Sujet Précédent Sujet Suivant

TR/Crypt.XPACK.Gen C:\WINDOWS\SYSTEM32\nmdfgd

Fermé
Freatox - 5 déc. 2009 à 22:40
 gen-hackman - 10 août 2010 à 22:40
Bonjour,

Je m'adresse à Goeffrey5 ou à Le sioux ou à une personne/un helper confirmé à la sympathie et aux compétences équivalentes que je remercierais ensuite sincèrement s'il me venait en aide.
Effectivement, j'ai besoin d'aide :
J'ai un Cheval de Troie dans mon PC (qui date de y a 3-4 ans) qui fait tout ramer et qui m'empêche d'aller sur internet. Mon ordinateur était HAUTEMENT infecté avant que j'ai Avira antivir (control center), Ccleaner et Defraggler. Une fois Avira installé, il m'a sorti une quantité astronomique de chevaux de Troie et autres virus... (vous savez quand il couine, il fait un petit bruit l'ordi) et une fois tout "supprimé" (ça a pris pas mal de temps vu qu'il ramait bien bien...) tous les jours, il me signale gentilment qu'un cheval de Troie est encore et toujours dans le système et m'empêche très certainement d'aller sur internet et de profiter de la rapidité normale de mon ordi (J'ai Windows XP au fait). Donc, voilà ce que me dit Avira antivir :

Un cheval de Troie TR/Crypt.XPACK.Gen (et y a un truc avec Win32) est sur votre ordinateur !

le chemin pour accéder au Trojan est celui-ci :

C:\WINDOWS\system32\nmdFgds0.dll

Voilà. J'ai vu sur le post de ric38 nommé "C:\WINDOWS\SYSTEM32\nmdfgds0.dll" qu'il avait certainement le même problème que moi et j'ai vu aussi à travers les réponses de Le sioux que je ne devais surtout pas suivre les conseils qu'il lui a donné par la suite (à part le Hijackthis j'imagine) car ils sont très certainement personnifiés, correspondant strictement à un seul ordinateur, je présume.

Donc je part ainsi faire mon rapport HijackThis et je vous le reposte ensuite.

MERCI ! ! !

ps : je suis désolé mais je fais ça en espérant arriver à résoudre ce problème avant Lundi soir, car je m'absente (de chez moi donc aussi de mon PC fixe qui est en l'occurrence infecté) dès Mardi très tôt pour 3 semaines (du 8 au 30 déc. 2009) donc si jamais je n'ai pas eu de réponses avant, je pourrais reprendre une activité et suivre vos conseils après la date du 30 décembre. D'avance désolé pour les réponses qui viendront après le 8 ou avant le 30.
A voir également:

60 réponses

Réponse 1 / 60
Utilisateur anonyme
5 déc. 2009 à 23:12
bonsoir
Télécharge USBFix de Chiquitine29 , C_XX et Chimay8 sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­
ou
https://www.ionos.fr/?affiliate_id=77097

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Sélectionne l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
1
Réponse 2 / 60
Freatox
5 déc. 2009 à 23:25
Salut Nathandre,

Ok, désolé j'ai pas suivi tout de suite ton conseil puisque je m'étais déjà mis à télécharger Hijackthis et à faire un rapport Hijackthis sur mon PC, donc le voilà ci-dessous. Je fais quoi maintenant, je suis tout de même tes conseils? En ignorant le rapport Hijackthis?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:13:08, on 05.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\windows\ld09.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70
O2 - BHO: (no name) - {02478d38-c3f9-4efb-9b51-7695eca05670} - (no file)
O2 - BHO: (no name) - {9884d9c4-77ab-481d-a1ee-a09de2716201} - C:\WINDOWS\system32\biserano.dll
O2 - BHO: C:\WINDOWS\system32\jkshfuiehi.dll - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jkshfuiehi.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [pumehunihe] Rundll32.exe "C:\WINDOWS\system32\habanuvo.dll",s
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld09.exe
O4 - HKLM\..\Run: [e47d0687] rundll32.exe "C:\WINDOWS\system32\vowikewa.dll",b
O4 - HKLM\..\Run: [CPMe74e351b] Rundll32.exe "c:\windows\system32\sidejuwo.dll",a
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [pumehunihe] Rundll32.exe "C:\WINDOWS\system32\habanuvo.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: mit image converter 3 übertragen - C:\PROGRAMME\SONY\IMAGE CONVERTER 3\menu.htm
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [java_sun] Java (Sun)
O20 - AppInit_DLLs: c:\windows\system32\tosigupa.dll C:\WINDOWS\system32\damopore.dll c:\windows\system32\sidejuwo.dll
O20 - Winlogon Notify: togrsld - togrsld.dll (file missing)
O20 - Winlogon Notify: __c00545D2 - C:\WINDOWS\system32\__c00545D2.dat
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\sidejuwo.dll
O22 - SharedTaskScheduler: sdfsefsfdvdubgiungfuyd - {C2BA40A1-74F3-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jkshfuiehi.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\sidejuwo.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Avira AntiVir Planificateur (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast!antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Image Converter SCSI Service (ICScsiSV) - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\ICScsiSV.exe
O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMon.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
0
Utilisateur anonyme
5 déc. 2009 à 23:36
le PC est sacrément infecté, tu fait USBFix post 1, y'a du boulot
0
Réponse 3 / 60
Freatox
5 déc. 2009 à 23:35
Re,

