Pbl de Rootkit

Aghnar -  
 Anonyme -
Bonjour,
je cherche a me debarasser d'un rootkit de nom : Win32Podnuha-Q [Rtk]
J'ai testé Gmer mais aucune lignes rouge n'apparait lors de l'analyse....:(
j'ai meme desinstallé tout les logiciels (3seulement) que j'avais installé juste avant l'apparition de cet intru
mais en vain, le malveillant subsitse....
le nom du fichier infecté donné par avast est : C:\windows\system32\xirleum.dll\[UPX]
je ne suis pas trop calé en informatique alors si quelqu'un peut m'aider ce serait cool
Merci bcp
Configuration: Windows XP
Firefox 3.0.14

30 réponses

  • 1
  • 2
  1. Cosmi10 Messages postés 930 Statut Membre 89
     
    Téléchargez combofix.exe (de sUBs) sur le bureau :

    Important - Désactivez votre Antivirus et antispyware avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp

    ==> Fermez toutes les fenêtres actives,
    il peut y avoir un redémarrage du PC.
    Ne lancez aucun programme tant que Combofix n’est pas fini. <==

    * Double-cliquez sur combofix.exe, cliquez sur OUI et validez par Entrée

    * Il vous sera demandé d’installer la console si elle n’est pas installer, cliquez sur OUI

    * Patientez ..

    * Le rapport apparaitra, affichez ce rapport dans votre prochaine réponse - C:\ Combofix.txt.
    2
  2. Cosmi10 Messages postés 930 Statut Membre 89
     
    bonjours,

    *********************** Toolbad S&D ****************************

    * Téléchargez sur votre bureau ToolBar-S&D

    * Double-cliquez sur ToolBarSD afin de lancer l'installation

    * Une fois installé, un raccourci sera ajouté sur le Bureau. Double-cliquez dessus pour démarrer l'outil

    * Choisissez maintenant votre langue

    * Tapez 2 puis sur la touche Entrée afin de lancer la Suppression

    * Affichez le rapport C:\fixnavi.txt dans votre prochaine réponse

    *********************** Navilog1 ****************************

    * Téléchargez sur votre bureau Navilog1 (D'il mafioso)

    * Double cliquez sur l'icône Navilog1 présente sur le bureau.

    * Sélectionnez la langue désirée, ici on tape 1 pour le français. Validez par Entrée.

    * Aux messages d'avertissement, appuyez sur une touche pour continuer.

    * Choisissez 1 pour lancer une "Recherche/Désinfection automatique" de fichiers et dossiers infectieux et appuyez sur une touche.

    * La recherche va se lancer automatiquement et peut durer plusieurs minutes, patientez.

    *L'analyse est terminée ! Fermez et enregistrez votre travail en cours et appuyez sur une touche pour que l'ordinateur puisse redémarré.

    *Au redémarrage de l'ordinateur, Navilog va supprimé ce qu'il a trouvé. Patientez quelques instants.

    * Le rapport cleannavi.txt s'ouvre, affichez le dans votre prochaine réponse.

    *********************** Hijackthis ****************************

    * Ouvrez par double-clique Hijackthis, appuyer sur "Do a system scan only",
    * Cochez les ligne suivantes :

    O2 - BHO: (no name) - {025AF3A7-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll
    O2 - BHO: (no name) - {034C953C-0D00-46E1-B4D1-C37BC00B4AE1} - C:\WINDOWS\system32\lgysiwon.dll
    O2 - BHO: (no name) - {04B5E74E-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll
    O2 - BHO: (no name) - {EC65077B-CEA0-428F-A817-44E40E995549} - c:\windows\system32\xirleuwm.dll


    * Appuyer sur "Fix Checked", une fenêtre de confirmation apparaitra, cliquer sur Oui
    * Redémarrer l'ordinateur.

    *********** Suppression des fichiers cochés avec Hijackthis ************

    * Afficher les fichiers et les dossiers cachés de Windows

    *Supprimer ces fichiers :
    C:\WINDOWS\system32\lgysiwon.dll
    c:\windows\system32\xirleuwm.dll

    *********** Nettoyage des fichiers temporaire avec CCleaner ***********

    * Télécharger - Installer CCleaner

    * Durant l'installation décocher "mises à jours automatique"

    * Cliquer sur Option et Avancé et Décochez : "Effacer .. les fichiers tempor.. de + de 48hre",

    * Sélectionner Nettoyeur et cliquez sur Windows et aller à la section Avancé

    * Cocher uniquement la première case : "Vieilles données du perfetch"

    * Cliquer sur le bouton Analyse..

