:48 . 2009-07-05 15:48 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\InstallShield
2009-07-05 14:27 . 2009-07-05 14:27 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\Malwarebytes
2009-07-05 14:27 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-05 14:26 . 2009-07-05 14:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-05 14:26 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-05 14:26 . 2009-07-05 14:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-05 13:59 . 2009-07-05 13:59 -------- d-----w- c:\program files\CCleaner
2009-07-05 13:41 . 2009-07-05 13:56 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-07-05 13:25 . 2009-07-05 13:26 -------- d-----w- C:\rsit
2009-07-05 13:25 . 2009-07-05 13:26 -------- d-----w- c:\program files\trend micro
2009-07-05 10:49 . 2009-07-05 10:49 16141 ----a-w- c:\documents and settings\Madamboevarix\Application Data\Help\megalon.exe
2009-07-05 10:49 . 2009-07-05 10:49 13221 ----a-w- c:\documents and settings\Madamboevarix\Application Data\Acreon\reniga.dll
2009-06-20 13:16 . 2009-06-20 13:17 -------- d-----w- c:\program files\QuickTime
2009-06-20 13:16 . 2009-06-20 13:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-06-15 09:03 . 2009-06-15 09:03 -------- d-----w- c:\program files\LSI SoftModem

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-05 15:50 . 2006-03-14 19:52 -------- d-----w- c:\program files\THQ
2009-07-05 15:50 . 2005-05-09 12:36 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-05 14:58 . 2005-08-06 18:34 -------- d-----w- c:\program files\Serials 2000 7.1 Plus
2009-07-05 12:59 . 2005-08-07 03:18 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\ACD Systems
2009-07-05 11:56 . 2005-08-06 17:17 22112 ----a-w- c:\documents and settings\Madamboevarix\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-05 11:54 . 2005-08-06 18:12 -------- d-----w- c:\program files\Google
2009-07-05 10:49 . 2008-11-02 21:53 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\Acreon
2009-07-05 10:25 . 2009-01-08 21:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-06-30 21:59 . 2009-03-08 13:34 -------- d-----w- c:\program files\Windows Live Safety Center
2009-06-12 20:32 . 2005-08-20 13:06 -------- d-----w- c:\program files\Diablo II
2009-06-04 15:45 . 2007-12-27 15:52 -------- d-----w- c:\program files\World of Warcraft
2009-05-14 20:14 . 2009-05-14 20:14 -------- d-----w- c:\program files\Avira
2009-05-14 20:14 . 2009-05-14 20:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-05-07 15:33 . 2005-05-09 12:31 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2005-05-09 12:31 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2005-05-09 12:31 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-27 13:27 . 2005-05-09 12:31 63614 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-27 13:27 . 2005-05-09 12:31 445016 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-19 19:50 . 2005-05-09 12:31 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:53 . 2005-05-09 12:31 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2005-08-08 23:53 . 2005-08-08 23:51 4184 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Madamboevarix\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1996-12-17 51984]
Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17 111376]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 12:13 49152 ----a-w- c:\program files\Fichiers communs\stardock\MCPStub.dll

[HKLM\~\startupfolder\C:^Documents and Settings^Madamboevarix^Menu Démarrer^Programmes^Démarrage^Moon Phase.lnk]
path=c:\documents and settings\Madamboevarix\Menu Démarrer\Programmes\Démarrage\Moon Phase.lnk
backup=c:\windows\pss\Moon Phase.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe"=
"c:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe"=
"c:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\config.exe"=
"c:\\Program Files\\Common Files\\Sierra On-Line\\Account Wizard\\AccountWizard.exe"=
"c:\\Program Files\\HL2\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\3DO\\Heroes3\\H3blade.icd"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [06/08/2005 22:20 78848]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/05/2009 22:14 108289]
S3 AL_ADSFilter;AL_ADSFilter - (Aluria Filter Driver);c:\windows\system32\DRIVERS\AL_ADSFilter.sys --> c:\windows\system32\DRIVERS\AL_ADSFilter.sys [?]
S3 LDT;LDT;\??\c:\temp\HyperTransportAnalyer-version 2.0\LDT.sys --> c:\temp\HyperTransportAnalyer-version 2.0\LDT.sys [?]
S3 nenum13E;nenum13E;\??\c:\docume~1\MADAMB~1\LOCALS~1\Temp\nenum13E.sys --> c:\docume~1\MADAMB~1\LOCALS~1\Temp\nenum13E.sys [?]
S3 PsShutdownSvc;PsShutdown;c:\windows\system32\PSSDNSVC.EXE [09/05/2005 17:07 65536]
.
Contenu du dossier 'Tâches planifiées'