J'ai cru comprendre que le logiciel que tu m'as conseillé de télécharger c'est surtout pour vérifier si mes clefs USB et disques durs sont infectés ou réglo. Donc bon, je vais me faire ça. D'ici une demi-heure ça devrait être fini, je t'envoie le rapport UsbFix.txt et après je vais ptet me coucher quand même, je continuerais demain de bonne heure de sûr, promis, ;) si ça te convient, Nathandre.
Merci beaucoup pour ta réponse d'ailleurs au fait!
0
Utilisateur anonyme
5 déc. 2009 à 23:38
infection supports amovibles, infection Vundo, je veux bien demain, mais jamais de bonne heure
0
Freatox > Utilisateur anonyme
5 déc. 2009 à 23:51
Pas de problème, "de bonne heure" chez moi signifie aussi "au moins après 12h" ;)

(Je suis en train de faire tourner Usbfix, j't'envoie le rapport dès que je l'ai)
0
Utilisateur anonyme > Freatox
6 déc. 2009 à 00:00
je le verrai demain, je vais continuer à être au chevet de ton PC car il est très infecté
à demain
0
Freatox > Utilisateur anonyme
6 déc. 2009 à 00:12
Ok, merci beaucoup ! C'est vraiment sympa.

ps : Le scan Usbfix s'est justement "fixé" (arrêté) à 60% depuis 10 minutes, est-ce bien normal? Y a ptet un truc qui l'empêche de continuer, j'ai vérifié les clefs et le disque dur, tout est bien branché (sauf le disque dur, je lui ai pas branché son deuxième câble Usb pour l'alim' parce que j'ai plus de prise Usb de libre (j'en ai 4 dont une ne fonctionne pas, donc 3, avec deux clefs Usb et un disque dur branchés dessus) donc peut-être que ça vient du disque dur qui n'est pas mis en mode alimentation...?).

En cas, je peux arrêter tout et recommencer demain...?
0
Freatox > Freatox
6 déc. 2009 à 00:31
J'ai arrêté le scan, je recommencerais demain, bonne nuit.
0
Réponse 4 / 60
Freatox
6 déc. 2009 à 12:30
Salut Nathandre,

J'ai réessayé de faire tourner usbfix sur l'ordi infecté en branchant toutes les clefs Usb, mais vu qu'il s'arrêtait toujours à 60% pendant plus de 10 minutes (sachant que l'ordi rame beaucoup) j'ai tout arrêté encore une fois et je me suis que vu que c'était les clefs Usb que Usbfix réparait, j'ai fait tourner Usbfix sur le Pc portable (Vaio sous vista) de ma copine en branchant toutes les clefs et le disque dur (du coup j'ai pu brancher les deux câbles usb du disque dur) et le rapport s'est fait en 10-15 minutes. Alors, je sais pas si il faudrait que je le fasse malgré tout tourner quand même sur l'ordi infecté (sous Xp), tu pourra me dire si ça change quelque chose?
Voici le rapport :

############################## | UsbFix V6.059 |

User : JAPANESE (Administrateurs) # JAPANESE-GIRL
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:12:29 | 06/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled

C:\ -> Disque fixe local # 224,72 Go (12,15 Go free) # NTFS
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,76 Go (2,7 Go free) # FAT32
H:\ -> Disque fixe local # 465,7 Go (311,53 Go free) # FAT32
I:\ -> Disque amovible # 1,91 Go (450,93 Mo free) # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe 472
C:\Windows\system32\csrss.exe 540
C:\Windows\system32\wininit.exe 600
C:\Windows\system32\csrss.exe 612
C:\Windows\system32\services.exe 648
C:\Windows\system32\lsass.exe 660
C:\Windows\system32\lsm.exe 668
C:\Windows\system32\winlogon.exe 824
C:\Windows\system32\svchost.exe 836
C:\Windows\system32\svchost.exe 912
C:\Windows\system32\Ati2evxx.exe 1044
C:\Windows\System32\svchost.exe 1068
C:\Windows\System32\svchost.exe 1096
C:\Windows\system32\svchost.exe 1136
C:\Windows\system32\SLsvc.exe 1264
C:\Windows\system32\svchost.exe 1324
C:\Windows\system32\Ati2evxx.exe 1384
C:\Windows\RtkAudioService.exe 1444
C:\Windows\system32\svchost.exe 1600
C:\Windows\System32\spoolsv.exe 1764
C:\Windows\system32\svchost.exe 1788
C:\Windows\system32\WLANExt.exe 1796
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2036
C:\Program Files\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe 260
C:\Program Files\Bonjour\mDNSResponder.exe 304
C:\Program Files\Intel\WiFi\bin\EvtEng.exe 392
C:\Program Files\Hercules\Audio\DJ Console Series\HerculesDJControlMP3.EXE 488
C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe 792
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe 1412
c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe 1368
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe 1588
C:\Windows\system32\rundll32.exe 704
C:\Program Files\McAfee\MPF\MPFSrv.exe 1872
C:\Program Files\McAfee\MSK\MskSrver.exe 1220
C:\Program Files\Sony\Network Utility\NSUService.exe 1352
C:\Windows\system32\svchost.exe 2112
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe 2128
C:\Program Files\Sony\VAIO Media plus\SOHCImp.exe 2156
C:\Program Files\Sony\VAIO Media plus\SOHDms.exe 2176
C:\Program Files\Sony\VAIO Media plus\SOHDs.exe 2248
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe 2284
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe 2348
C:\Windows\system32\svchost.exe 2372
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe 2644
C:\Program Files\Sony\VAIO Power Management\SPMService.exe 2676
C:\Program Files\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe 2812
C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe 2852
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe 2900
C:\Windows\System32\svchost.exe 2976
C:\Windows\system32\DllHost.exe 3036
C:\Windows\system32\SearchIndexer.exe 3068
C:\Windows\system32\DRIVERS\xaudio.exe 3260
C:\Windows\system32\WUDFHost.exe 3284
C:\Program Files\Sony\VAIO Event Service\VESMgrSub.exe 3556
C:\Windows\system32\DllHost.exe 3696
C:\Windows\system32\taskeng.exe 2532
C:\Windows\system32\Dwm.exe 3504
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe 3736
C:\Windows\Explorer.EXE 2616
C:\Program Files\Sony\VAIO Power Management\SPMgr.exe 3760
C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe 3392
C:\Windows\system32\taskeng.exe 3924
C:\Windows\system32\wbem\wmiprvse.exe 4132
c:\PROGRA~1\mcafee.com\agent\mcagent.exe 4396
C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe 4408
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe 4728
C:\Program Files\Sony\ISB Utility\ISBMgr.exe 4760
C:\Program Files\Java\jre6\bin\jusched.exe 4812
C:\Program Files\Sony\Marketing Tools\MarketingTools.exe 5028
C:\Program Files\iTunes\iTunesHelper.exe 5080
C:\Program Files\Sony\Network Utility\LANUtil.exe 5152
C:\Program Files\Nokia\Nokia PC Suite 7\PcSync2.exe 5204
C:\Program Files\Sony\VAIO Media plus\VMpTtray.exe 5480
C:\Windows\ehome\ehtray.exe 5516
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 5696
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 6092
C:\Windows\ehome\ehmsas.exe 1024
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe 4108
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe 4996
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe 2600
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe 2948
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe 5212
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe 5424
C:\Windows\system32\conime.exe 4892
C:\Program Files\iPod\bin\iPodService.exe 4304
c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe 5968
c:\PROGRA~1\mcafee\msc\mcuimgr.exe 4660
C:\Windows\system32\wuauclt.exe 2444
C:\Program Files\Mozilla Firefox\firefox.exe 5804
C:\Program Files\OpenOffice.org 3\program\swriter.exe 396
C:\Program Files\OpenOffice.org 3\program\soffice.exe 3692
C:\Program Files\OpenOffice.org 3\program\soffice.bin 3756
C:\Windows\system32\SearchProtocolHost.exe 5940
C:\Windows\system32\SearchFilterHost.exe 856
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe 5628
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsmap.exe 5288
C:\Windows\system32\wbem\wmiprvse.exe 2568

################## | Fichiers # Dossiers infectieux |

G:\autorun.inf
G:\autorun.inf -> fichier appelé : "G:\rbj9jn1n.bat" ( Présent ! )
G:\rbj9jn1n.bat
H:\autorun.inf
H:\autorun.inf -> fichier appelé : "H:\rbj9jn1n.bat" ( Présent ! )
H:\rbj9jn1n.bat
I:\autorun.inf
I:\autorun.inf -> fichier appelé : "I:\rbj9jn1n.bat" ( Présent ! )
I:\rbj9jn1n.bat
I:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
I:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Spyware.OnlineGames |

G:\rbj9jn1n.bat
H:\rbj9jn1n.bat
I:\rbj9jn1n.bat

################## | Registre # Clés infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{137b3aab-06fe-11de-8ec2-001dba249da1}
shell\AutoRun\command =I:\rbj9jn1n.bat
shell\open\Command =I:\rbj9jn1n.bat

HKCU\..\..\Explorer\MountPoints2\{245df74e-d687-11de-9cfb-001dba249da1}
shell\AutoRun\command =G:\rbj9jn1n.bat
shell\open\Command =G:\rbj9jn1n.bat

HKCU\..\..\Explorer\MountPoints2\{491ff55a-42b2-11de-9b12-001dba249da1}
shell\AutoRun\command =G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
shell\open\command =G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe

HKCU\..\..\Explorer\MountPoints2\{491ff57b-42b2-11de-9b12-001dba249da1}
shell\AutoRun\command =G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
shell\open\command =G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe

HKCU\..\..\Explorer\MountPoints2\{5d1e21bc-510f-11de-a94d-001dba249da1}
shell\AutoRun\command =G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe
shell\open\command =G:\RECYCLER\k-1-3542-4232123213-7676767-8888886\root.exe

HKCU\..\..\Explorer\MountPoints2\{6296dd03-c2ac-11dd-a6dc-001dba249da1}
shell\AutoRun\command =I:\rbj9jn1n.bat
shell\open\Command =I:\rbj9jn1n.bat

HKCU\..\..\Explorer\MountPoints2\{6296dd15-c2ac-11dd-a6dc-001dba249da1}
shell\AutoRun\command =G:\rbj9jn1n.bat
shell\open\Command =G:\rbj9jn1n.bat

HKCU\..\..\Explorer\MountPoints2\{71fd2427-cf7c-11dd-8d90-00215d055c04}
shell\AutoRun\command =cqxj.exe
shell\open\Command =cqxj.exe

