PC ANTISPYWARE 2010 & TOTAL SECURITY 4.52 Fermé

Question

Bonjour, HELP !^
J'ai un  gros soucis avec 2 virus PC ANTISPYWARE 2010 et INTERNET TOTAL SECURITY? j'ai lu toutes vos précieuses aides sur les forum, mais je n'arrive pas à les supprimer ! j'ai l'impression que ca devient de pire en pire (connexxion de + en + lente.. bloquée, pop_up incecent !)
Et évidemment ma connaissance informatique est très limitée
> J'ai téléchargée CCleaner, Malwerbeates, j'ai tjrs avaast que je n'arrive plus à virer !

Voili voilou
Merci d'avance ! 
Gwen

plopus · Answer

salut


Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

Gwen · Answer

Coucou , merci ! 
Rapport LOG :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Gwen at 2009-08-30 13:00:07
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 33 GB (21%) free of 153 GB
Total RAM: 1014 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:00:09, on 30/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\mset.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Gwen\mset.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Gwen\mset.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Gwen\Bureau\RSIT(3).exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\Gwen.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Easy PDF Creator] C:\Program Files\Easy PDF Creator\EasyPDFCreator.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [mset] C:\WINDOWS\system32\mset.exe
O4 - HKLM\..\Run: [10550154] C:\Documents and Settings\All Users\Application Data\10550154\10550154.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32egedit.exe
O4 - HKLM\..\Run: [PC Antispyware 2010] "C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe" /hide
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWSeminder\fsc-reminder.exe 2453572 14
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_1
O4 - HKCU\..\Run: [mset] C:\Documents and Settings\Gwen\mset.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: ikowin32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: ikowin32.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ikowin32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://ssl-tb.sitadelle.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.5/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{69696122-75BB-4B20-8F0C-1300AAAF36A9}: NameServer = 84.103.237.148 86.64.145.148
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Program Files\RXToolBar\sfcont.dll
O20 - AppInit_DLLs: cru629.dat
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

plopus · Answer

bon

donc il est bien la avec tout ces amies...cet salete de rogue

as tu le CD de windows ? ou des recovery CD ?


clic droit sur le lien ci dessous choisit "enregistré la cible du lien sous"
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

choisit l'emplacement du BUREAU, RENOMME le fichier en ton prenom

puis desactive ton antivirus, lance combofix, suit les instruction il te demanderas d'INSTALLER LA CONSOLE de recuperation FAIT LE (trés important de l'installer, une fois installé debranche internet puis laisse poursuivre le scan et poste le rapport a al fin

Gwen · Answer

Oui j'ai mon CD RECOVERY Windows...

Je viens de télécharger COMBO
En revanche je ne paux pas suppr AVAAST.. et je crois qu'il est désactivé de toute manière..

je peux lancer COMBO ?

merci

plopus · Answer

oui va y, il va te dire qu'il est activé mais tu n'as pas le choix

Gwen · Answer

Voici mon LOG de COMBO...

ComboFix 09-08-29.01 - Gwen 30/08/2009 13:34.1.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1014.513 [GMT 2:00]
Running from: c:\documents and settings\Gwen\Bureau\GWEN.exe
AV: avast! antivirus 4.8.1229 [VPS 080723-1] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
The following files were disabled during the run:
c:\program files\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll


(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\10550154
c:\documents and settings\All Users\Application Data\10550154\10550154
c:\documents and settings\All Users\Application Data\10550154\10550154.exe
c:\documents and settings\All Users\Application Data\10550154\pc10550154ins
c:\documents and settings\All Users\Application Data\axucaheru.sys
c:\documents and settings\All Users\Application Data\byqozeniwa.reg
c:\documents and settings\All Users\Application Data\dadicag.ban
c:\documents and settings\All Users\Application Data\evidohove.pif
c:\documents and settings\All Users\Application Data\ifysowif.dl
c:\documents and settings\All Users\Application Data\igugu.dl
c:\documents and settings\All Users\Application Data\jiqevy.bat
c:\documents and settings\All Users\Application Data\loxysav.exe
c:\documents and settings\All Users\Application Data
ahe.scr
c:\documents and settings\All Users\Application Data\ofinatita.dll
c:\documents and settings\All Users\Application Data\osuzil.reg
c:\documents and settings\All Users\Application Data\yhatoruwik._dl
c:\documents and settings\All Users\Documents\bago.exe
c:\documents and settings\All Users\Documents\bepekuh.vbs
c:\documents and settings\All Users\Documents\cuqapu.bat
c:\documents and settings\All Users\Documents\dodemozizo.reg
c:\documents and settings\All Users\Documents\esetahu.sys
c:\documents and settings\All Users\Documents\genuxyh.reg
c:\documents and settings\All Users\Documents\hecinepu.dl
c:\documents and settings\All Users\Documents\ituqo.sys
c:\documents and settings\All Users\Documents\jiditecocu.inf
c:\documents and settings\All Users\Documents\uheryhohok.scr
c:\documents and settings\All Users\Documents\viruki.vbs
c:\documents and settings\Gwen\Application Data\agiciqub.sys
c:\documents and settings\Gwen\Application Data\apaxelunif.bat
c:\documents and settings\Gwen\Application Data\bofuny.exe
c:\documents and settings\Gwen\Application Data\exosodoli.dl
c:\documents and settings\Gwen\Application Data\fuhi._dl
c:\documents and settings\Gwen\Application Data\gukigovy.bin
c:\documents and settings\Gwen\Application Data\iqycavyk.dll
c:\documents and settings\Gwen\Application Data\lynotityme.com
c:\documents and settings\Gwen\Application Data\Microsoft\Internet Explorer\Quick Launch\PC_Antispyware2010.lnk
c:\documents and settings\Gwen\Application Data\oholawusu.dll
c:\documents and settings\Gwen\Application Data\qepuj.bat
c:\documents and settings\Gwen\Application Dataylovulero._sy
c:\documents and settings\Gwen\Application Data\utiqydehej.ban
c:\documents and settings\Gwen\Application Data\wiaserva.log
c:\documents and settings\Gwen\Application Data\wygu.sys
c:\documents and settings\Gwen\Application Data\ywutegi.pif
c:\documents and settings\Gwen\Cookies\aguqeryji.scr
c:\documents and settings\Gwen\Cookies\awyqikog.sys
c:\documents and settings\Gwen\Cookies\cato.pif
c:\documents and settings\Gwen\Cookies\cygyf.sys
c:\documents and settings\Gwen\Cookies\giredewyqi.exe
c:\documents and settings\Gwen\Cookies\hevuri.bin
c:\documents and settings\Gwen\Cookies\ijevozaq.dl
c:\documents and settings\Gwen\Cookies\johav.exe
c:\documents and settings\Gwen\Cookiesumubojazo.sys
c:\documents and settings\Gwen\Cookiesyhyhik.reg
c:\documents and settings\Gwen\Cookies	ymoz.exe
c:\documents and settings\Gwen\Cookies\vuwafuburi.exe
c:\documents and settings\Gwen\Cookies\ylizonumyh.dll
c:\documents and settings\Gwen\Cookies\ytypavawo.bin
c:\documents and settings\Gwen\Cookies\ziwi.inf
c:\documents and settings\Gwen\delself.bat
c:\documents and settings\Gwen\Local Settings\Application Data\fegemanoc.sys
c:\documents and settings\Gwen\Local Settings\Application Data\gegun.reg
c:\documents and settings\Gwen\Local Settings\Application Data\ifyl.reg
c:\documents and settings\Gwen\Local Settings\Application Data\uvuki.bat
c:\documents and settings\Gwen\Local Settings\Application Data\vurihyno.sys
c:\documents and settings\Gwen\Local Settings\Application Data\wymekimuny.reg
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files\hilo.exe
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
C:\G8K.EXE
c:\program files\Fichiers communs\ajysagiq.reg
c:\program files\Fichiers communs\akerilisoz._dl
c:\program files\Fichiers communs\apucy.reg
c:\program files\Fichiers communs\caqa.bat
c:\program files\Fichiers communs\ecyhozyw.com
c:\program files\Fichiers communs\jyjaf.sys
c:\program files\Fichiers communs\kofoc.ban
c:\program files\Fichiers communs\mamimup.inf
c:\program files\Fichiers communs\ominiga.bin
c:\program files\Fichiers communs	ywykefoli.dl
c:\program files\Fichiers communs\usynuwy.dl
c:\program files\Fichiers communs\vehevadufo.reg
c:\program files\INSTAFINK
c:\program files\PC_Antispyware2010
c:\program files\PC_Antispyware2010\AVEngn.dll
c:\program files\PC_Antispyware2010\data\daily.cvd
c:\program files\PC_Antispyware2010\htmlayout.dll
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcm80.dll
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcp80.dll
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcr80.dll
c:\program files\PC_Antispyware2010\PC_Antispyware2010.cfg
c:\program files\PC_Antispyware2010\PC_Antispyware2010.exe
c:\program files\PC_Antispyware2010\pthreadVC2.dll
c:\program files\PC_Antispyware2010\Uninstall.exe
c:\program files\PC_Antispyware2010\wscui.cpl
c:\program files\RXToolBar
c:\program files\RXToolBar\sfcont.bin
c:\program files\WinPCap
c:\program files\WinPCappcapd.exe
c:\windows\ajasis.dll
c:\windows\braviax.exe
c:\windows\cru629.dat
c:\windows\cynusixy._dl
c:\windows\daqakoxu.scr
c:\windows\disowur.scr
c:\windows\enaquluhup.exe
c:\windows\Fonts\Wendelin-Fett.ttf
c:\windows\Fonts\WendelinBreitfett.ttf
c:\windows\Fonts\WendelinNormal.ttf
c:\windows\Fonts\WendelinNormalKapitaelchen.ttf
c:\windows\Fonts\WendelinNormalKursiv.ttf
c:\windows\Installer\12e955d.msp
c:\windows\Installer\12e95a6.msp
c:\windows\iqupydyk.dl
c:\windows\isibowy.bin
c:\windows\ixuxuwib.bat
c:\windows\jiry.dl
c:\windows\jysune.ban
c:\windows\kyzon.bat
c:\windows
elyqup.dl
c:\windows\ocivu.bat
c:\windows\pevawifo.dll
c:\windowsufymaxin._dl
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\bazasop.scr
c:\windows\system32\bilysukedi.dll
c:\windows\system32\braviax.exe
c:\windows\system32\bylel.scr
c:\windows\system32\cru629.dat
c:\windows\system32\dllcache\beep.sys
c:\windows\system32\dllcache\figaro.sys
c:\windows\system32\drivers
pf.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\elehykuq.sys
c:\windows\system32\hysimi.pif
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\ijofahi.ban
c:\windows\system32\isytejun.dl
c:\windows\system32\o4Patch.exe
c:\windows\system32\Packet.dll
c:\windows\system32\Process.exe
c:\windows\system32\pthreadVC.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\ufoho.bat
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WanPacket.dll
c:\windows\system32\wisdstr.exe
c:\windows\system32\wpcap.dll
c:\windows\system32\WS2Fix.exe
c:\windows	umiremiga.dl
c:\windows\uwenifozi.bin
c:\windows\uzemyva.vbs
c:\windows\veqiq.sys
c:\windows\wuhakahi.vbs
c:\windows\zeqygyte.exe