    * Lorsque complété, cliquer sur Nettoyage à quelques occasions..

    Ensuite re-paramétrer CCleaner avec les options d'utilisation courantes.
    * Recocher les Options Avancé : "Effacer .. les fichiers temporaires de + de 48hre",
    * Dans Nettoyeur et Windows, Décocher : "Vieilles données du perfetch"

    *********** Recherche d'autre infection avec Malwarebyte's ***********

    * Téléchargez - Installez Malwarebyte's

    * Laissez-vous guider par l'assistant : choix de la langue, acceptation de la licence, dossier par défaut ...

    * Cocher la case "Créer une icône sur le Bureau".

    * Cochez bien la case Mettre à jour

    * Cliquez ensuite sur Terminer.

    Utilisation

    * Double-cliquez sur le raccourci créé sur votre bureau

    * Dans l'onglet Recherche, cliquez sur Exécuter un examen complet puis sur Rechercher.
    * Sélectionnez votre ou vos disques durs.

    * Cliquez ensuite sur Lancer l'examen.

    * L'examen terminé choisissez d'enregistrer le rapport
    * Affichez le rapport de Malwarebyte's dans votre prochaine réponse.

    ************* Nettoyage du registre avec CCleaner ****************

    * Ouvrez CCleaner et appuyer sur Registre.

    *********************** Hijackthis ****************************

    * Ouvrez Hijackthis, appuyer sur [Do a system scan safe a Logfile]

    * Un rapport va s'ouvrir, affichez ce rapport dans votre prochaine réponse.

    1
  3. Cosmi10 Messages postés 930 Statut Membre 89
     
    Essayer de les supprimer en mode sans échec et/ou continuer avec les autre étapes.
    1
  4. olivier114 Messages postés 1674 Statut Membre 104
     
    bonjour,
    tout d'abord merci de desactiver avast pour continuer la desinfection.
    ensuite je vous prie de télécharger ceci:
    https://www.commentcamarche.net/telecharger/securite/4273-avg-anti-rootkit/
    puis de lancer une analyse complete puis de poster le rapport.
    petite précision vous pouvez reinstallez vos logiciel que vous avait desinstallé le rootkit ne doit pas provenir de la.
    cordialement
    olivier114
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Aghnar
     
    Salut Olivier et merci pour ton aide,

    J'ai fais comme tu m'a dit : désactivé avast et téléchargé AVG anti rootkit
    le résultat du scan me dit qu'il n y a pas de rootkit....je ne comprend pas

    Parce que a chaque fois que j'allume mon pc quand je clic sur poste de travail ou autre, Avast me signale un fichier malveillant de type rootkit

    Juste avant la venu de cet indesirable j'hebergais un Trojan, que Spyware doctor a anéanti. et un ou deux jours apres le bougre est arrivé. Je ne sais pas si il peut y avoir un rapport entre les 2.

    Je vais ressayer un scan avec Gmer ou un autre pour t'envoyer l'analyse.
    merci et bonne soirée a+
    0
  7. Aghnar
     
    Salut Olivier voila l'analyse obtenu avec Gmer :

    GMER 1.0.15.15087 - http://www.gmer.net
    Rootkit scan 2009-09-25 01:46:01
    Windows 5.1.2600 Service Pack 2
    Running: gmer.exe; Driver: C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\agtdrpog.sys

    ---- System - GMER 1.0.15 ----

    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xA67806B8]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xA6780574]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xA6780A52]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xA678014C]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xA678064E]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xA678008C]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xA67800F0]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xA678076E]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xA678072E]
    SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xA67808AE]

    ---- Kernel code sections - GMER 1.0.15 ----

    PAGE ntkrnlpa.exe!ObReferenceObjectByHandle + 44F 805BA2A9 7 Bytes JMP 8A70C8F8

    ---- User IAT/EAT - GMER 1.0.15 ----

    IAT C:\WINDOWS\system32\services.exe[1080] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
    IAT C:\WINDOWS\system32\services.exe[1080] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
    AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