HKCU\..\..\Explorer\MountPoints2\{87391df4-2805-11de-a84c-00215d055c04}
shell\AutoRun\command =G:\rbj9jn1n.bat
shell\open\Command =G:\rbj9jn1n.bat

HKCU\..\..\Explorer\MountPoints2\{b40fda5f-f795-11dd-82aa-001dba249da1}
shell\AutoRun\command =H:\opgde.exe
shell\open\Command =H:\opgde.exe

HKCU\..\..\Explorer\MountPoints2\{b4a4349e-dde3-11de-8042-00215d055c04}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe cretae.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{c9ee16cd-26cd-11de-8009-00215d055c04}
shell\AutoRun\command =G:\cqxj.exe
shell\open\Command =G:\cqxj.exe

HKCU\..\..\Explorer\MountPoints2\{d100acb4-d52d-11de-9c85-00215d055c04}
shell\AutoRun\command =H:\rbj9jn1n.bat
shell\open\Command =H:\rbj9jn1n.bat

HKCU\..\..\Explorer\MountPoints2\{f0d35a4d-50db-11de-9cb2-001dba249da1}
shell\AutoRun\command =G:\rbj9jn1n.bat
shell\open\Command =G:\rbj9jn1n.bat

HKCU\..\..\Explorer\MountPoints2\{f80a245a-faa0-11dd-be94-001dba249da1}
shell\AutoRun\command =G:\rbj9jn1n.bat
shell\open\Command =G:\rbj9jn1n.bat

################## | Cracks / Keygens / Serials |

"C:\Program Files\Vegas Pro\Vegas Pro 8.0\Keygen.exe"
15/10/2008 20:27 |Size 141824 |Crc32 17f110bf |Md5 03889ef47642cd101fd9f673d98a1140

"C:\Program Files\Vegas Pro\Vegas Pro 8.0\Vidcap Plug-Ins\Keygen.exe"
15/10/2008 20:27 |Size 141824 |Crc32 17f110bf |Md5 03889ef47642cd101fd9f673d98a1140


################## | ! Fin du rapport # UsbFix V6.059 ! |
0
Freatox
6 déc. 2009 à 12:32
PS : ça m'étonnerait pas que l'ordi de ma copine soit bien infecté aussi... :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 60
Utilisateur anonyme
6 déc. 2009 à 21:44
Le rapport de Malwarebytes n'est pas complet, pourras tu l'héberger sur ci joint.fr
0
Freatox
6 déc. 2009 à 21:48
J'ai oublié une partie? Je refais Ctrl+A, Ctrl+C, Ctrl+V, c'est tout? Ou il faut recommencer une manip', un scan?

Ps: Combofix me dit :
!! Warning !!
CD - emulation drivers are running on this machine. Combofix needs to temporarily disable them.

Je clique simplement OK et il va me les arrêter tout seul, les "CD - emulation drivers" ? Ou faut-il aller les arrêter manuellement?
0
Freatox > Freatox
6 déc. 2009 à 21:50
Ah oui, pardon, je vais l'héberger sur ci joint.fr, (j'imagine que la tailledu texte était trop long pour un message sur le forum, c'est ça?
Bref, je part l'héberger.J't'envoie le lien.
0
Freatox
6 déc. 2009 à 21:54
Voilà le rapport sur ci joint.fr:

http://www.cijoint.fr/cjlink.php?file=cj200912/cijmVIiKxU.txt

Je fais quoi pour Combofix?
0
Utilisateur anonyme > Freatox
6 déc. 2009 à 22:00
tu le fait car tu as rootkit TDSS qui doit être nettoyé
0
Freatox > Utilisateur anonyme
6 déc. 2009 à 22:05
Ah, Combofix m'affiche :

Ce PC ne dispose pas de la console de restauration Microsoft.

Sans celui-ci Combofix n'entreprendra pas la réparation de quelques lourdes Infections. Cliquez sur "oui" pour télécharger la console de restauration avec Combofix et l'installer.

NB : Pour cela, il faut une liaison Internet qui fonctionne.

Je clique : Oui ou Non?
0
Réponse 6 / 60
Utilisateur anonyme
6 déc. 2009 à 23:36
excuse moi, l'anglais et l'allemand, c'est pas mon fort
ressaye, et si ça marche pas, on essaiera autre chose
0
Freatox
6 déc. 2009 à 23:47
Je reessaye le RSIT et il me ré-affiche le même message à une seconde près du début du scan, message qui veut dire en anglais quelque chose comme :

Erreur : le Sous-script est utilisé avec la variable de non-matrice

ça te donne des indices?
0
Utilisateur anonyme > Freatox
6 déc. 2009 à 23:50
tu parts demain ?