Infected copy of c:\windows\system32\drivers\beep.sys was found and disinfected 
Restored copy from - c:\system volume information\_restore{7AFA028C-E8F6-455F-A5ED-7F0B3AC5359A}\RP829\A0072514.sys 

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_npf
-------\Service_npf


(((((((((((((((((((((((((   Files Created from 2009-07-28 to 2009-08-30  )))))))))))))))))))))))))))))))
.

2009-08-29 10:37 . 2009-08-29 10:37	11615	----a-w-	c:\windows\josik.com
2009-08-27 18:53 . 2009-08-27 18:53	17603	----a-w-	c:\program files\Fichiers communs\jikapy.dat
2009-08-27 18:53 . 2009-08-27 18:53	17314	----a-w-	c:\windows\eleqenuwi.dat
2009-08-26 21:29 . 2009-08-26 21:29	--------	d-----w-	C:\PC_Antispyware2010
2009-08-26 21:24 . 2009-08-30 10:25	94016	-c--a-w-	c:\windows\system32\dllcache\agp440.sys
2009-08-26 21:20 . 2009-08-26 21:20	--------	d-----w-	C:\sh4ldr
2009-08-26 21:19 . 2009-08-26 21:19	--------	d-----w-	c:\program files\Enigma Software Group
2009-08-26 20:47 . 2009-08-26 20:50	--------	d-----w-	C:\UsbFix
2009-08-26 20:39 . 2009-08-26 20:39	--------	d-----w-	C:\ToolBar SD
2009-08-26 20:26 . 2009-08-26 20:26	--------	d-----w-	c:\program files\CCleaner
2009-08-26 20:23 . 2009-08-26 20:23	--------	d-----w-	C:\Genproc
2009-08-26 20:13 . 2009-08-30 11:00	--------	d-----w-	c:\program files	rend micro
2009-08-26 20:13 . 2009-08-26 20:13	--------	d-----w-	C:sit
2009-08-26 20:09 . 2009-08-26 20:09	19471	----a-w-	c:\windows\system32\ducoxymi.dat
2009-08-25 21:59 . 2009-08-25 21:59	19475	----a-w-	c:\documents and settings\Gwen\Local Settings\Application Data\dyxelyxu.dat
2009-08-25 21:59 . 2009-08-25 21:59	15228	----a-w-	c:\windows\osuloze.com
2009-08-25 21:15 . 2009-08-25 21:15	12658	----a-w-	c:\windows\ivyvyvyh.dat
2009-08-25 20:40 . 2009-08-25 20:40	626336	-c--a-w-	c:\windows\system32\dllcache
tfs.sys
2009-08-25 20:40 . 2009-08-25 20:40	29507	----a-w-	c:\windows\system32\mset.exe
2009-08-25 20:40 . 2009-08-25 20:40	29507	----a-w-	c:\documents and settings\Gwen\mset.exe
2009-08-25 19:53 . 2009-08-26 19:47	113233	--sh--r-	C:\hx.exe
2009-08-22 15:59 . 2009-08-22 15:59	--------	d-----w-	c:\documents and settings\All Users\Application Data\Adobe Systems
2009-08-22 15:56 . 2009-08-22 15:56	--------	d-----w-	c:\program files\Fichiers communs\Adobe Systems Shared
2009-08-22 15:53 . 2004-08-17 00:40	16384	----a-w-	c:\windows\system32\FileOps.exe
2009-08-22 15:53 . 2009-08-22 15:53	--------	d-----w-	c:\windows\system32\Adobe
2009-08-12 16:46 . 2009-07-10 13:27	1315328	-c----w-	c:\windows\system32\dllcache\msoe.dll
2009-08-05 09:00 . 2009-08-05 09:00	205312	-c----w-	c:\windows\system32\dllcache\mswebdvd.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-30 10:25 . 2008-04-13 18:36	94016	----a-w-	c:\windows\system32\drivers\agp440.sys
2009-08-29 22:07 . 2005-09-16 14:51	--------	d-----w-	c:\program files\eMule
2009-08-29 10:37 . 2009-08-29 10:37	12805	----a-w-	c:\program files\Fichiers communs\kyxabuqebi._sy
2009-08-29 10:37 . 2009-08-29 10:37	12022	----a-w-	c:\program files\Fichiers communs\usutyjy.db
2009-08-26 21:09 . 2005-05-27 00:53	65362	----a-w-	c:\windows\system32\perfc00C.dat
2009-08-26 21:09 . 2005-05-27 00:53	449322	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-25 22:04 . 2007-06-29 12:56	--------	d-----w-	c:\program files\Visicom Media
2009-08-25 21:59 . 2009-08-25 21:59	11181	----a-w-	c:\documents and settings\Gwen\Application Data	ugu.dat
2009-08-25 21:15 . 2009-08-25 21:15	10770	----a-w-	c:\program files\Fichiers communs\mefacif.db
2009-08-25 20:40 . 2005-05-27 00:53	626336	----a-w-	c:\windows\system32\drivers
tfs.sys
2009-08-22 19:58 . 2005-06-06 18:58	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-08-05 09:00 . 2005-05-27 00:53	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2005-05-27 00:53	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2005-05-27 00:53	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-29 15:57 . 2005-05-27 00:53	827392	----a-w-	c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2005-05-27 00:53	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2005-05-27 00:53	17408	----a-w-	c:\windows\system32\corpol.dll
2009-06-16 14:40 . 2005-05-27 00:53	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2005-05-27 00:53	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-15 10:44 . 2005-05-27 00:53	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:14 . 2005-05-27 00:53	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2005-06-06 18:31	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2005-05-27 00:53	132096	----a-w-	c:\windows\system32\wkssvc.dll
2009-06-03 19:10 . 2005-05-27 00:53	1297408	----a-w-	c:\windows\system32\quartz.dll
.