    ---- Registry - GMER 1.0.15 ----

    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Core\1.0\config.txt 1
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Meta\1.0\config.txt 1
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Movies\1.0\config.txt 1
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\EnglishAudio\1.0\config.txt 1
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\Lang-french\1.0\config.txt 1
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\CNC3EP1_french_1.0.SkuDef 1
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\RetailExe\1.0\Data\Cursors\SCCTelestrator.ani 1
    Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs@C:\Program Files\Electronic Arts\Command & Conquer(tm)\x00a03\xa0 La Fureur de Kane\RetailExe\1.0\config.txt 1

    ---- EOF - GMER 1.0.15 ----
    0
  8. Aghnar
     
    Et une analyse Hijack peut etre ca peut servir

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 01:51:58, on 25/09/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\a-squared Free\a2service.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\CTsvcCDA.EXE
    C:\WINDOWS\system32\lxdxcoms.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\wdfmgr.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\CTHELPER.EXE
    C:\WINDOWS\system32\CTXFIHLP.EXE
    C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
    C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
    C:\WINDOWS\System32\alg.exe
    C:\documents and settings\robtronik\local settings\application data\dtjywfur.exe
    C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\MIXVIBES\U46DJ\u46pan.exe
    C:\Program Files\ESI\U46DJ\U46Pan.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Robtronik\Bureau\HiJackThis.exe
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
    O2 - BHO: (no name) - {025AF3A7-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll
    O2 - BHO: (no name) - {034C953C-0D00-46E1-B4D1-C37BC00B4AE1} - C:\WINDOWS\system32\lgysiwon.dll
    O2 - BHO: (no name) - {04B5E74E-AAC8-4FCC-AE88-48AE92097985} - C:\WINDOWS\system32\lgysiwon.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
    O2 - BHO: (no name) - {240D14D9-8F52-455A-9FCD-AB5189136788} - c:\windows\system32\apkaapk.dll
    O2 - BHO: Explorer Helper - {626482AF-17D0-5DFC-C12D-32A58E631863} - C:\WINDOWS\system\btlmct32.dll (file missing)
    O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Program Files\Dealio\kb127\Dealio.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
    O2 - BHO: (no name) - {EC65077B-CEA0-428F-A817-44E40E995549} - c:\windows\system32\xirleuwm.dll
    O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
    O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Program Files\Dealio\kb127\Dealio.dll
    O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\System32\JMRaidTool.exe boot
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [au] C:\Program Files\Dealio\DealioAU.exe
    O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
    O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"
    O4 - HKLM\..\Run: [lxdxamon] "C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
    O4 - HKCU\..\Run: [Creative Detector] "C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" /R
    O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
    O4 - HKCU\..\Run: [dtjywfur] "c:\documents and settings\robtronik\local settings\application data\dtjywfur.exe" dtjywfur
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: U46MK2 Control Panel.lnk = C:\Program Files\MIXVIBES\U46DJ\u46pan.exe
    O4 - Startup: U46Pan.lnk = C:\Program Files\ESI\U46DJ\U46Pan.exe
    O4 - Global Startup: Barre d'état système d'ATI CATALYST.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\Robtronik\Application Data\Dealio\kb127\res\DealioSearch.html
    O8 - Extra context menu item: Crawler Search - tbr:iemenu
    O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll
    O9 - Extra 'Tools' menuitem: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Program Files\Dealio\kb127\Dealio.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
    O20 - Winlogon Notify: vswpmfdh - C:\WINDOWS\SYSTEM32\apkaapk.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
    0
  9. Aghnar
     
    Salut Cosmi10,
    Voila j'ai suivi l'operation, voila le resultat.
    J'ai eu l'impression que des fichiers ont ete supprimé
    je vais de ce pas redemarrer l'ordi voir si le pbl est reglé :)
    Merci bcp pour ton aide A+

    -----------\\ ToolBar S&D 1.2.9 XP/Vista

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.60GHz )
    BIOS : BIOS Date: 07/05/06 04:58:08 Ver: 08.00.12
    USER : Robtronik ( Administrator )
    BOOT : Normal boot
    Antivirus : avast! antivirus 4.8.1351 [VPS 090923-0] 4.8.1351 (Not Activated)
    C:\ (Local Disk) - NTFS - Total:127 Go (Free:71 Go)
    D:\ (Local Disk) - NTFS - Total:105 Go (Free:91 Go)
    E:\ (CD or DVD) - UDF - Total:7 Go (Free:0 Go)