Je ne sais pas pour RSIT

Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique drweb-cureit.exe et ensuite clique sur Analyse;

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
0
Freatox > Freatox
6 déc. 2009 à 23:52
autres traductions possibles (c'est pas toujours très français mais ça peut donner des indices) :

Ligne - 1 :

Erreur : Indice utilisé avec variable de non-tableau.

ou

Line - 1:

Erreur: Indice utilisé avec les non-Array variable.

ou

Ligne - 1 : Erreur : L'indice inférieur utilisé avec non-Rangent la variable.
0
Freatox > Utilisateur anonyme
6 déc. 2009 à 23:54
Je part Mardi à 4 h du matin. On peut considérer que je devrais plutôt me coucher demain soir max autour de 21h.
0
Utilisateur anonyme > Freatox
6 déc. 2009 à 23:56
essaye de faire dr Web
et demain dans la journée tu es disponible ?
0
Réponse 7 / 60
Utilisateur anonyme
7 déc. 2009 à 11:54
Bonjour
Es tu là en ce moment ?
0
Freatox
7 déc. 2009 à 13:24
Salut Nathandre,
Je suis là mainenant. J'ai pas réussi à me tenir très strictement à la procédure (il y avait des fois ou je ne pouvais pas choisir) Voici le rapport Combofix (il a tourné toute la nuit ) :


lebenesa.dll.tmp C:\WINDOWS\system32 Trojan.Virtumod.1666 Supprimé.
rudajeki.dll.tmp C:\WINDOWS\system32 Trojan.Virtumod.1666 Supprimé.
yejuhuwo.exe C:\WINDOWS\system32 Win32.HLLW.Facebook.105 Supprimé.
zezafape.dll.tmp C:\WINDOWS\system32 Trojan.Virtumod.1666 Supprimé.
ethioopi.sys C:\WINDOWS\system32\drivers Trojan.Spambot.4438 Supprimé.
ndis.sys C:\WINDOWS\system32\drivers BackDoor.Bulknet.417 Désinfecté.
00296640.FIL C:\$VAULT$.AVG Trojan.Packed.365 Irréparable.Quarantaine.
00489265.FIL C:\$VAULT$.AVG Trojan.Inject.209 Supprimé.
04286281.FIL C:\$VAULT$.AVG Trojan.DownLoader.50035 Supprimé.
04310031.FIL\is153654.exe C:\$VAULT$.AVG\04310031.FIL Trojan.Virtumod.based.11
04310031.FIL C:\$VAULT$.AVG L'archive contient des éléments infectés Quarantaine.
04636312.FIL C:\$VAULT$.AVG Win32.HLLW.Peerav Irréparable.Quarantaine.
04637046.FIL C:\$VAULT$.AVG Trojan.Favadd Supprimé.
05267359.FIL C:\$VAULT$.AVG Trojan.Packed.365 Irréparable.Quarantaine.
05944890.FIL C:\$VAULT$.AVG Trojan.Packed.365 Irréparable.Quarantaine.
05945140.FIL C:\$VAULT$.AVG Trojan.Packed.365 Irréparable.Quarantaine.
05945218.FIL C:\$VAULT$.AVG Trojan.Packed.365 Irréparable.Quarantaine.
05945250.FIL C:\$VAULT$.AVG BackDoor.Tdss.29 Supprimé.
05945609.FIL C:\$VAULT$.AVG BackDoor.Tdss.39 Supprimé.
05945671.FIL C:\$VAULT$.AVG Trojan.Packed.365 Irréparable.Quarantaine.
06101656.FIL C:\$VAULT$.AVG Trojan.Packed.365 Irréparable.Quarantaine.
08080218.FIL\keygen.exe C:\$VAULT$.AVG\08080218.FIL Trojan.Virtumod.240
08080218.FIL\patch.exe C:\$VAULT$.AVG\08080218.FIL Trojan.Mezzia.84
08080218.FIL\crack.exe C:\$VAULT$.AVG\08080218.FIL Trojan.DownLoader.49837
08080218.FIL\install.exe C:\$VAULT$.AVG\08080218.FIL Trojan.DownLoader.54163
08080218.FIL C:\$VAULT$.AVG L'archive contient des éléments infectés Quarantaine.
11364484.FIL C:\$VAULT$.AVG Trojan.Inject.209 Supprimé.
17994984.FIL C:\$VAULT$.AVG BackDoor.IRC.Rigen Supprimé.
18273437.FIL C:\$VAULT$.AVG BackDoor.IRC.Rigen Supprimé.
19883859.FIL C:\$VAULT$.AVG Win32.HLLW.Autoruner.origin Irréparable.Quarantaine.
21408203.FIL C:\$VAULT$.AVG Trojan.MulDrop.16296 Supprimé.
21444531.FIL C:\$VAULT$.AVG Trojan.MulDrop.16296 Supprimé.
21473781.FIL C:\$VAULT$.AVG Trojan.MulDrop.16296 Supprimé.
23834843.FIL C:\$VAULT$.AVG Win32.HLLW.Peerav Irréparable.Quarantaine.
47065359.FIL C:\$VAULT$.AVG Win32.HLLW.Peerav Irréparable.Quarantaine.
UsbFix.exe\Tools\Kill_P.exe C:\Dokumente und Einstellungen\your\Desktop\UsbFix.exe Tool.Prockill
UsbFix.exe C:\Dokumente und Einstellungen\your\Desktop L'archive contient des éléments infectés Quarantaine.
setup.exe\tm.exe C:\Dokumente und Einstellungen\your\Desktop\TOUs LES LOG & AUTRES\Ableton.Live.v6.0.5-AiR\setup.exe Trojan.Packed.650
setup.exe C:\Dokumente und Einstellungen\your\Desktop\TOUs LES LOG & AUTRES\Ableton.Live.v6.0.5-AiR L'archive contient des éléments infectés Quarantaine.
rbj9jn1n.bat.vir C:\Qoobox\Quarantine\C Trojan.MulDrop.31605 Supprimé.
a.exe.vir C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\your Trojan.Virtumod.1666 Supprimé.
dajufiwe.exe.vir C:\Qoobox\Quarantine\C\WINDOWS\system32 Trojan.Virtumod.1678 Supprimé.
soremeno.exe.vir C:\Qoobox\Quarantine\C\WINDOWS\system32 Trojan.Virtumod.1678 Supprimé.
yivozizi.exe.vir C:\Qoobox\Quarantine\C\WINDOWS\system32 Trojan.Virtumod.1678 Supprimé.
ndis.sys.vir C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers BackDoor.Bulknet.417 Désinfecté.
Kill_P.exe C:\UsbFix\Tools Tool.Prockill
chiCkie.exe C:\WINDOWS\inf Trojan.Chickie Supprimé.
0
Freatox
7 déc. 2009 à 14:25
Je te laisse me répondre quand tu passe, j'imagine qu'il reste plus qu'à voir ce qu'on pense du bilan et voir s'il reste des trucs à faire... Mais j'ai bien l'impression que c'est pratiquement fini, non?