------- Sigcheck -------

[-] 2007-02-09 11:23	574976	05AB81909514BFD69CBB1F2C147CF6B9	c:\windows\$hf_mig$\KB930916\SP2QFE
tfs.sys
[-] 2007-02-09 11:10	574464	19A811EF5F1ED5C926A028CE107FF1AF	c:\windows\$NtServicePackUninstall$
tfs.sys
[7] 2004-08-05 12:00	574592	B78BE402C3F63DD55521F73876951CDD	c:\windows\$NtUninstallKB930916$
tfs.sys
[7] 2004-08-05 12:00	574592	B78BE402C3F63DD55521F73876951CDD	c:\windows\I386\NTFS.SYS
[7] 2008-04-13 19:15	574976	78A08DD6A8D65E697C18E1DB01C5CDCA	c:\windows\ServicePackFiles\i386
tfs.sys
[-] 2009-08-25 20:40	626336	48B9B606133A0444E29E7D445A90AAFC	c:\windows\system32\dllcache
tfs.sys
[-] 2009-08-25 20:40	626336	48B9B606133A0444E29E7D445A90AAFC	c:\windows\system32\drivers
tfs.sys
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reminder.exe"="c:\windowseminder\fsc-reminder.exe" [2005-01-19 28672]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]
"mset"="c:\documents and settings\Gwen\mset.exe" [2009-08-25 29507]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-11-19 282624]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-21 136600]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"mset"="c:\windows\system32\mset.exe" [2009-08-25 29507]
"SpyHunter Security Suite"="c:\program files\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2009-04-02 868352]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2005-04-21 14291456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Gwen\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]
ikowin32.exe [2008-4-14 23040]

c:\documents and settings\Gwen\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]
ikowin32.exe [2008-4-14 23040]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acrobat Assistant.lnk - c:\program files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe [2008-1-9 43520]
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2005-9-7 962663]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2007-4-30 394856]

c:\documents and settings\Gwen\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]
ikowin32.exe [2008-4-14 23040]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [18/02/2009 20:28 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/02/2009 20:28 20560]

--- Other Services/Drivers In Memory ---

*Deregistered* - mchInjDrv
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Yahoo! Pager - c:\program files\Yahoo!\Messenger\ypager.exe
HKLM-Run-Easy PDF Creator - c:\program files\Easy PDF Creator\EasyPDFCreator.exe
HKLM-Run-10550154 - c:\documents and settings\All Users\Application Data\10550154\10550154.exe
HKLM-Run-PC Antispyware 2010 - c:\program files\PC_Antispyware2010\PC_Antispyware2010.exe
HKLM-Run-adiras - adiras.exe


.
------- Supplementary Scan -------
.
uStart Page = www.google.com
mStart Page = hxxp://www.google.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} - hxxps://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
FF - ProfilePath - c:\documents and settings\Gwen\Application Data\Mozilla\Firefox\Profiles\axuhr9g8.default\
FF - prefs.js: browser.startup.homepage - hxxp://msn.fr/
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-30 14:01
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(536)
c:\program files\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

- - - - - - - > 'lsass.exe'(592)
c:\program files\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

- - - - - - - > 'explorer.exe'(4412)
c:\program files\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-08-30 14:07 - machine was rebooted
ComboFix-quarantined-files.txt  2009-08-30 12:07

Pre-Run: 34 291 482 624 octets libres
Post-Run: 34 304 716 800 octets libres

355	--- E O F ---	2009-08-29 21:36

plopus · Answer

poste un nouveau RSIT

Par contre je t'avais dit d'installer la console sur combofix tu ne l'as pas fait.......

plopus · Answer

salut

Gwen tu te crois gueri c'est pour sa que tu repond + ?

sache que des fichiers systeme windows sont patché (infecté) donc tout va revenir comme avant d'ici quelques redemarrage...

deja la ce que l'on a fait précédemment ne sert + a rien...

Gwen · Answer

Salut, excuz moi.. j'ai eu des problèmes de conexions...

Je n'ai pas installé le COMBO ?  je ne comprend pas.. je suis vraiment nulle en informatique ! 
Que dois je faire... ?

