Je pense etre infecter

Fermé

mimi - 1 août 2009 à 18:29
mimi - 2 août 2009 à 18:13

Bonjour,voila depuis quelque temps j'ai plein de soucis sur mon pc comme page bleu puis redemarrage de mon pc,les pages internet qui se refeme seule puis aussi,il reconnais mon mp3 mais je ne peux pas y accéderet depuis aujourd'hui je n'ai plus axcès au poste de travail ni panneau de configuration.J'ai télécharger RSIT et voila le rapport:

Destroy\TeaTimer.exe
C:\Documents and Settings\myriam\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\myriam\Bureau\RSIT.exe
C:\Program Files\trend micro\myriam.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Deenero - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - C:\Program Files\Deenero\deenero_1,0,1,5.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\myriam\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

A voir également:

Je pense etre infecter
Je pense avoir un pc infecté ✓ - Forum Virus
Infecter avec cyber security - Forum Virus
Laptop infecter par VirTool:Win32/ExcludeProd.D ✓ - Forum Virus
Infecter par Trojan:Win32/Skeeyah.A!rfn ✓ - Forum Virus
Un pdf peut il etre infecté - Guide

10 réponses

Réponse 1 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
1 août 2009 à 18:30

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

mimi
1 août 2009 à 18:43

voici le rapport:

Rapport GenProc 2.610 [1] - 01/08/2009 à 18:36:22
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.5.1) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.

# Etape 2/

Lance Toolbar-S&D situé sur le Bureau. Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport TB.txt situé dans C:\ ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~

# Détections [1] GenProc 2.610 01/08/2009 à 18:37:49
Toolbar:le 01/08/2009 à 18:38:15 "C:\Program Files\AskBarDis"

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 18:38:28 ~~

Réponse 2 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
1 août 2009 à 22:21

suit ces manips

mimi
2 août 2009 à 11:48

j'ai ete obligé de tout recommencer car mon pc a redemarrer comme d'habitude
ben j'ai fais les manip et voila le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:57, on 02/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Wallpaper\Wallpaper.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\myriam\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Deenero - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - C:\Program Files\Deenero\deenero_1,0,1,5.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Wallpaper] "C:\Program Files\Wallpaper\Wallpaper.exe" Starter
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\myriam\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Réponse 3 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 11:56

- Le contenu du rapport TB.txt situé dans C:\ ;

mimi
2 août 2009 à 12:04

tu peux m'expliqué stp je ss vraiment pas douer en informatique stp

Réponse 4 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 12:24

clique sur démarrer => poste de travail => disque local(c)
poste le rapport Toolbar S&D.txt

mimi
2 août 2009 à 12:33

dsl mais je n'ai pas accès au poste de travail.Il s'affiche et me met un rapprt d'erreur

mimi > mimi
2 août 2009 à 12:37

-----------\\ ToolBar S&D 1.2.8 XP/Vista

( : )
USER : myriam ( Administrator )

comment j'ai pas acces au poste de travail j'ai fait une autre analyse

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 02/08/2009|12:34 )

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="https://www.msn.com/fr-fr"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Bar"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q="
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
"Search Bar"="https://www.bing.com/?toHttps=1&redig=8F3F334EA60E4B1CB4D040DCFE393A89{SUB_RFC1766}/srchasst/srchasst.htm"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\myriam\Application Data\BitTorrent\Stardock IconPackager v4.0+crack-Nope.torrent

1 - "C:\ToolBar SD\TB_1.txt" - 02/08/2009|11:36 - Option : [2]
2 - "C:\ToolBar SD\TB_2.txt" - 02/08/2009|12:35 - Option : [2]

-----------\\ Fin du rapport a 12:35:18,42

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 12:42

poste ce rapport https://www.micro-astuce.com/securite/NanoScan-Panda.php

mimi
2 août 2009 à 13:38

bon ben voila des que l'analyse commence explorer a plante a chaque fois j'ai réaessayer au moins 6 fois j'en ai marre y a t'il autre chose a faire

Réponse 6 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 13:40

[*] Télécharge combofix (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
[*] Double clique combofix.exe et suis les instructions.
[*] Installe la console de récupération si proposé et continue.
[*] Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

mimi
2 août 2009 à 14:18

le scan se fait tres bien mais quand il prepare le rapport mon pc plante cette a dire page bleu puis redemarrage.Je me demande si faut pas que je reformate le pc?

Réponse 7 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 14:19

C:\Combofix.txt est présent ?

mimi
2 août 2009 à 14:24

non je ne le vois pas

Réponse 8 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 14:27

fait un clique droit sur combofix.exe
renommer
choisi ccm.exe
lance ccm.exe

mimi
2 août 2009 à 15:06

pendant le scan il m' a trouver des erreurs:

grep.exe
pev.cfexe
findstr.cfexe
et puis redemarrage du pc et maintenant des que je veux le lancer ica me dit que c'est corromput voila

mimi
2 août 2009 à 17:04

j'ai vu quelque chose qui me parait louche.

je ss allez ds le gestionnaire des tache de windows et j'ai vu:
processus inactif du systeme qui est a 98 et quand j'essaye de terminer se processus ca me dit:

l'opération n'a pas pu aboutir et qu'elle n'est pas valide
le probleme viendrait il de ca?

Réponse 9 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 17:24

* Télécharge Catchme http://www2.gmer.net/catchme.exe de Przemyslaw Gmerek sur ton Bureau.
* Double clique sur catchme.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Lorsque la recherche sera terminée, poste le rapport catchme.log dans ta prochaine réponse. (Ce rapport est sur ton bureau.)

mimi
2 août 2009 à 17:34

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-02 17:30:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthciqxerxuscnqrlluqhesiymspdulksib]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=str(2):"\systemroot\system32\drivers\ovfsthfoceqdytlidwyjgnmtalkjormnrbatef.sys"
"inst"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthciqxerxuscnqrlluqhesiymspdulksib\main]
"ver"="icv310309"
"cid"="01"
"bid"="4233065711-746137067-1004336348-839522115"
"aid"="303642"
"sid"="209"
"feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthciqxerxuscnqrlluqhesiymspdulksib\modules]
"ovfsth.dll"="\systemroot\system32\ovfsthemkbyjxvitleqpdyavppqxtqfoobdthq.dll"
"ovfsth.sys"="\systemroot\system32\drivers\ovfsthfoceqdytlidwyjgnmtalkjormnrbatef.sys"
"ovfsthlog.dat"="\systemroot\system32\ovfsthdivpobprvfvlvpjfimrxyusynhipdpbj.dat"
"ovfsthwi.dll"="\systemroot\system32\ovfsthweedhnmnxusqqiloobmeorfqtvigjvqi.dll"
"ovfsthff.dll"="\systemroot\system32\ovfsthlhwxwwovcvkngxvhynvvtfsghljqfvdm.dll"
"ovfsth.dat"="\systemroot\system32\ovfsthbftiqqornmaviwexvexjwbeevntalkdr.dat"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthvpvfqyxeoqsnqdwsavblxtlwbxtfgriy]
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=str(2):"\systemroot\system32\drivers\ovfsthqdifppmdtiqbftfvkbmgwcrfmatptiqp.sys"
"inst"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthvpvfqyxeoqsnqdwsavblxtlwbxtfgriy\main]
"ver"="icv310309"
"cid"="01"
"bid"="4233065711-746137067-1004336348-839522115"
"aid"="303642"
"sid"="209"
"feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ovfsthvpvfqyxeoqsnqdwsavblxtlwbxtfgriy\modules]
"ovfsth.dll"="\systemroot\system32\ovfsthmmhavsbsdujappyfffbyhhfmoieeptkr.dll"
"ovfsth.sys"="\systemroot\system32\drivers\ovfsthqdifppmdtiqbftfvkbmgwcrfmatptiqp.sys"
"ovfsthlog.dat"="\systemroot\system32\ovfsthdwbpjwwdvtfnertixingnpamyosqidaw.dat"
"ovfsthwi.dll"="\systemroot\system32\ovfsthihhxyawucbbnbmxdkvpptqhhppymefnb.dll"
"ovfsthff.dll"="\systemroot\system32\ovfsthtwgvdjcvhopqqxcndnogrduwnvmujkgm.dll"
"ovfsth.dat"="\systemroot\system32\ovfsthnrljsvxyexeionvxbxnbgkwrqngqslke.dat"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"hdf12"=hex:cf,51,ab,41,ab,38,5a,7a,7e,af,5e,b4,a4,cc,89,58,b4,59,03,3c,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7b,7e,a1,aa,76,53,07,a4,ff,30,e0,db,9d,2c,3b,13,ad,..
"hdf12"=hex:20,e4,97,8c,23,3c,7c,48,d5,b0,ef,cf,a6,92,2e,ce,98,58,1f,19,3e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:56,73,3f,20,4a,74,f7,5b,fc,61,f4,f1,e7,b8,b1,b1,ef,27,9c,13,92,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"hdf12"=hex:cf,51,ab,41,ab,38,5a,7a,7e,af,5e,b4,a4,cc,89,58,b4,59,03,3c,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7b,7e,a1,aa,76,53,07,a4,ff,30,e0,db,9d,2c,3b,13,ad,..
"hdf12"=hex:20,e4,97,8c,23,3c,7c,48,d5,b0,ef,cf,a6,92,2e,ce,98,58,1f,19,3e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:56,73,3f,20,4a,74,f7,5b,fc,61,f4,f1,e7,b8,b1,b1,ef,27,9c,13,92,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"hdf12"=hex:cf,51,ab,41,ab,38,5a,7a,7e,af,5e,b4,a4,cc,89,58,b4,59,03,3c,0e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,7b,7e,a1,aa,76,53,07,a4,ff,30,e0,db,9d,2c,3b,13,ad,..
"hdf12"=hex:20,e4,97,8c,23,3c,7c,48,d5,b0,ef,cf,a6,92,2e,ce,98,58,1f,19,3e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:56,73,3f,20,4a,74,f7,5b,fc,61,f4,f1,e7,b8,b1,b1,ef,27,9c,13,92,..
voici le rapport:

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"AppInit_DLLs"="C:\WINDOWS\system32\wbsys.dll"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Réponse 10 / 10

Narco!4 Messages postés 2385 Date d'inscription dimanche 25 janvier 2009 Statut Contributeur Dernière intervention 25 octobre 2012 467
2 août 2009 à 17:43

ok

démarre en mode sans echec avec prise en charge reseau
[*] Télécharge combofix (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
[*] Double clique combofix.exe et suis les instructions.
[*] Installe la console de récupération si proposé et continue.
[*] Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

mimi
2 août 2009 à 18:13

ca refait la meme chose quand j'installe il me trouver des erreurs,mon pc redemarre et la j'ai vu qu'il est pas ds
C:

Discussions similaires

Je pense être infecté !

pense être infecté

Je pense être infecté par un virus

Je dois être infecter par un virus ! PUP.Optional.StartPage

infecter par crossrider