    "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
    Option : [2] ( 25/09/2009|13:35 )
    C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
    C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mct1E1.tmp
    C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mcy21A.tmp
    C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\nsj19A.tmp

    -----------\\ SUPPRESSION

    Supprime! - C:\Program Files\Crawler\Download
    Supprime! - C:\Program Files\Crawler\Toolbar
    Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Crawler Toolbar
    Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Dealio\kb127
    Supprime! - C:\Program Files\Dealio\DealioAU.exe
    Supprime! - C:\Program Files\Dealio\kb127
    Supprime! - C:\Program Files\Dealio\SearchSettingsKit.exe
    Supprime! - C:\WINDOWS\Prefetch\DEALIOAU.EXE-32C4A05D.pf
    Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Dealio
    Supprime! - C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
    Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Search Settings\kb127
    Supprime! - C:\Program Files\Search Settings\kb127
    Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
    Supprime! - C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
    Supprime! - C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mct1E1.tmp
    Supprime! - C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\mcy21A.tmp
    Supprime! - C:\DOCUME~1\ROBTRO~1\LOCALS~1\Temp\nsj19A.tmp
    Supprime! - C:\Program Files\Crawler
    Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Dealio
    Supprime! - C:\Program Files\Dealio
    Supprime! - C:\DOCUME~1\ROBTRO~1\APPLIC~1\Search Settings
    Supprime! - C:\Program Files\Search Settings

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ Extensions

    (Robtronik) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
    (Robtronik) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar
    (Robtronik) - {6dd49e04-4402-4629-915a-00349a297074} => xulcache

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    "Start Page"="http://runonce.msn.com/?v=msgrv75"
    "Search Page"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"
    "Search Bar"="https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Start Page"="https://www.msn.com/fr-fr/"

    --------------------\\ Recherche d'autres infections

    C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur.dat
    C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur.exe
    C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur_nav.dat
    C:\DOCUME~1\ROBTRO~1\LOCALS~1\APPLIC~1\dtjywfur_navps.dat
    [b]==> EGDACCESS <==/b

    --------------------\\ Cracks & Keygens ..

    C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
    C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\Steinberg CUBASE sx3 oxigen Fruity Loops V.6 Tracktor Full Plugins et Crack [TOUT EN FRA] fr By Rageback.rar
    C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\ADOBE AUDITION\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
    C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\SOUNDFORGE\sf7\keygen.exe
    C:\DOCUME~1\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\VST 0000\VST PLUGS\VST plugs Warm tube simulateur\KeyGen.exe
    C:\DOCUME~1\ROBTRO~1\Bureau\Plugin\son batterie\kit batterie\S-115 Crack.wav
    C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\kick\kick crack.wav
    C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\snar\crack sn.wav
    C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\snar\crack.wav
    C:\DOCUME~1\ROBTRO~1\Bureau\sample\drum\snar\cracking sn.wav
    C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
    C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
    C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe
    C:\DOCUME~1\ROBTRO~1\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe
    C:\DOCUME~1\ROBTRO~1\Mes documents\Shareaza Downloads\flstudio vst.Crack.All.Version.zip
    C:\DOCUME~1\ROBTRO~1\Recent\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).lnk

    1 - "C:\ToolBar SD\TB_1.txt" - 25/09/2009|13:37 - Option : [2]

    -----------\\ Fin du rapport a 13:37:19,35
    0
  10. Aghnar
     
    Voila le resultat avec navilog
    J'ai observé au redemarrage de la machine quand navilog lance la supression des fichiers :il y avait écrit
    -"un fichier impossible a supprimer car il est utilisé par un autre processus"
    -"acces refusé"
    Merci pour votre aide efficace

    Fix Navipromo version 4.0.2 commencé le 25/09/2009 13:56:40,79

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 27.08.2009 à 11h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.60GHz )
    BIOS : BIOS Date: 07/05/06 04:58:08 Ver: 08.00.12
    USER : Robtronik ( Administrator )
    BOOT : Normal boot

    Antivirus : avast! antivirus 4.8.1351 [VPS 090923-0] 4.8.1351 (Not Activated)

    C:\ (Local Disk) - NTFS - Total:127 Go (Free:71 Go)
    D:\ (Local Disk) - NTFS - Total:105 Go (Free:91 Go)
    E:\ (CD or DVD) - UDF - Total:7 Go (Free:0 Go)

    Recherche executée en mode normal

    Nettoyage exécuté au redémarrage de l'ordinateur

    C:\WINDOWS\prefetch\dtjywfur*.pf supprimé !
    c:\docume~1\robtro~1\locals~1\applic~1\dtjywfur.exe supprimé !
    c:\docume~1\robtro~1\locals~1\applic~1\dtjywfur.dat supprimé !
    c:\docume~1\robtro~1\locals~1\applic~1\dtjywfur_nav.dat supprimé !
    c:\docume~1\robtro~1\locals~1\applic~1\dtjywfur_navps.dat supprimé !

    Nettoyage contenu C:\WINDOWS\Temp effectué !
    Nettoyage contenu C:\Documents and Settings\Robtronik\locals~1\Temp effectué !

    *** Sauvegarde du Registre vers dossier Safebackup ***

    sauvegarde du Registre réalisée avec succès !

    *** Nettoyage Registre ***
    0
  11. Cosmi10 Messages postés 930 Statut Membre 89
     
    * Continuer avec les autre procédures.

    Vouz devez supprimer tout ces fichiers très risqués (crack).

    C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

    C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\Steinberg CUBASE sx3 oxigen Fruity Loops V.6 Tracktor Full Plugins et Crack [TOUT EN FRA] fr By Rageback.rar

    C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\ADOBE AUDITION\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

    C:\Documents and Settings\ROBTRO........\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\SOUNDFORGE\sf7\keygen.exe

    C:\Documents and Settings\ROBTRO........\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\VST 0000\VST PLUGS\VST plugs Warm tube simulateur\KeyGen.exe

    C:\Documents and Settings\ROBTRO........\Bureau\Plugin\son batterie\kit batterie\S-115 Crack.wav

    C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\kick\kick crack.wav
    C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\snar\crack sn.wav
    C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\snar\crack.wav
    C:\Documents and Settings\ROBTRO........\Bureau\sample\drum\snar\cracking sn.wav

    C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

    C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

    C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe

    C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 2 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip\AGAiN keygen.exe

    C:\Documents and Settings\ROBTRO........\Mes documents\Shareaza Downloads\flstudio vst.Crack.All.Version.zip

    C:\Documents and Settings\ROBTRO........\Recent\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).lnk

    * Cracks, P2P; quels sont les risques...
    0
  12. Aghnar
     
    Salut Cosmi 10,
    Merci pour ta super explication bien détaillée

    J'ai un petit probleme dans la 3e etape avec les fichiers :
    C:\WINDOWS\system32\lgysiwon.dll
    c:\windows\system32\xirleuwm.dll

    je ne parviens pas a les supprimer
    la machine m'indique :
    "Erreur suppression Verifier que le disque n'est pas plein ou protégé en écriture et que le fichier n'est pas
    utilisé actuellement"

    Je ne sais pas si je peux continuer les autres étapes en sautant celle là
    J'attend ta réponse pour continuer :]
    Merci et bonne soirée
    Pace e Salute
    0
  13. Aghnar
     
    Resalut et encore une petite chose,

    *j'ai un petit problème pour retrouver un fichier très risqué.
    *En fait les fichiers hébergeurs : \Local Settings\ et \Recent\ sont introuvable. (pour moi)

    C:\Documents and Settings\ROBTRO........\Local Settings\Temp\R‚pertoire temporaire 1 pour [Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip
    C:\Documents and Settings\ROBTRO........\Recent\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).lnk

    *On dirait qu'ils ont disparu......ou ils se sont peut etre caché.... :)

    *Ce meme fichier dangeureux est repertorié plusieurs fois a des endroits différents
    *et "Byzzarerrie" a un endroit je l'ai trouvé et supprimé sans problème

    C:\Documents and Settings\ROBTRO~1\Bureau\Nouveau dossier1\tjs darkore\Nouveau dossier\ADOBE AUDITION\adobe audition log\[Cool Edit Pro] Adobe Audition v1.5 + Keygen (full, virus-free, and IS actually version 1.5!).zip

    *Car le fichier \Bureau\ est bien présent, lui
    Merci beaucoup
    0
  14. Cosmi10 Messages postés 930 Statut Membre 89
     
    Après avoir lancé CCleaner, tout les fichiers dans les répertoires ..\Temp\.. sont effacés !

    IMPORTANT - Si vous avez lancé un scan avec Malwarebytes, affichez le rapport qui qui est dans "Rapports/Logs".
    0
  15. Aghnar
     
    MODE SANS ECHEC
    Méthode avec l'utilitaire de configuration système

    /!\ Avertissement
    Ne surtout pas appliquer cette méthode si votre PC est infecté ! Et quel quoi soit le type d'infection .
    En effet, vous pouvez rester coincé(e) dans une boucle infernale en procédant de la sorte ( redémarrage en boucle du PC ).

    A utiliser avec une extrême précaution !

    C'est pas dangeureux??? Ca fait un peu peur
    0
  16. Aghnar
     
    ***********près avoir lancé CCleaner, tout les fichiers dans les répertoires ..\Temp\.. sont effacés !

    IMPORTANT - Si vous avez lancé un scan avec Malwarebytes, affichez le rapport qui qui est dans "Rapports/Logs".*******************************

    Je n'ai pas encore fait ces étapes je les fait tout de suite
    0
  17. Cosmi10 Messages postés 930 Statut Membre 89
     
    Si vous avez modifier msconfig pour redémarrer en mode sans échec, remettez cette option comme elle était avant de la modifier. - Décocher /SafeBoot

    Faites comme cela pour en redémarrer mode sans échec
    0
  18. Aghnar
     
    Ok merci Cosmi je m'en occupe apres manger la j'ai le scan avec malwarebytes il m'a trouvé 20 infections
    voila le resultat
    Bonne appetit

    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 2859
    Windows 5.1.2600 Service Pack 2

    25/09/2009 21:17:48
    mbam-log-2009-09-25 (21-17-48).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 189845
    Temps écoulé: 29 minute(s), 55 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 7
    Valeur(s) du Registre infectée(s): 4
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\lgysiwon.dll (Trojan.Vundo.H) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{025af3a7-aac8-4fcc-ae88-48ae92097985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{025af3a7-aac8-4fcc-ae88-48ae92097985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ec65077b-cea0-428f-a817-44e40e995549} (Trojan.Vundo.H) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{ec65077b-cea0-428f-a817-44e40e995549} (Trojan.Vundo.H) -> Delete on reboot.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{025af3a7-aac8-4fcc-ae88-48ae92097985} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{73364d99-1240-4dff-b12a-67e448373148} (Trojan.Bzub) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ec65077b-cea0-428f-a817-44e40e995549} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.

    Elément(s) de données du Registre infecté(s):
    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\lgysiwon.dll (Trojan.Vundo.H) -> Delete on reboot.
    c:\WINDOWS\system32\xirleuwm.dll (Trojan.Vundo.H) -> Delete on reboot.
    C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-316.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-350.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-432.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Robtronik\Bureau\backups\backup-20090925-162730-649.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{55F1753D-C67F-4B1D-A9FB-64BD9188DE2D}\RP5\A0000262.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    0
  19. Aghnar
     
    voila le resultat de combofix

    ComboFix 09-09-25.01 - Robtronik 25/09/2009 22:05.1.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2047.1490 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Robtronik\Bureau\ComboFix.exe
    AV: avast! antivirus 4.8.1351 [VPS 090925-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\Robtronik\ResErrors.log
    c:\windows\1809.exe
    c:\windows\system32\apkaapk.dll
    c:\windows\system32\drivers\dizqykoy.sys
    c:\windows\system32\drivers\iixotcgw.sys
    c:\windows\system32\drivers\ucihavns.sys
    c:\windows\system32\lgysiwon.dll
    c:\windows\system32\pnqjmao.dll
    c:\windows\system32\xirleuwm.dll
    c:\windows\update7.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_DPZQUMGW
    -------\Legacy_IIXOTCGW
    -------\Service_dpzqumgw
    -------\Service_iixotcgw

    ((((((((((((((((((((((((((((( Fichiers créés du 2009-08-25 au 2009-09-25 ))))))))))))))))))))))))))))))))))))
    .

    2009-09-25 17:00 . 2009-09-25 17:00 -------- d-----w- c:\documents and settings\Robtronik\Application Data\Malwarebytes
    2009-09-25 17:00 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-09-25 17:00 . 2009-09-25 17:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2009-09-25 17:00 . 2009-09-25 17:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-09-25 17:00 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-09-25 16:48 . 2009-09-25 16:48 -------- d-----w- c:\program files\CCleaner
    2009-09-25 11:51 . 2009-09-25 12:06 -------- d-----w- c:\program files\Navilog1
    2009-09-25 11:33 . 2009-09-25 11:37 -------- d-----w- C:\ToolBar SD
    2009-09-24 16:01 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
    2009-09-23 12:47 . 2009-09-23 12:47 -------- d-----w- c:\documents and settings\NetworkService\Application Data\iwcfmany
    2009-09-23 12:47 . 2009-09-23 12:47 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\iwcfmany
    2009-09-20 11:53 . 2009-09-20 11:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Windows Live Toolbar
    2009-09-20 11:53 . 2009-09-20 11:53 -------- d-----w- c:\program files\Windows Live Toolbar
    2009-09-19 13:47 . 2009-09-25 15:13 -------- d-----w- C:\Downloads
    2009-09-19 13:01 . 2009-09-23 17:57 -------- d-----w- c:\program files\RogueRemover FREE

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-09-23 18:20 . 2008-11-16 13:13 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2009-09-23 09:04 . 2008-11-16 13:13 -------- d-----w- c:\program files\Spyware Doctor
    2009-08-17 16:10 . 2009-05-10 00:02 1279456 ----a-w- c:\windows\system32\aswBoot.exe
    2009-08-17 16:06 . 2009-05-10 00:02 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2009-08-17 16:06 . 2009-05-10 00:02 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2009-08-17 16:05 . 2009-05-10 00:02 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2009-08-17 16:05 . 2009-05-10 00:02 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2009-08-17 16:04 . 2009-05-10 00:02 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2009-08-17 16:04 . 2009-05-10 00:02 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2009-08-17 16:03 . 2009-05-10 00:02 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2009-08-17 16:02 . 2009-05-10 00:02 97480 ----a-w- c:\windows\system32\AvastSS.scr
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-09-28 3497208]
    "Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 102400]
    "EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2009-02-06 3325952]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "JMB36X Configure"="c:\windows\System32\JMRaidTool.exe" [2006-06-02 385024]
    "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-05 61440]
    "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-10-07 185784]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-09 13529088]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-09 86016]
    "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
    "lxdxmon.exe"="c:\program files\Lexmark 3600-4600 Series\lxdxmon.exe" [2008-06-13 668328]
    "lxdxamon"="c:\program files\Lexmark 3600-4600 Series\lxdxamon.exe" [2008-06-13 16040]
    "FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2008-06-13 320168]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
    "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
    "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-09 1630208]
    "CTHelper"="CTHELPER.EXE" - c:\windows\CTHELPER.EXE [2005-08-07 16384]
    "CTxfiHlp"="CTXFIHLP.EXE" - c:\windows\system32\CTXFIHLP.EXE [2005-08-07 18944]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

    c:\documents and settings\Robtronik\Menu D‚marrer\Programmes\D‚marrage\
    U46MK2 Control Panel.lnk - c:\program files\MIXVIBES\U46DJ\u46pan.exe [2007-11-21 397312]
    U46Pan.lnk - c:\program files\ESI\U46DJ\U46Pan.exe [2007-11-27 462848]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Barre d'‚tat systŠme d'ATI CATALYST.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-6 61440]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
    @=""

    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
    backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Game.exe"=
    "c:\\Program Files\\Ubisoft\\Tom Clancy's Rainbow Six Vegas 2\\Binaries\\R6Vegas2_Launcher.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\WINDOWS\\system32\\lxdxcoms.exe"=
    "c:\\Program Files\\Lexmark 3600-4600 Series\\lxdxamon.exe"=
    "c:\\Program Files\\Lexmark 3600-4600 Series\\frun.exe"=
    "c:\\Program Files\\Abbyy FineReader 6.0 Sprint\\Scan\\ScanMan6.exe"=
    "c:\\Program Files\\Lexmark Fax Solutions\\FaxCtr.exe"=
    "c:\\Program Files\\Lexmark 3600-4600 Series\\lxdxmon.exe"=
    "c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
    "c:\\Program Files\\Electronic Arts\\Command & Conquer(tm) 3  La Fureur de Kane\\RetailExe\\1.2\\cnc3ep1.dat"=
    "c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

    R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [06/10/2006 19:09 10240]
    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [10/05/2009 02:02 114768]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [10/05/2009 02:02 20560]
    R2 lxdx_device;lxdx_device;c:\windows\system32\lxdxcoms.exe -service --> c:\windows\system32\lxdxcoms.exe -service [?]
    R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [05/10/2006 18:10 176128]
    S3 gsplittm;gsplittm;\??\c:\docume~1\ROBTRO~1\LOCALS~1\Temp\gsplittm.sys --> c:\docume~1\ROBTRO~1\LOCALS~1\Temp\gsplittm.sys [?]
    S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [16/11/2008 15:13 356920]
    S3 U46_01;Service for ESI U46MK2 Audio driver;c:\windows\system32\drivers\u46Wdm.sys [21/11/2007 23:51 20128]
    S3 U46_AA;Service for MIXVIBES U46MK2 Controller driver;c:\windows\system32\drivers\u46drv.sys [21/11/2007 23:51 26752]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - IIXOTCGW
    *Deregistered* - iixotcgw
    .
    Contenu du dossier 'Tâches planifiées'

    2009-09-23 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

    2009-09-25 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
    - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 15:39]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Settings,ProxyOverride = *.local
    uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
    IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    FF - ProfilePath - c:\documents and settings\Robtronik\Application Data\Mozilla\Firefox\Profiles\w52q9ot1.default\
    FF - prefs.js: browser.search.defaulturl - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-veoh&p=
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-veoh&p=
    FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
    FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{025AF3A7-AAC8-4FCC-AE88-48AE92097985} - c:\windows\system32\lgysiwon.dll

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-09-25 22:18
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_USERS\S-1-5-21-1547161642-1979792683-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
    "??"=hex:9a,c5,c8,25,cc,cd,0a,de,8a,d9,94,79,ba,ac,de,43,24,11,5e,1c,5b,15,de,
    de,eb,47,48,4b,d7,e0,8d,f7,fd,a4,d5,3b,af,fc,a7,57,fa,79,e6,56,db,b2,58,78,\
    "??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

    [HKEY_USERS\S-1-5-21-1547161642-1979792683-839522115-1003\Software\SecuROM\License information*]
    "datasecu"=hex:e0,9a,28,91,5b,89,3c,14,e2,df,a3,82,51,4b,33,6a,50,7a,3f,4d,4a,
    bb,c9,30,fa,ed,c0,d3,3a,a3,a2,e7,1e,82,83,0c,4f,45,ac,45,f3,ab,85,12,7a,8e,\
    "rkeysecu"=hex:56,c6,0d,e0,20,27,f2,5f,5e,7a,0c,15,6c,01,a7,f3
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(1028)
    c:\windows\system32\Ati2evxx.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\program files\a-squared Free\a2service.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\windows\system32\CTSVCCDA.EXE
    c:\windows\system32\lxdxcoms.exe
    c:\windows\system32\nvsvc32.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\rundll32.exe
    c:\program files\Lexmark 3600-4600 Series\lxdxmsdmon.exe
    .
    **************************************************************************
    .
    Heure de fin: 2009-09-25 22:21 - La machine a redémarré
    ComboFix-quarantined-files.txt 2009-09-25 20:21

    Avant-CF: 83 192 369 152 octets libres
    Après-CF: 83 141 091 328 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

    197
    0
  20. Aghnar
     
    Rebonsoir Cosmi
    Je ne peux pas coché la case "tSafeBoot ", dans l'onglet "boot ini" le panel "options de démarrage" est comme désactivé (la couleur du panel est plus clair) je ne sais pas quoi faire
    Encore merci pour ton aide PRECIEUSE
    0
  21. Aghnar
     
    Ne regarde pas le post d'avant
    c'est mon clone qui l'a écrit, il est fou celui la, il a pas bien pris le temps de chercher :-°

    Bon apparament bonne nouvelle l'ennemi a été anéanti,
    les nocifs "xirleuwm" et "lgysimon" ont disparu sans que j'utilise le mode sans echec ,peut etre Combofix ou Malware s en sont chargés.
    avast ne me signal plus de probleme
    et mon pc a nettement augmenté sa vitesse
    Felicitation mon général,je pense que nous avons gagné la bataille
    0
  • 1
  • 2