Merci d'avance !
Gwen

plopus · Answer

laisse tomber sa

reposte un RSIT, tu dois l'avoir sur ton bureau

sa correspond a sa

https://forums.commentcamarche.net/forum/affich-14153647-pc-antispyware-2010-total-security-4-52#1

as tu le CD de windows ? (recoverycd)

plopus · Answer

c:\windows\josik.com     
c:\program files\Fichiers communs\jikapy.dat     
c:\windows\eleqenuwi.dat     
C:\PC_Antispyware2010 
C:\sh4ldr     
c:\windows\system32\ducoxymi.dat     
c:\documents and settings\Gwen\Local Settings\Application Data\dyxelyxu.dat     
c:\windows\osuloze.com     
c:\windows\ivyvyvyh.dat   
c:\windows\system32\mset.exe 
c:\documents and settings\Gwen\mset.exe 
C:\hx.exe   
c:\program files\Fichiers communs\kyxabuqebi._sy     
c:\program files\Fichiers communs\usutyjy.db     
c:\documents and settings\Gwen\Application Data	ugu.dat     
c:\program files\Fichiers communs\mefacif.db 



NE TIENS PAS COMPTE DE CE QUI A AU DESSUS

affiche les dossier caché a l'aide de ce lien : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

clic ici https://www.virustotal.com/gui/ clic sur parcourir en milieu de page et va cherche les fichier ci dessous 1 par un dans la nouvelle fenetre, tu clic sur ouvrir et ensuite dans la page internet tu clic sur analyser.

un rapport va s'etablir, tu copie colle TOUTES la page internet + l'url de la page internet (qui ce trouve en haut de ton navigateur)

c:\windows\sys­tem32\drivers
tfs.sys         
c:\windows\system32\dllcache\msoe.dll­     
c:\windows\system32\dllcache\mswebdvd.­dll     


tu devras donc poster 3 rapports poste les 1/ reponse

Gwen · Answer

Salut, merci. (oui j'ai mon cd windows)
Je viens de retélécharger un RSIT et voici le LOG : 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Gwen at 2009-09-01 22:00:21
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 33 GB (21%) free of 153 GB
Total RAM: 1014 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:25, on 01/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\mset.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\Temp\_ex-08.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\All Users\Application Data\15593124\15593124.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Gwen\mset.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Gwen\Local Settings\Temporary Internet Files\Content.IE5\0N7J3IJ2\RSIT[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\Gwen.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [mset] C:\WINDOWS\system32\mset.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKLM\..\Run: [15593124] C:\Documents and Settings\All Users\Application Data\15593124\15593124.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32egedit.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWSeminder\fsc-reminder.exe 2453572 14
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_1
O4 - HKCU\..\Run: [mset] C:\Documents and Settings\Gwen\mset.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [braviax] tþ
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [braviax]  (User 'Default user')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: ikowin32.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ikowin32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://ssl-tb.sitadelle.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.5/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{69696122-75BB-4B20-8F0C-1300AAAF36A9}: NameServer = 86.64.145.141 84.103.237.141
O20 - AppInit_DLLs: cru629.dat
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

Gwen · Answer

Donc voici mon LOG..

Logfile of random's system information tool 1.06 (written by random/random)
Run by Gwen at 2009-09-01 22:00:21
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 33 GB (21%) free of 153 GB
Total RAM: 1014 MB (43% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:25, on 01/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\mset.exe
C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\Temp\_ex-08.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\All Users\Application Data\15593124\15593124.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Documents and Settings\Gwen\mset.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Gwen\Local Settings\Temporary Internet Files\Content.IE5\0N7J3IJ2\RSIT[1].exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\Gwen.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: VMN Toolbar - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [mset] C:\WINDOWS\system32\mset.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKLM\..\Run: [15593124] C:\Documents and Settings\All Users\Application Data\15593124\15593124.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32egedit.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKCU\..\Run: [fsc-reminder.exe] C:\WINDOWSeminder\fsc-reminder.exe 2453572 14
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_1
O4 - HKCU\..\Run: [mset] C:\Documents and Settings\Gwen\mset.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [braviax] tþ
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [braviax]  (User 'Default user')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: ikowin32.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ikowin32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://ssl-tb.sitadelle.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.5/Installer.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{69696122-75BB-4B20-8F0C-1300AAAF36A9}: NameServer = 86.64.145.141 84.103.237.141
O20 - AppInit_DLLs: cru629.dat
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\

plopus · Answer

peut tu faire sa :

https://forums.commentcamarche.net/forum/affich-14153647-pc-antispyware-2010-total-security-4-52#11

Gwen · Answer

RE
je ne trouve pas le fichier DLLCACHE quand je fais parcourir sur logiciel.. en revanche je le trouve kan je ne fait pas parcourir..

Voici le premier rapport : 
RAPPORT 01 : 
http://www.virustotal.com/fr/reanalisis.html?bdb036eb96bf6a871e3a3920bc18b3383328544b00f9a0172567f39177c0909c-1251838070
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.24 	2009.08.25 	Virus.Win32.Protector!IK
AhnLab-V3 	5.0.0.2 	2009.08.25 	-
AntiVir 	7.9.1.3 	2009.08.25 	-
Antiy-AVL 	2.0.3.7 	2009.08.24 	-
Authentium 	5.1.2.4 	2009.08.25 	-
Avast 	4.8.1335.0 	2009.08.25 	Win32:Cutwail-Y
AVG 	8.5.0.406 	2009.08.25 	-
BitDefender 	7.2 	2009.08.25 	Rootkit.Kobcka.Patched.Gen
CAT-QuickHeal 	10.00 	2009.08.25 	W32.Protector.C
ClamAV 	0.94.1 	2009.08.25 	-
Comodo 	2090 	2009.08.25 	-
DrWeb 	5.0.0.12182 	2009.08.25 	BackDoor.Bulknet.404
eSafe 	7.0.17.0 	2009.08.25 	-
eTrust-Vet 	31.6.6699 	2009.08.25 	-
F-Prot 	4.4.4.56 	2009.08.24 	-
F-Secure 	8.0.14470.0 	2009.08.25 	Virus.Win32.Protector.c
Fortinet 	3.120.0.0 	2009.08.25 	-
GData 	19 	2009.08.25 	Rootkit.Kobcka.Patched.Gen
Ikarus 	T3.1.1.68.0 	2009.08.25 	Virus.Win32.Protector
Jiangmin 	11.0.800 	2009.08.25 	-
K7AntiVirus 	7.10.827 	2009.08.25 	-
Kaspersky 	7.0.0.125 	2009.08.25 	Virus.Win32.Protector.c
McAfee 	5720 	2009.08.25 	Cutwail.gen.e
McAfee+Artemis 	5720 	2009.08.25 	Cutwail.gen.e
McAfee-GW-Edition 	6.8.5 	2009.08.25 	Heuristic.LooksLike.Rootkit.HareBot.J
Microsoft 	1.4903 	2009.08.25 	Virus:Win32/Cutwail.G
NOD32 	4367 	2009.08.25 	a variant of Win32/Kryptik.ABX
Norman 		2009.08.25 	-
nProtect 	2009.1.8.0 	2009.08.25 	-
Panda 	10.0.2.2 	2009.08.25 	-
PCTools 	4.4.2.0 	2009.08.25 	-
Prevx 	3.0 	2009.08.25 	-
Rising 	21.44.11.00 	2009.08.25 	-
Sophos 	4.44.0 	2009.08.25 	Troj/NTFSKit-B
Sunbelt 	3.2.1858.2 	2009.08.25 	-
Symantec 	1.4.4.12 	2009.08.25 	-
TheHacker 	6.3.4.3.387 	2009.08.25 	-
TrendMicro 	8.950.0.1094 	2009.08.25 	-
VBA32 	3.12.10.10 	2009.08.25 	-
ViRobot 	2009.8.25.1901 	2009.08.25 	-
VirusBuster 	4.6.5.0 	2009.08.25 	-
Information additionnelle
File size: 626336 bytes
MD5   : 48b9b606133a0444e29e7d445a90aafc
SHA1  : ec2c7d33769845417241d43c9386ab5c77d0aac5
SHA256: bdb036eb96bf6a871e3a3920bc18b3383328544b00f9a0172567f39177c0909c
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xDBA
timedatestamp.....: 0x4A8D3A9E (Thu Aug 20 13:59:26 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x220 0xC38 0xC40 5.84 8999326cce56b209f76c55b8fa359e05
.data 0xE60 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533
.reloc 0xE80 0x98020 0x98020 6.64 8c4d0d41e507b8067577a403a7942831