Je repasse dans 1 ou 2 h.
A toute
0
Utilisateur anonyme > Freatox
7 déc. 2009 à 15:00
Pourrai tu me refaire un Hijackthis

c:\windows\system32\lebenesa.dll.tmp
c:\windows\system32\rudajeki.dll.tmp
c:\windows\system32\yejuhuwo.exe
c:\windows\system32\zezafape.dll.tmp
c:\windows\S6E8C5DEE.tmp


pourrai tu m'analyser ces fichiers sur Virus Total
0
Freatox > Utilisateur anonyme
7 déc. 2009 à 16:51
Oui je veux bien. Qu'est-ce que tu entends par Virus Total, C'est un logiciel qu'il faut que je cherche et télécharge (car je l'ai pas je pense)?

En tout cas, je te renvoie un Hijackthis, juste le temps de le faire ;)
0
Freatox > Utilisateur anonyme
7 déc. 2009 à 16:52
ça y est j'ai cherché et j'ai trouvé Virus Total, j'envoie les fichiers demandés sur le site et te dis le rapport.
0
Réponse 8 / 60
Freatox
31 mars 2010 à 21:24
Salut Nathandre,

Après avoir parlé avec toi longtemps et t'avoir demandé de l'aide pour un trojan Crypt.XPACK.Gen puis un trojan Dropper, je reviens vers toi pour te demander de l'aide :
J'ai de nouveau une alerte qui m'indique que j'ai re-chopé (ou gardé) un trojan TR/Crypt.XPACK.Gen ! ! !

Je me demande comment j'ai encore chopé ce genre de virus, quels moyens pour savoir quels sites ne pas fréquenter et de quels sites ne pas télécharger de fichiers?

Dois-je de nouveau suivre tes conseils ultérieurs (je veux dire, tous ceux de ce forum depuis le début) ou attendre ta réponse?

Merci beaucoup
0
Freatox
31 mars 2010 à 21:25
Voici un Hijackthis de mon ordinateur actuel :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:46, on 31.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478d38-c3f9-4efb-9b51-7695eca05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOKUME~1\your\LOKALE~1\Temp\herss.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: mit image converter 3 übertragen - C:\PROGRAMME\SONY\IMAGE CONVERTER 3\menu.htm
O9 - Extra button: (no name) - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08b0e5c0-4fcb-11cf-aaa5-00401c608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [java_sun] Java (Sun)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Avira AntiVir Planificateur (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe (file missing)
O23 - Service: AVG E-mail Scanner (AVGEMS) - Unknown owner - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Image Converter SCSI Service (ICScsiSV) - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\ICScsiSV.exe
O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Programme\Sony\IMAGE CONVERTER 3\IcVzMon.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
0
Réponse 9 / 60
Utilisateur anonyme
31 mars 2010 à 21:34
bonsoir
on va faire un examen plus approfondi
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
0
Réponse 10 / 60
Freatox
1 avril 2010 à 21:59
Salut,

J'ai bien suivi tes indications. Ceci dit, mon ordinateur bugge et rame encore plus depuis que j'ai téléchargé ce logiciel.

Voici le lien cijoint.fr pour voir le rapport (je n'ai pas réussi à te l'envoyer en copié-collé et le fichier Zhp original n'a pas été accepté par le site web hébergeur de fichiers).

le lien pour le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201004/cijipqQ85V.txt

Merci encore.
0
Réponse 11 / 60
Utilisateur anonyme
1 avril 2010 à 22:17
Tu as probablement un rootkit TDSS dans ton PC
Attention, avant de commencer, lit attentivement la procédure, et imprime la

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
Réponse 12 / 60
Freatox
1 avril 2010 à 22:57
Est-ce que tu pourrais m'expliquer comment installer la console de récupération sur mon PC, stp? J'ai cherché sur internet des moyens de l'installer, mais tout ne colle pas avec tes indications pour Combofix.

Merci
0
Freatox
1 avril 2010 à 23:06
Excuse moi, j'ai compris que sur le site de téléchargement de combofix il y avait toutes les explications nécessaires. Je me laisse donc guider par ce que me dis Combofix lors de l'installation et du scan.
C'est parti je ferme tout et j'envoie le scan.
0
Réponse 13 / 60
Freatox
1 avril 2010 à 23:36
Voici le rapport Combofix :
ComboFix 10-03-29.04 - your 01.04.2010 23:09:52.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1023.694 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\your\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\your\LOKALE~1\Temp\cvasds0.dll
c:\dokume~1\your\LOKALE~1\Temp\cvasds1.dll
c:\dokume~1\your\LOKALE~1\Temp\herss.exe
C:\ey.exe
C:\fk.exe
C:\ji83j.exe
C:\qkm.exe
C:\Thumbs.db

.
((((((((((((((((((((((( Dateien erstellt von 2010-03-01 bis 2010-04-01 ))))))))))))))))))))))))))))))
.