2009-07-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-07-05 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-08 23:57]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-farstone - (no file)
ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.neuf.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://fr.mcafee.com/apps/vso/fr/vso9/default.asp?affid=312-8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
FF - ProfilePath - c:\documents and settings\Madamboevarix\Application Data\Mozilla\Firefox\Profiles\vpyws5h5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-05 19:46
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\program files\Fichiers communs\Stardock\mcpstub.dll
.
Heure de fin: 2009-07-05 19:47
ComboFix-quarantined-files.txt 2009-07-05 17:47

Avant-CF: 35 220 979 712 octets libres
Après-CF: 35 304 726 528 octets libres

160 --- E O F --- 2009-06-10 08:21
0
Réponse 4 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
5 juil. 2009 à 21:29
re

¤ Rends toi sur se site
https://www.virustotal.com/gui/

Clic sur "Parcourir"
Tu vas dans C:\Windows\PLFSetI.exe cherches le fichier ci-dessous et tu clic sur "ouvrir"

c:\documents and settings\Madamboevarix\Application Data\Help\megalon.exe
c:\documents and settings\Madamboevarix\Application Data\Acreon\reniga.dll

dès que c'est fait, clic sur "envoyer le fichier"
Tu attends un peu qu'il analyse ton fichier ça peut duré plusieurs minutes et colle le rapport ici une fois qu'il a terminé stp

il peut te dire que le fichier a deja était analyser tu fait reanalyser
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
Keyah
5 juil. 2009 à 22:30
Pour le premier

Fichier megalon.exe reçu le 2009.07.05 20:23:25 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/40 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 46 et 66 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.07.05 -
AhnLab-V3 5.0.0.2 2009.07.05 -
AntiVir 7.9.0.204 2009.07.05 -
Antiy-AVL 2.0.3.1 2009.07.03 -
Authentium 5.1.2.4 2009.07.04 -
Avast 4.8.1335.0 2009.07.05 -
AVG 8.5.0.386 2009.07.05 -
BitDefender 7.2 2009.07.05 -
CAT-QuickHeal 10.00 2009.07.03 -
ClamAV 0.94.1 2009.07.03 -
Comodo 1538 2009.07.02 -
DrWeb 5.0.0.12182 2009.07.05 -
eSafe 7.0.17.0 2009.07.02 -
eTrust-Vet 31.6.6596 2009.07.03 -
F-Prot 4.4.4.56 2009.07.04 -
F-Secure 8.0.14470.0 2009.07.05 -
Fortinet 3.117.0.0 2009.07.03 -
GData 19 2009.07.05 -
Ikarus T3.1.1.64.0 2009.07.05 -
Jiangmin 11.0.706 2009.07.05 -
K7AntiVirus 7.10.783 2009.07.03 -
Kaspersky 7.0.0.125 2009.07.05 -
McAfee 5667 2009.07.05 -
McAfee+Artemis 5667 2009.07.05 -
McAfee-GW-Edition 6.8.5 2009.07.05 -
Microsoft 1.4803 2009.07.05 -
NOD32 4219 2009.07.05 -
Norman 6.01.09 2009.07.04 -
nProtect 2009.1.8.0 2009.07.05 -
Panda 10.0.0.14 2009.07.05 -
PCTools 4.4.2.0 2009.07.05 -
Rising 21.36.62.00 2009.07.05 -
Sophos 4.43.0 2009.07.05 -
Sunbelt 3.2.1858.2 2009.07.05 -
Symantec 1.4.4.12 2009.07.05 -
TheHacker 6.3.4.3.362 2009.07.04 -
TrendMicro 8.950.0.1094 2009.07.05 -
VBA32 3.12.10.7 2009.07.05 -
ViRobot 2009.7.3.1818 2009.07.03 -
VirusBuster 4.6.5.0 2009.07.05 -
Information additionnelle
File size: 16141 bytes
MD5...: ca0325035ac4cbaf2a74418ff3cef7fb
SHA1..: f6ed795c26c602301fe5b951f7664759e0eb7edf
SHA256: b611e6094cefbb81d54e6b6a3dc8dc0d33b86eba78f474e3aabb1064ef692651
ssdeep: 192:njiBthI395/IkRy8pls9P8RXhp/zzdA8H/pUgpwz4q9TFiZn:SOzAkRyyly8
RXfzdbfpUA04i+
PEiD..: -
TrID..: File type identification
-
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-




Pour le deuxième

Fichier reniga.dll reçu le 2009.07.05 20:25:07 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 3.
L'heure estimée de démarrage est entre 54 et 77 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.07.05 -
AhnLab-V3 5.0.0.2 2009.07.05 -
AntiVir 7.9.0.204 2009.07.05 -
Antiy-AVL 2.0.3.1 2009.07.03 -
Authentium 5.1.2.4 2009.07.04 -
Avast 4.8.1335.0 2009.07.05 -
AVG 8.5.0.386 2009.07.05 -
BitDefender 7.2 2009.07.05 -
CAT-QuickHeal 10.00 2009.07.03 -
ClamAV 0.94.1 2009.07.03 -
Comodo 1538 2009.07.02 -
DrWeb 5.0.0.12182 2009.07.05 -
eSafe 7.0.17.0 2009.07.02 -
eTrust-Vet 31.6.6596 2009.07.03 -
F-Prot 4.4.4.56 2009.07.04 -
F-Secure 8.0.14470.0 2009.07.05 -
Fortinet 3.117.0.0 2009.07.03 -
GData 19 2009.07.05 -
Ikarus T3.1.1.64.0 2009.07.05 -
Jiangmin 11.0.706 2009.07.05 -
K7AntiVirus 7.10.783 2009.07.03 -
Kaspersky 7.0.0.125 2009.07.05 -
McAfee 5667 2009.07.05 -
McAfee+Artemis 5667 2009.07.05 -
McAfee-GW-Edition 6.8.5 2009.07.05 -
Microsoft 1.4803 2009.07.05 -
NOD32 4219 2009.07.05 -
Norman 6.01.09 2009.07.04 -
nProtect 2009.1.8.0 2009.07.05 -
Panda 10.0.0.14 2009.07.05 -
PCTools 4.4.2.0 2009.07.05 -
Prevx 3.0 2009.07.05 -
Rising 21.36.62.00 2009.07.05 -
Sophos 4.43.0 2009.07.05 -
Sunbelt 3.2.1858.2 2009.07.05 -
Symantec 1.4.4.12 2009.07.05 -
TheHacker 6.3.4.3.362 2009.07.04 -
TrendMicro 8.950.0.1094 2009.07.05 -
VBA32 3.12.10.7 2009.07.05 -
ViRobot 2009.7.3.1818 2009.07.03 -
VirusBuster 4.6.5.0 2009.07.05 -
Information additionnelle
File size: 13221 bytes
MD5...: 54f7de62a6b70806075882880211126e
SHA1..: 9d8c11ef5151cbd06e2321bd7f40dfcca6e5be22
SHA256: b4440316684f9da559c95d5a49fbb6929ad4446cd142ea23ba5adb404d582dc0
ssdeep: 192:nnoiBthI395/IkRy8pls9P8RXhp/zzdA8Hy:FOzAkRyyly8RXfzdbS
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
Réponse 6 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
5 juil. 2009 à 22:38
a tu quelque chose d'installer sur le pc qui a un rapport avec asterix un jeu ou autre chose ?

Telecharge FindyKill sur ton bureau :

http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe

--> Lance l installation avec les paramètres par defaut

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Poste le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
0
Réponse 7 / 18
Keyah
5 juil. 2009 à 23:23
Alors, l'ordi n'est pas le mien à la base, c'est un que j'ai récupéré d'un copain et le nom de l'ordi est "Madamboevarix" si c'est la question que tu te poses.

Sinon j'ai wow, saced, Half life, devil may cry et heroes. Je crois que c'est à peu près tout en jeux.


Voilà le rapport de findykill



############################## | FindyKill V6.002 |

# User : Madamboevarix (Administrateurs) # ZELITEULONE
# Update on 03/07/09 by Chiquitine29 & C_XX
# Start at: 23:17:37 | 05/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Sempron(tm) 2800+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 140,77 Go (32,89 Go free) [PunkArea] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Stardock\SDMCP.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\LSI SoftModem\agrsmsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Registre Startup |

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="http://home.neuf.fr/"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Madamboevarix"
HKLM_logon: "AltDefaultUserName"="Madamboevarix"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
HKLM_Run: BluetoothAuthenticationAgent=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM_Run: nwiz=nwiz.exe /install
HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Madamboevarix\Temporary Internet Files |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\software\microsoft\security center "AntiVirusOverride" ( 0x1 )

################## | Registre # Mountpoints2 |


################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.002 ! |
0
Réponse 8 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
5 juil. 2009 à 23:37
Déconnecte toi et ferme toutes application en cours ( navigateur compris ) .

• Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

• Relance "FindyKill" : au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu choisis l'option2 (suppression) et tape sur [entrée]

• Le pc va redémarrer automatiquement ...

▶ le programme va travailler , ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

--> Poste le rapport qui apparait à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html
0
Réponse 9 / 18
Keyah
6 juil. 2009 à 10:16
Voilà le rapport findykill après suppression



############################## | FindyKill V6.002 |

# User : Madamboevarix (Administrateurs) # ZELITEULONE
# Update on 03/07/09 by Chiquitine29 & C_XX
# Start at: 01:22:45 | 06/07/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html

# AMD Sempron(tm) 2800+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | Updated ]

# C:\ # Disque fixe local # 140,77 Go (32,85 Go free) [PunkArea] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 122,23 Mo (121,99 Mo free) [BABY KEY] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonuiX.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\LSI SoftModem\agrsmsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |


################## | C:\Documents and Settings\Madamboevarix\Temporary Internet Files |


################## | All Drives ... |

Supprimé ! F:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\stcvhost.exe
Supprimé ! "F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013"

################## | Autres ... |


################## | Registre # Clés Run infectieuses |

# HKLM\software\microsoft\security center "AntiVirusOverride" # -> Reset sucessfully !

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[24/10/2008 11:36|--a------|0] - C:\AL_ADSClient.txt
[23/10/2008 10:52|--a------|0] - C:\AL_ADSServer.txt
[11/01/2009 18:01|--a------|44440] - C:\ascserv.log
[09/05/2005 12:48|--a------|0] - C:\AUTOEXEC.BAT
[02/01/2008 11:54|-rahs----|216] - C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[05/07/2009 19:48|--a------|11232] - C:\ComboFix.txt
[09/05/2005 12:48|--a------|0] - C:\CONFIG.SYS
[12/06/2009 22:38|--a------|104] - C:\Corbeille.lnk
[11/01/2009 18:01|--a------|35413] - C:\Error.Log
[21/11/2008 14:16|--ah-----|5426] - C:\ffastun.ffa
[21/11/2008 14:16|--ah-----|385024] - C:\ffastun.ffl
[21/11/2008 14:16|--ah-----|184320] - C:\ffastun.ffo
[21/11/2008 14:16|--ah-----|4669440] - C:\ffastun0.ffx
[22/11/2008 04:27|--a------|385024] - C:\ffastunT.ffl
[06/07/2009 01:42|--a------|3075] - C:\FindyKill.txt
[||] - C:\hiberfil.sys
[01/04/2009 13:18|--a------|1637] - C:\InstallHelper.log
[09/05/2005 12:48|-rahs----|0] - C:\IO.SYS
[09/05/2005 12:48|-rahs----|0] - C:\MSDOS.SYS
[06/01/2009 18:23|--a------|80625] - C:\n782334594_1718868_3045.jpeg
[05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[17/10/2008 13:58|-rahs----|252240] - C:\ntldr
[||] - C:\pagefile.sys
[11/08/2005 13:00|--a------|301] - C:\PunkArea.lnk
[21/02/2009 15:24|--ah-----|268] - C:\sqmdata00.sqm
[21/02/2009 18:50|--ah-----|268] - C:\sqmdata01.sqm
[14/06/2009 04:35|--ah-----|268] - C:\sqmdata02.sqm
[25/11/2008 02:20|--ah-----|268] - C:\sqmdata03.sqm
[25/11/2008 18:10|--ah-----|268] - C:\sqmdata04.sqm
[11/02/2009 14:59|--ah-----|268] - C:\sqmdata05.sqm
[12/02/2009 02:33|--ah-----|268] - C:\sqmdata06.sqm
[12/02/2009 14:29|--ah-----|268] - C:\sqmdata07.sqm
[12/02/2009 22:45|--ah-----|268] - C:\sqmdata08.sqm
[12/02/2009 22:47|--ah-----|268] - C:\sqmdata09.sqm
[12/02/2009 22:50|--ah-----|268] - C:\sqmdata10.sqm
[13/02/2009 01:06|--ah-----|268] - C:\sqmdata11.sqm
[13/02/2009 21:45|--ah-----|268] - C:\sqmdata12.sqm
[15/02/2009 18:18|--ah-----|268] - C:\sqmdata13.sqm
[17/02/2009 00:56|--ah-----|268] - C:\sqmdata14.sqm
[17/02/2009 23:51|--ah-----|268] - C:\sqmdata15.sqm
[19/02/2009 01:30|--ah-----|268] - C:\sqmdata16.sqm
[19/02/2009 11:14|--ah-----|268] - C:\sqmdata17.sqm
[20/02/2009 02:28|--ah-----|268] - C:\sqmdata18.sqm
[20/02/2009 18:53|--ah-----|268] - C:\sqmdata19.sqm
[21/02/2009 15:24|--ah-----|244] - C:\sqmnoopt00.sqm
[21/02/2009 18:50|--ah-----|244] - C:\sqmnoopt01.sqm
[14/06/2009 04:35|--ah-----|244] - C:\sqmnoopt02.sqm
[25/11/2008 02:20|--ah-----|244] - C:\sqmnoopt03.sqm
[25/11/2008 18:10|--ah-----|244] - C:\sqmnoopt04.sqm
[11/02/2009 14:59|--ah-----|244] - C:\sqmnoopt05.sqm
[12/02/2009 02:33|--ah-----|244] - C:\sqmnoopt06.sqm
[12/02/2009 14:29|--ah-----|244] - C:\sqmnoopt07.sqm
[12/02/2009 22:45|--ah-----|244] - C:\sqmnoopt08.sqm
[12/02/2009 22:47|--ah-----|244] - C:\sqmnoopt09.sqm
[12/02/2009 22:50|--ah-----|244] - C:\sqmnoopt10.sqm
[13/02/2009 01:06|--ah-----|244] - C:\sqmnoopt11.sqm
[13/02/2009 21:45|--ah-----|244] - C:\sqmnoopt12.sqm
[15/02/2009 18:18|--ah-----|244] - C:\sqmnoopt13.sqm
[17/02/2009 00:56|--ah-----|244] - C:\sqmnoopt14.sqm
[17/02/2009 23:51|--ah-----|244] - C:\sqmnoopt15.sqm
[19/02/2009 01:30|--ah-----|244] - C:\sqmnoopt16.sqm
[19/02/2009 11:14|--ah-----|244] - C:\sqmnoopt17.sqm
[20/02/2009 02:28|--ah-----|244] - C:\sqmnoopt18.sqm
[20/02/2009 18:53|--ah-----|244] - C:\sqmnoopt19.sqm
[25/02/2009 19:03|--a------|203846] - F:\Cv.doc