( 0 imports )


( 0 exports )
TrID  : File type identification
Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 12288:quh1xqxz58/mV1OeoHli/Hk08Q3UlyGNdRWJ5K9QZ4eRA89UEPpDSQCX+7COPNTG:RPlivk08Q3UlvNdR2Hy8KEBDSQ7COPNT
PEiD  : -
RDS   : NSRL Reference Data Set
-

plopus · Answer

re

ce que tu fait c'est que tu copie colle la ligne dans la fenetre de recherche et clic sur ouvrir et sur analyser

Gwen · Answer

Salut (encore eu des problèmes de conexions.. c de pire en pire..)
Alors que dois je faire ? je ne trouve pas les 2 derniers fichiers que t m'as demané d'analyser..

Merci, dslé de cette perte de temps ! 
à +

plopus · Answer

C'EST NORMAL SA VA ALLER DE PIRE EN PIRE

tu es dispo aujourd'hui ?

car si on commence faut + s'arreter et ne + redemarré le PC sinon a chaque fois sa sert a rien

plopus · Answer

fait ceci deja :

telecharge  WINREMPLACE

http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace
Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

Le programme se lance et vérifie votre version de Windows.
Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..
copie colle les 3 lignes ci dessous :




ntfs.sys
c:\windows\sys­tem32\drivers
tfs.sys 
c:\windows\system32\dllcache
tfs.sys





Fermez le bloc-note et enregistrez les changements.

Le service pack correspondant à votre système va être alors téléchargé.
Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

Confirmez la restauration du fichier en appuyant sur la touche o et Entrée

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche o puis Entrée.
Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.



aprés cela tu refait analyser sur virus total ce fichier (comme tu as deja fait)
c:\windows\sys­tem32\drivers
tfs.sys 

et poste le rapport

si sa marche pas je te poste la procedure final, avec le fichier en telechargement direct et la suppression des nuisible, tiens le coup et essaye de faire vite avant qu'il ne soit trop tard...

Gwen · Answer

Re, 

J'ai téléchargé le dernier logiciel, attendu les 100% effetué, tapé O+E, ca à quitter, j'ai donc redemarrer mais rien à changer...

je te poste le rapport de Total Virus, mais il me semble ke je te l'avai posté..

http://www.virustotal.com/fr/analisis/bdb036eb96bf6a871e3a3920bc18b3383328544b00f9a0172567f39177c0909c-1251226048

a-squared 4.5.0.24 2009.08.25 Virus.Win32.Protector!IK 
AhnLab-V3 5.0.0.2 2009.08.25 - 
AntiVir 7.9.1.3 2009.08.25 - 
Antiy-AVL 2.0.3.7 2009.08.24 - 
Authentium 5.1.2.4 2009.08.25 - 
Avast 4.8.1335.0 2009.08.25 Win32:Cutwail-Y 
AVG 8.5.0.406 2009.08.25 - 
BitDefender 7.2 2009.08.25 Rootkit.Kobcka.Patched.Gen 
CAT-QuickHeal 10.00 2009.08.25 W32.Protector.C 
ClamAV 0.94.1 2009.08.25 - 
Comodo 2090 2009.08.25 - 
DrWeb 5.0.0.12182 2009.08.25 BackDoor.Bulknet.404 
eSafe 7.0.17.0 2009.08.25 - 
eTrust-Vet 31.6.6699 2009.08.25 - 
F-Prot 4.4.4.56 2009.08.24 - 
F-Secure 8.0.14470.0 2009.08.25 Virus.Win32.Protector.c 
Fortinet 3.120.0.0 2009.08.25 - 
GData 19 2009.08.25 Rootkit.Kobcka.Patched.Gen 
Ikarus T3.1.1.68.0 2009.08.25 Virus.Win32.Protector 
Jiangmin 11.0.800 2009.08.25 - 
K7AntiVirus 7.10.827 2009.08.25 - 
Kaspersky 7.0.0.125 2009.08.25 Virus.Win32.Protector.c 
McAfee 5720 2009.08.25 Cutwail.gen.e 
McAfee+Artemis 5720 2009.08.25 Cutwail.gen.e 
McAfee-GW-Edition 6.8.5 2009.08.25 Heuristic.LooksLike.Rootkit.HareBot.J 
Microsoft 1.4903 2009.08.25 Virus:Win32/Cutwail.G 
NOD32 4367 2009.08.25 a variant of Win32/Kryptik.ABX 
Norman  2009.08.25 - 
nProtect 2009.1.8.0 2009.08.25 - 
Panda 10.0.2.2 2009.08.25 - 
PCTools 4.4.2.0 2009.08.25 - 
Prevx 3.0 2009.08.25 - 
Rising 21.44.11.00 2009.08.25 - 
Sophos 4.44.0 2009.08.25 Troj/NTFSKit-B 
Sunbelt 3.2.1858.2 2009.08.25 - 
Symantec 1.4.4.12 2009.08.25 - 
TheHacker 6.3.4.3.387 2009.08.25 - 
TrendMicro 8.950.0.1094 2009.08.25 - 
VBA32 3.12.10.10 2009.08.25 - 
ViRobot 2009.8.25.1901 2009.08.25 - 
VirusBuster 4.6.5.0 2009.08.25 - 
Information additionnelle 
File size: 626336 bytes 
MD5   : 48b9b606133a0444e29e7d445a90aafc 
SHA1  : ec2c7d33769845417241d43c9386ab5c77d0aac5 
SHA256: bdb036eb96bf6a871e3a3920bc18b3383328544b00f9a0172567f39177c0909c 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xDBA
timedatestamp.....: 0x4A8D3A9E (Thu Aug 20 13:59:26 2009)
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x220 0xC38 0xC40 5.84 8999326cce56b209f76c55b8fa359e05
.data 0xE60 0x19 0x20 2.17 09023b0586a11b5dd790a88206791533
.reloc 0xE80 0x98020 0x98020 6.64 8c4d0d41e507b8067577a403a7942831

( 0 imports )


( 0 exports )
 
TrID  : File type identification
Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
ssdeep: 12288:quh1xqxz58/mV1OeoHli/Hk08Q3UlyGNdRWJ5K9QZ4eRA89UEPpDSQCX+7COPNTG:RPlivk08Q3UlvNdR2Hy8KEBDSQ7COPNT 
PEiD  : - 
RDS   : NSRL Reference Data Set

plopus · Answer

bon ok sa à pas marcher

SUIT LA PROCEDURE EN INTEGRALITE ET CEUX D'UN SEUL COUP SANS ARRETER TON PC

desactive ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information

tu la laisse desactiver le temps de la desinfection 

etape 1 :

clic ici  http://www.cijoint.fr/cj200909/cijCPU2ee1.zip

et telecharge le fichier .zip

tu l'ouvre et tu clic droit sur le fichier NTFS et choisit copier

ensuite rends toi ici dans ton poste de travail  c:\windows\sys­tem32\drivers
tfs.sys 

une fois ici tu supprime le fichier NTFS present et ensuite TOUJOUS dans le meme dossier tu clic droit et tu choisit coller cela va mettre le fichier sain NTFS

ensuite 

etape 2 :

Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

* Rends toi sur cette page > http://www.cijoint.fr/cj200909/cijEDbfF5h.txt

* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )


Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

comme sur l'image  http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

etape 3 :

utilise CCleaner : https://www.malekal.com/tutoriel-ccleaner/

va dans option/avancé et decoche la 1er ligne et nettoie plusieurs fois dans les onglet registre et nettoyeur jusqu' a trouver 0erreurs

etape 4 :

    *  Télécharge Malwarebytes
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

puis repasse un coup de CCleaner

et poste un nouveau RSIT


LIT BIEN TOUT AVANT DE TE LANCER ET POSE TES QUESTIONS AVANT SI TU EN AS

Gwen · Answer

Coucou ! 
Ayé je crois être débarrassée de tous mes friends virus !! j'espère...
Bon je te poste mes derniers LOG et rapport..

Et maintenant je peux désinstaller AVAASt et le retélécharger ? 

Merci Beaucoup Poplus !!!

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 800

18:34:33 03/09/2009
mbam-log-9-3-2009 (18-34-33).txt

Type de recherche: Examen complet (C:\|D:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Eléments examinés: 137948
Temps écoulé: 32 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

plopus · Answer

tu as fait combofix ??

poste moi absolument le rapport, il peut etre dans C:\combofix.txt


et refait analyser ce fichier cii dessous :   https://www.virustotal.com/gui/

c:\windows\sys­tem32\drivers
tfs.sys

Fait sa le + vite possible si il reste des traces faut pas attendre


malwarebyte n'est pas a jour du tout !!!!

relance le va dans onglet mise a jour et clic sur rechercher et patiente le temps que la mise ce fasse et relance un scan complet APRES avoir fait la mise a jour

Gwen · Answer

Oui j'ai suivi tes étapes : 
Voici le rapport : 
(PS j'ai désinstaller Avaast puis les réinstaller..)*

ComboFix 09-08-29.01 - Gwen 03/09/2009 17:45.2.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1014.618 [GMT 2:00]
Running from: c:\documents and settings\Gwen\Bureau\GWEN.exe
Command switches used :: c:\documents and settings\Gwen\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1229 [VPS 080723-1] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\documents and settings\All Users\Application Data\15593124"
"c:\documents and settings\All Users\Application Data\15593124\15593124.exe"
"c:\documents and settings\Gwen\Application Data	ugu.dat"
"c:\documents and settings\Gwen\Local Settings\Application Data\dyxelyxu.dat"
"c:\documents and settings\Gwen\Menu Démarrer\Programmes\Démarrage\ikowin32.exe"
"c:\documents and settings\Gwen\mset.exe"
"C:\hx.exe"
"C:\PC_Antispyware2010"
"c:\program files\Fichiers communs\jikapy.dat"
"c:\program files\Fichiers communs\kyxabuqebi._sy"
"c:\program files\Fichiers communs\mefacif.db"
"c:\program files\Fichiers communs\usutyjy.db"
"c:\program files\PC_Antispyware2010"
"C:\sh4ldr"
"c:\windows\braviax.exe"
"c:\windows\eleqenuwi.dat"
"c:\windows\ivyvyvyh.dat"
"c:\windows\josik.com"
"c:\windows\osuloze.com"
"c:\windows\system32\braviax.exe"
"c:\windows\system32\dllcache\msoe.dll"
"c:\windows\system32\dllcache\mswebdvd.dll"
"c:\windows\system32\dllcache
tfs.sys"
"c:\windows\system32\ducoxymi.dat"
"c:\windows\system32\mset.exe"
"c:\windows\system32	mp.txt"
"c:\windows\system32\wisdstr.exe"
"c:\windows\Temp\_ex-08.exe"
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\15593124
c:\documents and settings\All Users\Application Data\15593124\15593124
c:\documents and settings\All Users\Application Data\15593124\15593124.exe
c:\documents and settings\All Users\Application Data\15593124\pc15593124ins
c:\documents and settings\All Users\Application Data\atidedy.pif
c:\documents and settings\All Users\Application Data\cecipycuky.exe
c:\documents and settings\All Users\Application Data\celikaxy.inf
c:\documents and settings\All Users\Application Data\gytak.bat
c:\documents and settings\All Users\Application Data\lypekypu.ban
c:\documents and settings\All Users\Application Data
obabelara.inf
c:\documents and settings\All Users\Application Data\ogynofo.dl
c:\documents and settings\All Users\Application Data\sunyje.inf
c:\documents and settings\All Users\Application Data\wixohino.ban
c:\documents and settings\All Users\Application Data\yzukapis.lib
c:\documents and settings\All Users\Application Data\yzuxigep.bat
c:\documents and settings\All Users\Documents\abisaxic.bin
c:\documents and settings\All Users\Documents\asavyzudyr.bat
c:\documents and settings\All Users\Documents\icaquwowu._dl
c:\documents and settings\All Users\Documents\qofu.dll
c:\documents and settings\All Users\Documents\useg.dll
c:\documents and settings\Gwen\Application Data\abywohyqu.com
c:\documents and settings\Gwen\Application Data\elivo.vbs
c:\documents and settings\Gwen\Application Data\ipys.bin
c:\documents and settings\Gwen\Application Data\iwevy.bat
c:\documents and settings\Gwen\Application Data
ohytynale._sy
c:\documents and settings\Gwen\Application Datausacuwuse.bat
c:\documents and settings\Gwen\Application Data	ahivinu.lib
c:\documents and settings\Gwen\Application Data	ugu.dat
c:\documents and settings\Gwen\Application Data	yto.reg
c:\documents and settings\Gwen\Application Data\uhipixur.lib
c:\documents and settings\Gwen\Application Data\wiaserva.log
c:\documents and settings\Gwen\Application Data\xozisive.exe
c:\documents and settings\Gwen\Application Data\yxixot.vbs
c:\documents and settings\Gwen\Cookies\bakekysosa.sys
c:\documents and settings\Gwen\Cookies\esawefaf._dl
c:\documents and settings\Gwen\Cookies\fasuhol.reg
c:\documents and settings\Gwen\Cookies\okygoji.sys
c:\documents and settings\Gwen\Cookies\zoqig.vbs
c:\documents and settings\Gwen\Local Settings\Application Data\botisad.reg
c:\documents and settings\Gwen\Local Settings\Application Data\dyxelyxu.dat
c:\documents and settings\Gwen\Local Settings\Application Data\oman.dl
c:\documents and settings\Gwen\Local Settings\Application Data\ucit.exe
c:\documents and settings\Gwen\Local Settings\Application Data\usuzadequn.exe
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files\biqelad.bin
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files\byhybige.pif
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files\fepelo._dl
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files\kukaxyraw.bin
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files
ocacoru.inf
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files
ofetijuxi.com
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files
yxibo.bat
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files\visal.dll
c:\documents and settings\Gwen\Local Settings\Temporary Internet Files\xalareromu.reg
c:\documents and settings\Gwen\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
c:\documents and settings\Gwen\mset.exe
c:\documents and settings\Gwen\oashdihasidhasuidhiasdhiashdiuasdhasd
C:\hx.exe
c:\program files\Fichiers communs\anicuzo.sys
c:\program files\Fichiers communs\cotoxajubo.pif
c:\program files\Fichiers communs\dugyfa.scr
c:\program files\Fichiers communs\ewydi.dll
c:\program files\Fichiers communs\gyhawilu._dl
c:\program files\Fichiers communs\jikapy.dat
c:\program files\Fichiers communs\kyxabuqebi._sy
c:\program files\Fichiers communs\mefacif.db
c:\program files\Fichiers communs\upidigiz.scr
c:\program files\Fichiers communs\usutyjy.db
c:\windows\bihic.scr
c:\windows\braviax.exe
c:\windows\cru629.dat
c:\windows\eleqenuwi.dat
c:\windows\ewaf.sys
c:\windows\ivyvyvyh.dat
c:\windows\josik.com
c:\windows\osuloze.com
c:\windows\system32\_scui.cpl
c:\windows\system32\braviax.exe
c:\windows\system32\cru629.dat
c:\windows\system32\dllcache\beep.sys
c:\windows\system32\dllcache\msoe.dll
c:\windows\system32\dllcache\mswebdvd.dll
c:\windows\system32\dllcache
tfs.sys
c:\windows\system32\ducoxymi.dat
c:\windows\system32\hasan.bin
c:\windows\system32\lepuh._dl
c:\windows\system32\mset.exe
c:\windows\system32\orykyj.dl
c:\windows\system32	mp.txt
c:\windows\system32\ucysylahac.sys
c:\windows\system32\usotowixa.bat
c:\windows\system32\wisdstr.exe
c:\windows\ujuj.ban
c:\windows\ytirypi.inf