2010-04-01 19:18 . 2010-04-01 19:19 -------- d-----w- c:\programme\ZHPDiag
2010-03-31 08:05 . 2010-03-31 08:05 20841968 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\rp\RealPlayerSPGold.exe
2010-03-31 08:04 . 2010-03-31 08:05 8405312 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\gtb\GOOGLE_TOOLBAR\GoogleToolbarInstaller.exe
2010-03-31 08:04 . 2010-03-31 08:04 149000 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\chr_helper\LaunchHelper.exe
2010-03-31 08:04 . 2010-03-31 08:04 10309448 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\chr\ChromeInstaller.exe
2010-03-31 08:04 . 2010-03-31 08:04 79368 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\RUP\vista.exe
2010-03-31 08:04 . 2010-03-31 08:04 64000 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\RUP\inst_config\gcapi_dll.dll
2010-03-31 08:04 . 2010-03-31 08:04 52288 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\RUP\inst_config\gtapi.dll
2010-03-31 08:04 . 2010-03-31 08:04 50688 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\RUP\inst_config\fftbapi.dll
2010-03-31 08:04 . 2010-03-31 08:04 49152 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\RUP\inst_config\CarboniteCompatibility.dll
2010-03-31 08:04 . 2010-03-31 08:04 118784 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\RUP\inst_config\compat.dll
2010-03-26 15:10 . 2010-03-26 15:10 135680 -csh--r- C:\affi8l.exe
2010-03-24 20:49 . 2010-03-24 20:49 -------- d-----w- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-03-24 20:49 . 2010-03-24 20:49 -------- d-----w- c:\programme\DVDVideoSoft
2010-03-24 20:40 . 2010-03-24 20:41 -------- d-----w- c:\dokumente und einstellungen\your\Anwendungsdaten\NCH Software
2010-03-24 14:40 . 2010-03-25 17:59 135168 -csh--r- C:\bbjl2g.exe
2010-03-16 21:12 . 2010-03-16 21:12 133632 -csh--r- C:\ggpw.exe
2010-03-15 15:45 . 2010-03-15 15:45 119808 -csh--r- C:\y6cqb2is.exe
2010-03-12 20:35 . 2010-03-12 20:34 118272 -csh--r- C:\3dcs9.exe
2010-03-12 10:50 . 2010-03-22 12:55 439816 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Real\Update\setup3.10\setup.exe
2010-03-04 21:31 . 2010-03-04 21:31 -------- d-----w- c:\programme\ASIO4ALL v2
2010-03-04 21:30 . 2010-03-04 21:30 -------- d-----w- c:\programme\Outsim
2010-03-04 21:28 . 2010-03-04 21:31 -------- d-----w- c:\programme\Image-Line

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-01 20:48 . 2006-02-28 12:00 49198 ----a-w- c:\windows\system32\perfc007.dat
2010-04-01 20:48 . 2006-02-28 12:00 319828 ----a-w- c:\windows\system32\perfh007.dat
2010-03-31 19:24 . 2009-12-05 22:05 -------- d-----w- c:\programme\Trend Micro
2010-03-26 15:13 . 2009-09-29 11:07 1 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-03-24 20:40 . 2008-11-08 21:52 -------- d-----w- c:\programme\NCH Software
2010-03-23 22:21 . 2007-01-25 15:07 237648 ----a-w- c:\dokumente und einstellungen\your\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-03-09 00:35 . 2010-03-09 00:35 -------- d-----w- c:\windows\Fonts\Truetype
2010-03-09 00:35 . 2010-03-09 00:35 -------- d-----w- c:\windows\Fonts\Postscript
2010-03-09 00:32 . 2010-03-09 00:32 -------- d-----w- c:\windows\Fonts\giconf
2010-03-09 00:32 . 2010-03-09 00:32 -------- d-----w- c:\windows\Fonts\gastroin
2010-03-09 00:31 . 2010-03-09 00:31 -------- d-----w- c:\windows\Fonts\ExiUL-OT
2010-03-09 00:31 . 2010-03-09 00:31 -------- d-----w- c:\windows\Fonts\ExiSL-OT
2010-03-09 00:31 . 2010-03-09 00:31 -------- d-----w- c:\windows\Fonts\ExiL-TT
2010-03-09 00:31 . 2010-03-09 00:31 -------- d-----w- c:\windows\Fonts\ExiL-T1
2010-03-09 00:30 . 2010-03-09 00:30 -------- d-----w- c:\windows\Fonts\ExiL-OT
2010-03-08 19:25 . 2010-02-04 10:43 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2010-03-06 20:36 . 2007-01-27 17:17 -------- d-----w- c:\dokumente und einstellungen\your\Anwendungsdaten\dvdcss
2010-02-16 14:21 . 2010-02-16 14:21 110067182 -c--a-w- C:\Sauv.reg
2010-02-04 10:43 . 2010-02-04 10:43 -------- d-----w- c:\programme\Yahoo!
2010-01-17 17:40 . 2010-01-17 17:40 233472 ----a-w- c:\windows\system32\REX Shared Library.dll
2010-01-17 16:56 . 2007-05-15 00:45 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-01-05 11:49 . 2010-01-05 11:49 152576 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-05 11:48 . 2010-01-05 11:48 79488 ----a-w- c:\dokumente und einstellungen\your\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2007-06-09 12:21 . 2007-06-09 12:21 1806232 ----a-w- c:\programme\daemon4091-x86.exe
2008-02-13 16:49 . 2008-02-13 16:46 24 -csh--w- c:\windows\S6E8C5DEE.tmp
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Pro Agent"="c:\programme\DAEMON Tools Pro\DTProAgent.exe" [2009-12-18 427328]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Version Cue CS2"="c:\programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 856064]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-08 185896]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