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.
# F:\autorun.inf ( # Not infected ) -> Folder created by FindyKill.

################## | Etat / Services / Informations |

# Mode sans echec : OK

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V6.002 ! |
0
Réponse 10 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
6 juil. 2009 à 18:37
salut


****************************************************

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note )


Killall::

Driver::
nenum13E

File::
c:\documents and settings\Madamboevarix\Application Data\Help\megalon.exe
c:\documents and settings\Madamboevarix\Application Data\Acreon\reniga.dll
c:\docume~1\MADAMB~1\LOCALS~1\Temp\nenum13E.sys


Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.


Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.
0
Réponse 11 / 18
Keyah
6 juil. 2009 à 23:42
ComboFix 09-07-06.01 - Madamboevarix 06/07/2009 23:22.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.304 [GMT 2:00]
Lancé depuis: c:\documents and settings\Madamboevarix\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Madamboevarix\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\docume~1\MADAMB~1\LOCALS~1\Temp\nenum13E.sys"
"c:\documents and settings\Madamboevarix\Application Data\Acreon\reniga.dll"
"c:\documents and settings\Madamboevarix\Application Data\Help\megalon.exe"
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Madamboevarix\Application Data\Acreon\reniga.dll
c:\documents and settings\Madamboevarix\Application Data\Help\megalon.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NENUM13E
-------\Service_nenum13E


((((((((((((((((((((((((((((( Fichiers créés du 2009-06-06 au 2009-07-06 ))))))))))))))))))))))))))))))))))))
.

2009-07-05 21:12 . 2009-07-06 08:09 -------- d-----w- C:\FindyKill
2009-07-05 15:48 . 2009-07-05 15:48 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\InstallShield
2009-07-05 14:27 . 2009-07-05 14:27 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\Malwarebytes
2009-07-05 14:27 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-05 14:26 . 2009-07-05 14:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-07-05 14:26 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-05 14:26 . 2009-07-05 14:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-07-05 13:59 . 2009-07-05 13:59 -------- d-----w- c:\program files\CCleaner
2009-07-05 13:41 . 2009-07-05 13:56 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-07-05 13:25 . 2009-07-05 13:26 -------- d-----w- C:\rsit
2009-07-05 13:25 . 2009-07-05 13:26 -------- d-----w- c:\program files\trend micro
2009-06-20 13:16 . 2009-06-20 13:17 -------- d-----w- c:\program files\QuickTime
2009-06-20 13:16 . 2009-06-20 13:16 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2009-06-15 09:03 . 2009-06-15 09:03 -------- d-----w- c:\program files\LSI SoftModem

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-06 21:26 . 2008-11-02 21:53 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\Acreon
2009-07-05 23:14 . 2009-03-08 13:34 -------- d-----w- c:\program files\Windows Live Safety Center
2009-07-05 15:50 . 2006-03-14 19:52 -------- d-----w- c:\program files\THQ
2009-07-05 15:50 . 2005-05-09 12:36 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-07-05 14:58 . 2005-08-06 18:34 -------- d-----w- c:\program files\Serials 2000 7.1 Plus
2009-07-05 12:59 . 2005-08-07 03:18 -------- d-----w- c:\documents and settings\Madamboevarix\Application Data\ACD Systems
2009-07-05 11:56 . 2005-08-06 17:17 22112 ----a-w- c:\documents and settings\Madamboevarix\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-07-05 11:54 . 2005-08-06 18:12 -------- d-----w- c:\program files\Google
2009-07-05 10:25 . 2009-01-08 21:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-06-12 20:32 . 2005-08-20 13:06 -------- d-----w- c:\program files\Diablo II
2009-06-04 15:45 . 2007-12-27 15:52 -------- d-----w- c:\program files\World of Warcraft
2009-05-14 20:14 . 2009-05-14 20:14 -------- d-----w- c:\program files\Avira
2009-05-14 20:14 . 2009-05-14 20:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-05-07 15:33 . 2005-05-09 12:31 348672 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2005-05-09 12:31 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2005-05-09 12:31 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-04-27 13:27 . 2005-05-09 12:31 63614 ----a-w- c:\windows\system32\perfc00C.dat
2009-04-27 13:27 . 2005-05-09 12:31 445016 ----a-w- c:\windows\system32\perfh00C.dat
2009-04-19 19:50 . 2005-05-09 12:31 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:53 . 2005-05-09 12:31 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2005-08-08 23:53 . 2005-08-08 23:51 4184 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Madamboevarix\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1996-12-17 51984]
Microsoft Recherche acc‚l‚r‚e.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1996-12-17 111376]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 12:13 49152 ----a-w- c:\program files\Fichiers communs\stardock\MCPStub.dll

[HKLM\~\startupfolder\C:^Documents and Settings^Madamboevarix^Menu Démarrer^Programmes^Démarrage^Moon Phase.lnk]
path=c:\documents and settings\Madamboevarix\Menu Démarrer\Programmes\Démarrage\Moon Phase.lnk
backup=c:\windows\pss\Moon Phase.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe"=
"c:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe"=
"c:\\Program Files\\Ascaron Entertainment\\Sacred Underworld\\config.exe"=
"c:\\Program Files\\Common Files\\Sierra On-Line\\Account Wizard\\AccountWizard.exe"=
"c:\\Program Files\\HL2\\hl2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\3DO\\Heroes3\\H3blade.icd"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\World of Warcraft\\Launcher.exe"=
"c:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R1 SSHDRV85;SSHDRV85;c:\windows\system32\drivers\SSHDRV85.sys [06/08/2005 22:20 78848]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [14/05/2009 22:14 108289]
S3 AL_ADSFilter;AL_ADSFilter - (Aluria Filter Driver);c:\windows\system32\DRIVERS\AL_ADSFilter.sys --> c:\windows\system32\DRIVERS\AL_ADSFilter.sys [?]
S3 LDT;LDT;\??\c:\temp\HyperTransportAnalyer-version 2.0\LDT.sys --> c:\temp\HyperTransportAnalyer-version 2.0\LDT.sys [?]
S3 PsShutdownSvc;PsShutdown;c:\windows\system32\PSSDNSVC.EXE [09/05/2005 17:07 65536]
.
Contenu du dossier 'Tâches planifiées'

2009-07-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2009-07-06 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-08 23:57]
.
- - - - ORPHELINS SUPPRIMES - - - -

ShellExecuteHooks-{EDB0E980-90BD-11D4-8599-0008C7D3B6F8} - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.neuf.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://fr.mcafee.com/apps/vso/fr/vso9/default.asp?affid=312-8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
FF - ProfilePath - c:\documents and settings\Madamboevarix\Application Data\Mozilla\Firefox\Profiles\vpyws5h5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPOJI610.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-06 23:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\program files\Fichiers communs\Stardock\mcpstub.dll

- - - - - - - > 'explorer.exe'(2444)
c:\windows\system32\eappprxy.dll
c:\progra~1\FICHIE~1\Stardock\mcpcore.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Fichiers communs\stardock\sdmcp.exe
c:\program files\LSI SoftModem\agrsmsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2009-07-06 23:31 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-07-06 21:31
ComboFix2.txt 2009-07-05 17:48

Avant-CF: 35 265 695 744 octets libres
Après-CF: 35 273 527 296 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

190 --- E O F --- 2009-06-10 08:21
0
Réponse 12 / 18
Keyah
7 juil. 2009 à 00:09
Le rapport hijack logtext, je ne trouve pas le info.txt ...


Logfile of random's system information tool 1.06 (written by random/random)
Run by Madamboevarix at 2009-07-07 00:02:21
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 34 GB (23%) free of 144 GB
Total RAM: 511 MB (47% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:02:25, on 07/07/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Stardock\SDMCP.exe
C:\Program Files\LSI SoftModem\agrsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Madamboevarix\Bureau\RSIT.exe
C:\Program Files\trend micro\Madamboevarix.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2fSecure%2fProtected%2fLogin.aspx%3fErrCode%3dPLEASE_LOGIN%26culture%3dfr-FR%26ctst%3d1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - https://www.fileplanet.com/
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/fr/4,0,0,90/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/fr/1,0,0,23/mcgdmgr.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Program Files\LSI SoftModem\agrsmsvc.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
0
Réponse 13 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
7 juil. 2009 à 00:36
info.txt se trouve dans C:\Rsit

télécharge malwarbyte http://www.commentcamarche.net/telecharger/telechargement 34055379 malwarebytes anti malware

a l'installation vérifie que mise a jour et lancer programme et scan complet sont bien cocher

Une fois a jour, le programme va se lancer; clic sur l´onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

A la fin du scan clique sur Afficher les résultats

Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout
S'il t'es demandé de redémarrer >>> clique sur "Yes"

Et tu poste le rapport générer
0
Keyah
7 juil. 2009 à 21:15
J'avais déjà fait le scan avec malawarebytes dans la désinfection préliminaire. J'ai donc mis à jour et relancé mais il n'a rien détecté, alors qu'Avira me signale encore des virus. Je poste le rapport et le relance pour être sûre.

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2384
Windows 5.1.2600 Service Pack 3

07/07/2009 21:10:15
mbam-log-2009-07-07 (21-10-15).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 167983
Temps écoulé: 11 hour(s), 4 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 14 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
7 juil. 2009 à 22:03
tu peut me poster le rapport avira
0
Réponse 15 / 18
Keyah
8 juil. 2009 à 10:01
Le rapport avira :

Avira AntiVir Personal
Date de création du fichier de rapport : mercredi 8 juillet 2009 01:18

La recherche porte sur 1475195 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : ZELITEULONE

Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 21:02:39
ANTIVIR2.VDF : 7.1.4.173 306688 Bytes 02/07/2009 21:02:41
ANTIVIR3.VDF : 7.1.4.197 430592 Bytes 07/07/2009 21:02:43
Version du moteur : 8.2.0.204
AEVDF.DLL : 8.1.1.1 106868 Bytes 07/07/2009 21:02:55
AESCRIPT.DLL : 8.1.2.13 426362 Bytes 07/07/2009 21:02:54
AESCN.DLL : 8.1.2.3 127347 Bytes 07/07/2009 21:02:53
AERDL.DLL : 8.1.2.2 438642 Bytes 07/07/2009 21:02:53
AEPACK.DLL : 8.1.3.18 401783 Bytes 07/07/2009 21:02:52
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 07/07/2009 21:02:50
AEHEUR.DLL : 8.1.0.137 1823095 Bytes 07/07/2009 21:02:50
AEHELP.DLL : 8.1.3.6 205174 Bytes 07/07/2009 21:02:45
AEGEN.DLL : 8.1.1.48 348532 Bytes 07/07/2009 21:02:45
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 07/07/2009 21:02:44
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 12:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : mercredi 8 juillet 2009 01:18

La recherche d'objets cachés commence.
'41806' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OSA.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'agrsmsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sdmcp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'30' processus ont été contrôlés avec '30' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <PunkArea>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Madamboevarix\Bureau\ComboFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
C:\FindyKill\Tools\SniffC.exe
[RESULTAT] Contient le modèle de détection du programme SPR/AutoIt.Gen
C:\Qoobox\Quarantine\C\Documents and Settings\Madamboevarix\Application Data\Acreon\reniga.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\Qoobox\Quarantine\C\Documents and Settings\Madamboevarix\Application Data\Help\megalon.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\Shared\Discografía - Ska-p.ace
[0] Type d'archive: ACE
--> Discografᄀa Ska-p 5 Discos por ELGAROE\Eurosis\01-Circo Iberico.mp3
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\System Volume Information\_restore{6F09DFE3-862B-4073-8644-091C489CAAB1}\RP525\A0099652.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{6F09DFE3-862B-4073-8644-091C489CAAB1}\RP525\A0100683.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\n.pif
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
C:\WINDOWS\SoftwareDistribution\Download\f93ad96185e7baf47abb80a5f55039e9\BIT2.tmp
[0] Type d'archive: CAB (Microsoft)
--> nvapi.dl_
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

Début de la désinfection :
C:\Documents and Settings\Madamboevarix\Bureau\ComboFix.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac1506e.qua' !
C:\FindyKill\Tools\SniffC.exe
[RESULTAT] Contient le modèle de détection du programme SPR/AutoIt.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abd506d.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\Madamboevarix\Application Data\Acreon\reniga.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac25065.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\Madamboevarix\Application Data\Help\megalon.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4abb5065.qua' !
C:\System Volume Information\_restore{6F09DFE3-862B-4073-8644-091C489CAAB1}\RP525\A0099652.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a845030.qua' !
C:\System Volume Information\_restore{6F09DFE3-862B-4073-8644-091C489CAAB1}\RP525\A0100683.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a855030.qua' !


Fin de la recherche : mercredi 8 juillet 2009 09:51
Temps nécessaire: 1:40:43 Heure(s)

La recherche a été effectuée intégralement

6400 Les répertoires ont été contrôlés
297338 Des fichiers ont été contrôlés
6 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
6 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
297330 Fichiers non infectés
7736 Les archives ont été contrôlées
6 Avertissements
8 Consignes
41806 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
Réponse 16 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
8 juil. 2009 à 18:23
salut

vide la quarantaine d'antivir après sa

pour nettoyer les fix qui ont servit

Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

tu poste le rapport générer après suppression

en s'occupera de sa apres

(après sa en purgera ta restauration system et en créera un nouveau point et en passera un coup de ccleaner et en finira par un scan en ligne)
0
Réponse 17 / 18
Keyah
8 juil. 2009 à 23:37
Ya pas eu de vrai rapport, mais il n'a trouvé que les programmes de nettoyage que tu m'as conseillés. ^^

Voilà ce qu'il a supprimé

C:\Documents and Settings\Madamboevarix\Bureau\ComboFix.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Madamboevarix\Bureau\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\FindyKill: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Madamboevarix\Menu Démarrer\Programmes\FindyKill: supprimé !
0
Réponse 18 / 18
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
9 juil. 2009 à 06:39
salut;c'est bien sa

purger les points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche Désactiver la restauration système
6.Valide par Ok
7.Redémarre
8.Reproduis les manipulations 1 à 3
9.Décoche Désactiver la restauration système
10.Valide par Ok

--------------

tu va télécharger Ccleaner https://www.ccleaner.com/ccleaner/download

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/
0

Discussions similaires

message au demarrage de windows
laborantine -
MacHenri -

29 réponses
XINPUT1_3.dll manquant (missing)
Maxirugue -
dan -

39 réponses
Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
msvcr110.dll manquant sous Windows 10
Salles33 -
Unmecquiabiengaleirer -

7 réponses
Windows defender: avertissement de sécurité
surfinia -
Tchoumi -

20 réponses