Infected copy of c:\windows\system32\drivers\beep.sys was found and disinfected 
Restored copy from - c:\windows\system32\dllcache\cache\beep.sys 

.
(((((((((((((((((((((((((   Files Created from 2009-08-03 to 2009-09-03  )))))))))))))))))))))))))))))))
.

2009-09-03 13:06 . 2009-09-03 13:06	16222	----a-w-	c:\documents and settings\Gwen\Local Settings\Application Data	oheryqud.dat
2009-09-03 12:56 . 2009-09-03 12:56	--------	d-----w-	C:\FR-files
2009-09-03 12:28 . 2009-09-03 12:57	--------	d-----w-	C:\WinFileReplace
2009-09-03 07:52 . 2009-09-03 07:52	18664	----a-w-	c:\documents and settings\Gwen\Local Settings\Application Data	ytovysy.dat
2009-09-03 07:52 . 2009-09-03 07:52	15362	----a-w-	c:\documents and settings\Gwen\Local Settings\Application Data\dugyku.dat
2009-09-01 20:02 . 2009-09-01 20:02	14453	----a-w-	c:\windows\fonajam.dat
2009-08-30 12:40 . 2009-09-03 15:52	83968	----a-w-	c:\windows\system32\drivers\47a7f68a.sys
2009-08-26 21:29 . 2009-08-26 21:29	--------	d-----w-	C:\PC_Antispyware2010
2009-08-26 21:24 . 2009-09-03 13:01	94272	-c--a-w-	c:\windows\system32\dllcache\agp440.sys
2009-08-26 21:19 . 2009-08-26 21:19	--------	d-----w-	c:\program files\Enigma Software Group
2009-08-26 20:47 . 2009-08-26 20:50	--------	d-----w-	C:\UsbFix
2009-08-26 20:39 . 2009-08-26 20:39	--------	d-----w-	C:\ToolBar SD
2009-08-26 20:26 . 2009-08-26 20:26	--------	d-----w-	c:\program files\CCleaner
2009-08-26 20:23 . 2009-08-26 20:23	--------	d-----w-	C:\Genproc
2009-08-26 20:13 . 2009-09-01 20:00	--------	d-----w-	c:\program files	rend micro
2009-08-26 20:13 . 2009-08-26 20:13	--------	d-----w-	C:sit
2009-08-22 15:59 . 2009-08-22 15:59	--------	d-----w-	c:\documents and settings\All Users\Application Data\Adobe Systems
2009-08-22 15:56 . 2009-08-22 15:56	--------	d-----w-	c:\program files\Fichiers communs\Adobe Systems Shared
2009-08-22 15:53 . 2004-08-17 00:40	16384	----a-w-	c:\windows\system32\FileOps.exe
2009-08-22 15:53 . 2009-08-22 15:53	--------	d-----w-	c:\windows\system32\Adobe

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-03 13:06 . 2009-09-03 13:06	11805	----a-w-	c:\program files\Fichiers communs\azimy._sy
2009-09-03 13:01 . 2008-04-13 18:36	94272	----a-w-	c:\windows\system32\drivers\agp440.sys
2009-09-03 10:19 . 2005-09-16 14:51	--------	d-----w-	c:\program files\eMule
2009-09-03 07:52 . 2009-09-03 07:52	16064	----a-w-	c:\documents and settings\All Users\Application Data\wohar.dat
2009-09-03 07:52 . 2009-09-03 07:52	10224	----a-w-	c:\program files\Fichiers communs\odagy.db
2009-08-26 21:09 . 2005-05-27 00:53	65362	----a-w-	c:\windows\system32\perfc00C.dat
2009-08-26 21:09 . 2005-05-27 00:53	449322	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-25 22:04 . 2007-06-29 12:56	--------	d-----w-	c:\program files\Visicom Media
2009-08-22 19:58 . 2005-06-06 18:58	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-08-05 09:00 . 2005-05-27 00:53	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2005-05-27 00:53	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2005-05-27 00:53	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-29 15:57 . 2005-05-27 00:53	827392	------w-	c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2005-05-27 00:53	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2005-05-27 00:53	17408	----a-w-	c:\windows\system32\corpol.dll
2009-06-16 14:40 . 2005-05-27 00:53	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2005-05-27 00:53	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-15 10:44 . 2005-05-27 00:53	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:14 . 2005-05-27 00:53	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2005-06-06 18:31	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2005-05-27 00:53	132096	----a-w-	c:\windows\system32\wkssvc.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-08-30_12.01.44   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-09-03 15:51 . 2009-09-03 15:51	16384              c:\windows	emp\Perflib_Perfdata_374.dat
+ 2005-05-27 00:53 . 2008-04-13 19:15	574976              c:\windows\system32\drivers
tfs.sys
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"fsc-reminder.exe"="c:\windowseminder\fsc-reminder.exe" [2005-01-19 28672]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2004-11-22 307200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-05 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-05 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-05 114688]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-11-19 282624]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-21 136600]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"PC Antispyware 2010"="c:\program files\PC_Antispyware2010\PC_Antispyware2010.exe" [BU]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2005-04-21 14291456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Gwen\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]

c:\documents and settings\Gwen\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]

c:\documents and settings\Gwen\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acrobat Assistant.lnk - c:\program files\Adobe\Acrobat 4.0\Distillr\AcroTray.exe [2008-1-9 43520]
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2005-9-7 962663]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2007-4-30 394856]

c:\documents and settings\Gwen\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-8-10 110592]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53:UDP"= 53:UDP:Promo

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [18/02/2009 20:28 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/02/2009 20:28 20560]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} - hxxps://ssl-tb.sitadelle.com/selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
FF - ProfilePath - c:\documents and settings\Gwen\Application Data\Mozilla\Firefox\Profiles\axuhr9g8.default\
FF - prefs.js: browser.startup.homepage - hxxp://msn.fr/
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-03 17:51
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\47a7f68a]
"ImagePath"="\SystemRoot\System32\drivers\47a7f68a.sys"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(1204)
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-09-03 17:55 - machine was rebooted
ComboFix-quarantined-files.txt  2009-09-03 15:55
ComboFix2.txt  2009-08-30 12:08

Pre-Run: 33 865 187 328 octets libres
Post-Run: 33 825 832 960 octets libres

290	--- E O F ---	2009-08-29 21:36

plopus · Answer

as petard, faut faire vite, tu as trop attendu et le virus a infecté un autre fichier systeme !!!

clic ici http://www.cijoint.fr/cj200909/cijCiFlDFV.zip
et recupere le fichier beep a l'interieur de l'archive copie le et va ici :

c:\windows\system32\drivers\beep.sys 

tu supprime le fichier beep present et tu colle celui que tu as recuperer

puis

refait un CFSript et tu copie colle sa dedans et tu le fais glisser sur combofix :


kill all::

file::
c:\documents and settings\Gwen\Local Settings\Application Data	oheryqud.dat     
c:\documents and settings\Gwen\Local Settings\Application Data	ytovysy.dat     
c:\documents and settings\Gwen\Local Settings\Application Data\dugyku.dat     
c:\windows\fonajam.dat   
C:\PC_Antispyware2010 
c:\program files\Fichiers communs\azimy._sy     
c:\documents and settings\All Users\Application Data\wohar.dat     
c:\program files\Fichiers communs\odagy.db     
c:\windows\system32\dllcache\cache\beep.sys

registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"PC Antispyware 2010"=-


et après tu fais une mise a jour avec malwarebyte et lance un scan complet

FAIT ceci le + vite possible sinon on va jamais s'en sortir

plopus · Answer

allez GWEN, allez GWEN allez GWEN ,allez GWEN, allez GWEN, allez GWEN

Gwen · Answer

Oups, je n'avais pas vu ton mail précédent ..? OH non ya encore des problèmes ??
Je viens de suppr le BEEP et remplacer par un NFTS (celui de la valise zippée)
Et maintenant que dois je faire ? la même opération qui m'as tout réparée !!^^

plopus · Answer

Noooooooooooooooooonnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn

Gwen · Answer

Bon ! nooooooon ??? mais alors j'ai pourtant tout scanné ,tout cleaner, tout redinsinfecter, rere malwabitéré
alors je ne sais plus !

plopus · Answer

tu as pas supprimer beep pour le remplacer par NTFS j'espere pas ?

tu as telecharge un premier zip tout a lheur c'est le NTFS il faut que tu le mette dans C:\windows\system32\drivers

et pareil pour le beep que je veins de mettre dans mon precedents poste



tu dois avoir de telecharger quelque part sur ton PC 2 archive ZIP si tu as telecharge celle de mon message precendent :

- bobo => NTFS
- bobo1 => beep

recommence l'action au cas ou tu va copier beep de l'archive bobo1 et colle le ici  C:\windows\system32\drivers
 si on te dit qu'il existe deja un fichier du meme nom tu choisit remplacer le fichier existant

et tu fait pareil pour NTFS a partir de bobo

et ensuite tu fait le CFScript du poste 25 il est different de celui que tu as deja fait ce sont les nouveau fichier infecté

et après MISE A JOUR DE malwarebyte dans l'onglet mise a jour de malwarebyte et fait un scan rapide sa prends 10min supprime ce qu'il trouve à la fin en cliquant sur afficher resultat puis suppression

FAIT SA DANS LA SOIR2E SINON DEMAIN de nouveau fichier infecté seront crée, on peut presque finir si tu fait tout bien comme il faut

PENSE A LA MISE DE malwarebyte sinon sa serta  rien

Gwen · Answer

je crois que j'ai fait une boulette.. j'ai viré le beep.. il est dans ma corbeille.. o le boulet !

plopus · Answer

pas grave telecharge l'archive du poste 25 c'est un beep tu le met dans le dossier en question et tu refait pareil avec NTFS qui ce trouve dans l'archive que tu as telecharge ce matin au pire retelecharge a partir du poste 21

résumer :

retelecharge NTFS   http://www.cijoint.fr/cj200909/cijCPU2ee1.zip
telecharge beep  http://www.cijoint.fr/cj200909/cijCiFlDFV.zip

tu copie les fichier a l'interieur des archives et les colle ici   C:\windows\system32\drivers
si on te dit qu'il existe deja un fichier du meme nom tu choisit remplacer le fichier existant (tu fais sa pour les 2)

ensuite tu creer un nouveau document texte sous le nom CFScript et tu copie colle sa dedans :

kill all::

file::
c:\documents and settings\Gwen\Local Settings\Application Data	oheryqud.dat
c:\documents and settings\Gwen\Local Settings\Application Data	ytovysy.dat
c:\documents and settings\Gwen\Local Settings\Application Data\dugyku.dat
c:\windows\fonajam.dat
C:\PC_Antispyware2010
c:\program files\Fichiers communs\azimy._sy
c:\documents and settings\All Users\Application Data\wohar.dat
c:\program files\Fichiers communs\odagy.db
c:\windows\system32\dllcache\cache\beep.sys

registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Run]
"PC Antispyware 2010"=-

tu enregistre le document sur ton bureau et le fait glisser sur combofix sa va le relancer, tape 1 et patiente le temps du scan et poste le rapport (oublie pas)

et après tu fais une mise a jour avec malwarebyte et lance un scan RAPIDE

Gwen · Answer

Au fait pour info j'ai retéléchargé AVAST tout à l'heure, et lors de son installation il me semble qu'il à détecté des nuisibles qu'il à supprimer avant le redemarrage de Windows...

plopus · Answer

GWEN on s'en fout de AVAST... et des antivirus pour l'instant, peut importe l'antivirus que tu prends si tu attends toujours 2jours pour faire les consignes, le virus gagne de  la place et crée de nouveau fichier après faut encore faire une autre manip...


c'est un cercle sans fin si t'essaye pas au moins de faire 3 poste que je te mets a la suite, le fait de redemarré ton PC, propage le virus, le fait de te servir de ton PC avec internet le propage aussi donc au bout d'un moment jvais abandonner parcequ'on peut rester longtemps comme sa a upprimer des petit bout puis 2 jours après recommencé etc...

Fait le poste 32 ET LES RAPPORTS, j'espere qu'il n'y auras pas de nouveauté...

Gwen · Answer

Slt Poplus, Merci de m'aider ! t'as reussi à virer mon virus ! mille mercis ! Pour les autres manips à faire j'ai pas du tout de temps en ce moment , je reviendrai  pour un grand ménage de rentrée ! (si mon ordi n'as pas été destroy par des infections et autres virus bien nichés ds mon PC !)^^

plopus · Answer

salut

non il en reste, il y a de forte chance qu'il revienne si tu reste comme sa mais si tu n'as pas le temps sa serta  rien de continuer, tu reviendra quand tu as le temps

@+

PC ANTISPYWARE 2010 & TOTAL SECURITY 4.52

36 réponses

Discussions similaires

Newsletters