c:\dokumente und einstellungen\your\Startmen \Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\dokumente und einstellungen\All Users\Startmen \Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 1 (0x1)
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Gemeinsame Dateien\\LogiShrd\\LVCOMSER\\LVComSer.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 antivirschedulerservice;Avira AntiVir Planificateur;c:\programme\Avira\AntiVir Desktop\sched.exe [06.06.2009 12:31 108289]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [11.06.2007 23:31 33792]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [15.05.2007 02:45 691696]
S1 ecb15476;ecb15476;c:\windows\system32\drivers\ecb15476.sys [07.05.2009 01:07 0]
S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\Drivers\Ca533av.sys --> c:\windows\system32\Drivers\Ca533av.sys [?]
S3 ICScsiSV;Image Converter SCSI Service;c:\programme\Sony\IMAGE CONVERTER 3\ICScsiSV.exe [27.10.2007 14:22 75952]
S3 IcVzMonLauncher;IcVzMonLauncher;c:\programme\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe [27.10.2007 14:22 67760]
S3 tenCapture;tenCapture;c:\windows\system32\drivers\tenCapture.sys [21.04.2007 16:15 9344]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: mit image converter 3 übertragen - c:\programme\SONY\IMAGE CONVERTER 3\menu.htm
FF - ProfilePath - c:\dokumente und einstellungen\your\Anwendungsdaten\Mozilla\Firefox\Profiles\ll7d0gfg.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - component: c:\dokumente und einstellungen\your\Anwendungsdaten\Mozilla\Firefox\Profiles\ll7d0gfg.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-01 23:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-515967899-688789844-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{ECBB0CE0-F062-60AD-8245-C22B7EC8910D}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-04-01 23:17:26
ComboFix-quarantined-files.txt 2010-04-01 21:17

Vor Suchlauf: 17 Verzeichnis(se), 56.835.788.800 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 57.026.662.400 Bytes frei

- - End Of File - - 3438C578E030007BA1939DD2FD2567E6
0
Réponse 14 / 60
Utilisateur anonyme
1 avril 2010 à 23:41
y'a des cochonneries dans ton PC
il est en allemand ton PC ?
Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme
Télécharge Gmer http://www.gmer.net/
* Clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
0
Réponse 15 / 60
freatox
Modifié par freatox le 18/04/2010 à 13:37
Bonjour,
excuse moi du retard j'ai pas été devant mon ordi depuis un certain temps...

J'avai déjà téléchargé gmer la dernière fois (en décembre 2009), il est souvent mis à jour selon les nouveaux virus ou je peux utiliser la version que j'ai téléchargé en décembre 2009?

Et oui, j'ai acheté mon PC en allemagne...

ps : je vais plus m'appeler freatox mais sodium dans les prochains messages, pour info. ;)
0
Réponse 16 / 60
Utilisateur anonyme
18 avril 2010 à 14:20
Bonjour Sodium, alors
Ce serai préférable de télécharger la toute dernière version
0
Réponse 17 / 60
Sodium
23 avril 2010 à 19:16
Salut Nathandre,

J'ai téléchargé la dernière version mais mon PC bugge à chaque fois qu'il faut enregistrer le rapport. Il m'a planté le PC la première fois et à la deuxième, avec beaucoup de patience, il n'a pas buggé...

QUe faire? Réessayer?
0
Réponse 18 / 60
Utilisateur anonyme
23 avril 2010 à 21:43
bonjour Sodium
Avais tu désactivé tous les logiciels de sécurité ?
0
Réponse 19 / 60
Sodium
24 avril 2010 à 17:17
Salut,

Justement, j'ai bien fait attention de tout éteindre et désactiver avant de lancer le programme.
0
Réponse 20 / 60
Utilisateur anonyme
24 avril 2010 à 17:30
Bonjour
Par précaution, sauvegarde tes documents et imprime la procédure

Redémarre ton PC en mode sans échec
Après le chargement du BIOS, et avant le chargement de Windows,
appuie sur la touche f8, ou f5, puis appuie sur la touche entrée
Sélectionne mode sans échec, puis appuie sur la touche entrée
Tu n'auras pas accès à internet
Les icônes sur le bureau sont grosses, c'est normal

Relance Gmer

décoche IAT/EAT -modules -processes-treads-librairie -services et registry
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
0
Sodium
1 mai 2010 à 13:15
Salut,

Alors saurais-tu que faire?
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
TR/Crypt.XPACK.Gen Trojan
Mordan33 -
Utilisateur anonyme -

63 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses