Sujet Précédent Sujet Suivant

Aide virus anna i liebe chxnxyx winrun autoru

Résolu/Fermé
thomasgal - 13 mai 2010 à 15:19
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 - 20 mai 2010 à 23:10
bonjour
il semble que j'ai beaucoupo de virus sur mon ordi je n'arrive pas a les enlever


la zone de quarantaine de avast est pleine

suite a des sujet j'ai telecharger hijackthis et lancé un scan
avant j'ai tué des wscript dans les processus (ils semblaient trop nombreux pour etre honnete)

voici le log

quelqu'un peut il m'aider

merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:11:05, on 13/05/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Pascale\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = // ;) anna I Liebe YOU ==> MILK@3|_!!!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [winrun.dll] C:\WINDOWS\winrun.dll.vbs
O4 - HKLM\..\Run: [officescan] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\officescan.vbs
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Pascale\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [nod32] C:\DOCUME~1\Pascale\LOCALS~1\Temp\nodqq.exe
O4 - HKCU\..\Run: [dso32] C:\DOCUME~1\Pascale\LOCALS~1\Temp\dsoqq.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Pascale\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - Global Startup: officescan.vbs
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:

44 réponses

Précédent
Réponse 21 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
19 mai 2010 à 15:26
bonjour ton DD est bien infecté, il faut le rebrancher sur un pc équipé Windows afin de le désinfecter a l'aide d'usbfix

voici ou tu pourras a l'avenir analyser les fichiers qui te sembles douteux, il utilise plusieurs bases virales différentes afin de pouvoir répondre a tes questions.

Poste dés que tu le peux le rapport d'usbix option 1 (recherche) afin de nettoyer ton disque dure.
0
Réponse 22 / 44
thomasgal
19 mai 2010 à 15:35
Bon en fait j'ai tout enlevé (les autorun)

j'ai aussi enlevé les system volumes informations (pour pas de restauration)

il y a certains dossier vide que je n'arrive pas a supprimer

mais je vais brancher les dd sur un pc portable probablement infecter aussi

telecharger usbfix, faire unscan et poster le rapport, sauf contre odre ?

desolé de revenir avec de nouveau probleme alors que la fin semblait proche.

merci
0
Réponse 23 / 44
thomasgal
19 mai 2010 à 15:36
je viens de voir votre reponse mon dernier post ne sert donc a rien
0
Réponse 24 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
Modifié par marc1301 le 20/05/2010 à 00:06
pas de soucis, je suis dispo ;-)

________________________________________________________________

Division du poste en deux nous attaquons "Pc numeros 2"


Oui, on va recommencer pour le portable infecté avec tout tes DD externes et tes cles usb (enfin, on va contrôler ;-)


https://forums.commentcamarche.net/forum/affich-17715887-aide-virus-anna-i-liebe-chxnxyx-winrun-autoru#1
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 44
thomasgal
19 mai 2010 à 22:09
voici le rapport de usbfix option 1 pour les nouveau DD il y en a 3 plus l'ordi

############################## | UsbFix V6.114 |

User : Cécile () # CILOU
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:04:03 | 19/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16916
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1296 [VPS 090318-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 108,06 Go (43,45 Go free) [SYSTEM] # NTFS
D:\ -> Disque fixe local # 289,8 Go (131,76 Go free) [CILOU] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [U3 System] # CDFS
H:\ -> Disque fixe local # 298,02 Go (571,41 Mo free) [CILOUPETIT] # FAT32
I:\ -> Disque amovible # 3,71 Go (1,75 Go free) [CILOUTO2] # FAT32

################## | Elements infectieux |

C:\Users\CCILE~1\AppData\Local\Temp\ytb.exe
C:\Driver\Desktop.ini
C:\driver
D:\RECYCLER32
D:\SEVERINA
G:\autorun.inf
H:\RECYCLER32
H:\SEVERINA
I:\RECYCLER32\desktop.ini
I:\RECYCLER32\dmgr.exe
I:\RECYCLER32

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\D
shell\AutoRun\command =D:\q3kku.exe
shell\open\Command =D:\q3kku.exe

HKCU\..\..\Explorer\MountPoints2\F
shell\AutoRun\command =F:\wd_windows_tools\setup.exe

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =G:\wd_windows_tools\setup.exe

HKCU\..\..\Explorer\MountPoints2\{1e87aa33-c424-11dc-af48-001636e61453}
shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{2b94dbba-e6d4-11de-880e-001636e61453}
shell\AutoRun\command =D:\
shell\open\command =RECYCLER32\dmgr.exe

HKCU\..\..\Explorer\MountPoints2\{4b02c729-9ce5-11dc-b162-001636e61453}
shell\AutoRun\command =F:\AutoTransfer.exe

HKCU\..\..\Explorer\MountPoints2\{55aeaee8-fffe-11db-958f-001636e61453}
shell\AutoRun\command =G:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{8a29cb2f-3496-11dc-a943-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{917185c2-fccd-11de-9d26-001636e61453}
shell\AutoRun\command =G:\cs6phv6d.exe
shell\open\Command =G:\cs6phv6d.exe

HKCU\..\..\Explorer\MountPoints2\{a6764e22-f419-11db-89f9-001636e61453}
shell\AutoRun\command =D:\RECYCLER32\dmgr.exe
shell\open\command =D:\RECYCLER32\dmgr.exe

HKCU\..\..\Explorer\MountPoints2\{ac1ba01a-d7e2-11dc-9701-001636e61453}
shell\AutoRun\command =G:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{dff2f6ff-79ae-11dc-bb3e-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{ee15251f-99c1-11dc-80a8-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe maskrider.dll.vbs

HKCU\..\..\Explorer\MountPoints2\{f0ebea2d-e2e4-11dc-9449-001636e61453}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.114 ! |
0
Réponse 26 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
19 mai 2010 à 22:25
bonsoir, le rapport est bien chargé en infections, je pense que la source viens bien de ce pc et tu as du infecter l'autre par le biais de tes supports externe.

donc on va supprimer et ensuite on contrôlera qu'il n'y ai pas d'autres infections a l'aide de zhpdiag.

donc tu connais la manip ;-) (lol)


https://forums.commentcamarche.net/forum/affich-17715887-aide-virus-anna-i-liebe-chxnxyx-winrun-autoru#4
0
Réponse 27 / 44
thomasgal
19 mai 2010 à 23:24
ok voici usbfix manip 2
j'ai uploadé le fichier

voici le rapport

je pense faire zhpdiag demain matin

merci a demain

############################## | UsbFix V6.114 |

User : Cécile () # CILOU
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 22:42:48 | 19/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1296 [VPS 090318-0] 4.8.1296 [ Enabled | Updated ]

C:\ -> Disque fixe local # 108,06 Go (43,65 Go free) [SYSTEM] # NTFS
D:\ -> Disque fixe local # 289,8 Go (131,76 Go free) [CILOU] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [U3 System] # CDFS
H:\ -> Disque fixe local # 298,02 Go (571,41 Mo free) [CILOUPETIT] # FAT32
I:\ -> Disque amovible # 3,71 Go (1,75 Go free) [CILOUTO2] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pyl2CD9.tmp.exe
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pylA6BA.tmp.exe
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pylB598.tmp.exe
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\pylEE25.tmp.exe
Supprimé ! C:\Users\CCILE~1\AppData\Local\Temp\ytb.exe
Supprimé ! C:\Driver\Desktop.ini
Supprimé ! C:\driver
Supprimé ! C:\$Recycle.Bin\S-1-5-21-1382937768-4149364846-1490369287-1000
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2152478756-3922319563-605102323-500
Supprimé ! C:\$Recycle.Bin\S-1-5-21-3039551642-2154476523-1944139931-500
Supprimé ! D:\RECYCLER32
Supprimé ! D:\SEVERINA
Supprimé ! H:\RECYCLER32
Supprimé ! H:\SEVERINA
Supprimé ! I:\RECYCLER32\desktop.ini
Supprimé ! I:\RECYCLER32\dmgr.exe
Supprimé ! I:\RECYCLER32

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{1e87aa33-c424-11dc-af48-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2b94dbba-e6d4-11de-880e-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4b02c729-9ce5-11dc-b162-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{55aeaee8-fffe-11db-958f-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{8a29cb2f-3496-11dc-a943-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{917185c2-fccd-11de-9d26-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a6764e22-f419-11db-89f9-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ac1ba01a-d7e2-11dc-9701-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{dff2f6ff-79ae-11dc-bb3e-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ee15251f-99c1-11dc-80a8-001636e61453}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{f0ebea2d-e2e4-11dc-9449-001636e61453}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[06/12/2006 10:23|--a------|15] C:\appinst.cmd
[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[02/11/2006 11:53|-rahs----|438840] C:\bootmgr
[21/02/2007 10:30|-ra-s----|8192] C:\BOOTSECT.BAK
[18/09/2006 23:43|--a------|10] C:\config.sys
[21/02/2007 11:36|-rahs----|0] C:\IO.SYS
[21/02/2007 11:36|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[21/02/2007 10:32|--a------|1178] C:\Prodlog.txt
[12/05/2007 12:06|--a------|90] C:\Setup.log
[09/11/2006 16:05|--a------|42] C:\sort-d.txt
[19/05/2010 23:18|--a------|3804] C:\UsbFix.txt
[14/11/2006 09:42|--a------|15] C:\vtype.cmd
[28/11/2009 11:05|--ah-----|4096] D:\._.Trashes
[28/11/2009 18:41|--ah-----|4096] D:\._Monaghan_Science2006_more.pdf
[10/04/2009 18:04|--ah-----|0] D:\.com.apple.timemachine.supported
[27/11/2009 22:44|--ah-----|6148] D:\.DS_Store
[16/10/2009 20:18|--ah-----|393216] D:\.hotfiles.btree
[29/11/2009 14:47|--ah-----|4096] D:\._.hotfiles.btree
[08/01/2008 12:34|--a------|664877056] D:\Gad Elmaleh - La vie normale.avi
[11/02/2010 16:19|--a------|5700] D:\R'ponseChristophe-11-Fev-2010.rtf
[02/01/2007 12:18|--a------|632639488] D:\Laurel and Hardy Bonnie Scotland 1935.avi
[01/02/2009 17:32|--a------|733689856] D:\Mesrine L'Ennemi Public Numero 1 (Partie 2).avi
[06/02/2009 17:44|--a------|733714432] D:\Mesrine L'Instinct De Mort (Partie 1).avi
[23/03/2010 16:12|--ah-----|4096] D:\._.TemporaryItems
[04/12/2009 19:52|--a------|3418] H:\3_Decembre.rtf
[04/12/2009 19:55|--ah-----|4096] H:\._3_Decembre.rtf
[07/12/2009 07:14|--a------|6409] H:\Astrolabe.rtf
[07/12/2009 07:17|--ah-----|4096] H:\._Astrolabe.rtf
[27/12/2009 20:40|--ah-----|4096] H:\._.Trashes
[16/02/2010 20:07|--a------|490] H:\BackPackHobart.txt
[18/01/2010 11:29|--ah-----|4096] H:\._.TemporaryItems
[03/12/2009 22:27|--a------|1590] H:\SkyFile.lnk
[27/12/2009 09:56|--a------|9421312] H:\Bkant10(glace bleue).XLS
[29/08/2007 17:07|--ah-----|82] I:\._nouv.tex
[23/03/2008 20:45|--ah-----|4096] I:\._le-monde-selon-monsanto-arte_1500.wmv
[13/02/2006 21:09|-ra------|921600] I:\LaunchU3.exe
[02/04/2008 21:36|--ah-----|82] I:\._anatole.rtf
[02/04/2008 21:51|--ah-----|1420] I:\._anatole-t.rtf
[19/05/2010 22:32|--a------|3260] I:\BOOTEX.LOG
[11/02/2009 22:45|--ah-----|4096] I:\._.Trashes

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_Cilou.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.114 ! |
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
19 mai 2010 à 23:32
ok, la suppression c'est bien passée.

Merci, pour l'upload ;-)

maintenant poste un rapport zhpDiag stp afin de contrôler que d'autres intrus n'en ont pas profiter pour s'introduire sur ton pc.
0
Réponse 28 / 44
thomasgal
20 mai 2010 à 09:28
voici le .txt de zhp diag

http://www.cijoint.fr/cjlink.php?file=cj201005/cijerLx6AV.txt
0
Réponse 29 / 44
thomasgal
20 mai 2010 à 09:39
par contre il y a quelque chose que je ne comprends pas
je ne vois que 2 support externe alors que j'en ai 3 2 dd et une cle usb

l'un est il manquant ? (le I est écrit not inserted alors qu'il devrait l'etre)

merci
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
20 mai 2010 à 09:54
bonjour, non pas de soucis, ils sont tous présents et ont tous étés explorés

C:\ -> Disque fixe local # 108,06 Go (43,45 Go free) [SYSTEM] # NTFS (dd pc)

D:\ -> Disque fixe local # 289,8 Go (131,76 Go free) [CILOU] # FAT32 (dd externe)
H:\ -> Disque fixe local # 298,02 Go (571,41 Mo free) [CILOUPETIT] # FAT32 (dd externe)
I:\ -> Disque amovible # 3,71 Go (1,75 Go free) [CILOUTO2] # FAT32 ( clé usb)


je regarde ton rapport zhp et je te tiens informé.
0
Réponse 30 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
Modifié par marc1301 le 20/05/2010 à 10:08
ok, ton pc portable est très infecté, tu as plusieurs infections sévères, certains fichiers systeme ont étés patchés, on continus





Télécharge de AD-Remover de Cyrildu17 / C_XX) sur ton Bureau.

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

/!\ Déconnecte-toi et ferme toutes applications en cours /!\

- Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program files).
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Au menu principal, choisis l'option "A".
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(date).log)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Note :

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 31 / 44
thomasgal
20 mai 2010 à 10:33
Il n'y avait pas d'option A mais choix entre scanner et autre donc j'ai fait scanner

voici le rapport

Les problemes sur cette ordi sont plus grave ?

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:12:38 le 20/05/2010 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) Édition Familiale Premium ( - X86)
Nom du PC: CILOU (FUJITSU SIEMENS Amilo Si 1520)
Utilisateur actuel: Cécile
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
C:\Program Files\EoRezo
C:\Program Files\ShoppingReport
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EoRezo
C:\Users\Cécile\AppData\LocalLow\ShoppingReport
C:\Users\Cécile\AppData\Roaming\EoRezo
C:\Users\Cécile\AppData\Roaming\ItsLabel
.
HKCU\Software\AppDataLow\Software\ShoppingReport
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}
HKCU\Software\ShoppingReport
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\shoppingreport.hbax
HKLM\Software\Classes\shoppingreport.hbax.1
HKLM\Software\Classes\shoppingreport.hbinfoband
HKLM\Software\Classes\shoppingreport.hbinfoband.1
HKLM\Software\Classes\shoppingreport.iebutton
HKLM\Software\Classes\shoppingreport.iebutton.1
HKLM\Software\Classes\shoppingreport.iebuttona
HKLM\Software\Classes\shoppingreport.iebuttona.1
HKLM\Software\Classes\shoppingreport.rprtctrl
HKLM\Software\Classes\shoppingreport.rprtctrl.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2}
HKLM\Software\Classes\TypeLib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF}
HKLM\Software\EoRezo
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\ShoppingReport
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.12 (fr) *
.
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.dir: C:\\Users\\Cécile\\Documents\\Thèse LGGE\\Carottes courtes
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.lastDir: C:\\Users\\Cécile\\Desktop\\Vacations\\Stat-Carto_L2\\2009-2010\\TD5\\Elèves
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaultenginename: Yahoo
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaulturl: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.selectedEngine: DAEMON Search
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.12
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - keyword.URL: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
.
.
* Internet Explorer Version 7.0.6000.17037 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://g.msn.fr/0SEFRFR/SAOS02
Search Page: hxxp://home.microsoft.com/access/allinone.asp
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: hxxp://lo.st
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 1 Fichier(s)
.
C:\Ad-Report-SCAN[1].txt - 4556 Octet(s)
.
Fin à: 10:23:06, 20/05/2010
.
============== E.O.F - SCAN[1] ==============
0
Réponse 32 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
20 mai 2010 à 10:47
oui pardon, je me suis trompé ;-)

voici pour lancer la suppression



/!\ Déconnecte-toi et ferme toutes applications en cours /!\


Double-clique sur AD-Remover pour le lancer : au menu principal, choisis l'option f pour la langue.

lit l'avertissement et accepte

Puis choisis Nettoyer , le programme va travailler.

Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.log)

/!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide) /!\

Note :

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)
0
Réponse 33 / 44
thomasgal
20 mai 2010 à 11:07
voici le rapport du clean

merci du temps passé pour mon ordi



.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:49:36 le 20/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) Édition Familiale Premium ( - X86)
Nom du PC: CILOU (FUJITSU SIEMENS Amilo Si 1520)
Utilisateur actuel: Cécile
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\EoRezo
C:\Program Files\ShoppingReport
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EoRezo
C:\Users\Cécile\AppData\LocalLow\ShoppingReport
C:\Users\Cécile\AppData\Roaming\EoRezo
C:\Users\Cécile\AppData\Roaming\ItsLabel

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\Software\ShoppingReport
HKCU\Software\EoRezo
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B2}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C5428486-50A0-4A02-9D20-520B59A9F9B3}
HKCU\Software\ShoppingReport
HKLM\Software\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Classes\EoRezoBHO.EoBho
HKLM\Software\Classes\EoRezoBHO.EoBho.1
HKLM\Software\Classes\Interface\{8AD9AD05-36BE-4E40-BA62-5422EB0D02FB}
HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\shoppingreport.hbax
HKLM\Software\Classes\shoppingreport.hbax.1
HKLM\Software\Classes\shoppingreport.hbinfoband
HKLM\Software\Classes\shoppingreport.hbinfoband.1
HKLM\Software\Classes\shoppingreport.iebutton
HKLM\Software\Classes\shoppingreport.iebutton.1
HKLM\Software\Classes\shoppingreport.iebuttona
HKLM\Software\Classes\shoppingreport.iebuttona.1
HKLM\Software\Classes\shoppingreport.rprtctrl
HKLM\Software\Classes\shoppingreport.rprtctrl.1
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Classes\TypeLib\{CDCA70D8-C6A6-49EE-9BED-7429D6C477A2}
HKLM\Software\Classes\TypeLib\{D136987F-E1C4-4CCC-A220-893DF03EC5DF}
HKLM\Software\EoRezo
HKLM\Software\ItsLabel
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\eoEngine_is1
HKLM\Software\ShoppingReport
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.12 (fr) *
.
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.dir: C:\\Users\\Cécile\\Documents\\Thèse LGGE\\Carottes courtes
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.download.lastDir: C:\\Users\\Cécile\\Desktop\\Vacations\\Stat-Carto_L2\\2009-2010\\TD5\\Elèves
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaultenginename: Yahoo
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.defaulturl: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.search.selectedEngine: DAEMON Search
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr/
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.12
C:\Users\Cécile\..\o87ui4fo.default\prefs.js - keyword.URL: hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
.
.
* Internet Explorer Version 7.0.6000.17037 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 46 Fichier(s)
C:\Ad-Remover\Backup: 17 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 4782 Octet(s)
C:\Ad-Report-SCAN[1].txt - 4680 Octet(s)
.
Fin à: 10:58:01, 20/05/2010
.
============== E.O.F - CLEAN[1] ==============
0
Réponse 34 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
20 mai 2010 à 11:28
tu me remerciera quand se seras fini ;-))

bon, on va attaquer la vilaine grosse bête

I) désactiver l' UAC


* Sous Vista : ? Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

* Clique sur Démarrer puis sur panneau de configuration
* Double Clique sur l'icône "Comptes d'utilisateurs"
* Clique ensuite sur désactiver et valide.
* Redémarre le PC


-----------------------------------------


II) Combofix



Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


tutoriel combofix ( a lire avant d'exécuter l'outil )

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com


Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :


? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


? Effectue un clique droit sur l'icône de Combofix.exe puis exécuter en tant qu'administrateur afin de lancer l'outil.


? L'installation de la console de récupération va t'être proposé, accepte et installe la console de récupération de Windows

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scanne il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
Réponse 35 / 44
thomasgal
20 mai 2010 à 12:00
combo fixe me dit que avast tourne sur mon ordi mais je ne le vois pas dans mes programmes ni dans les processus actifs
je continue ou pas ?
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
20 mai 2010 à 12:06
si tu l'as désactivé, continues,
0
Réponse 36 / 44
thomasgal
20 mai 2010 à 12:36
et voici pour combo fix

ComboFix 10-05-19.02 - Cécile 20/05/2010 12:15:06.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6000.0.1252.33.1036.18.2038.1290 [GMT 2:00]
Lancé depuis: c:\users\Cécile\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090318-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: avast! antivirus 4.8.1296 [VPS 090318-0] *enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
SP: Spyware Doctor *disabled* (Updated) {1C3EDD79-273E-46ac-99F8-EFA9E7CBC301}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\\setup.exe
c:\program files\QUAD Utilities
c:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
c:\program files\Setup.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-20 au 2010-05-20 ))))))))))))))))))))))))))))))))))))
.

2010-05-20 08:05 . 2010-05-20 08:57 -------- d-----w- C:\Ad-Remover
2010-05-20 07:19 . 2010-05-20 07:24 -------- d-----w- c:\program files\ZHPDiag
2010-05-20 01:12 . 2010-02-12 10:49 293376 ----a-w- c:\windows\system32\browserchoice.exe
2010-05-19 21:18 . 2010-05-19 21:18 370459 ----a-w- C:\UsbFix_Upload_Me_Cilou.zip
2010-05-19 20:03 . 2010-05-19 21:18 -------- d-----w- C:\UsbFix
2010-05-19 14:35 . 2010-05-19 14:35 653576 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2010-05-19 13:58 . 2010-02-23 13:14 211968 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2010-05-19 13:58 . 2010-02-23 13:14 58368 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys
2010-05-19 13:58 . 2010-02-23 13:14 102400 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-05-19 13:58 . 2010-02-18 14:34 3504008 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-05-19 13:58 . 2010-02-18 14:34 3470216 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-05-19 13:58 . 2010-03-04 19:24 434176 ----a-w- c:\windows\system32\vbscript.dll
2010-05-19 13:50 . 2010-01-13 18:23 97792 ----a-w- c:\windows\system32\cabview.dll
2010-05-19 13:49 . 2009-12-23 12:45 171520 ----a-w- c:\windows\system32\wintrust.dll
2010-05-19 13:13 . 2008-07-27 18:00 96760 ----a-w- c:\windows\system32\dfshim.dll
2010-05-19 13:13 . 2008-07-27 18:00 282112 ----a-w- c:\windows\system32\mscoree.dll
2010-05-19 13:13 . 2008-07-27 18:00 41984 ----a-w- c:\windows\system32\netfxperf.dll
2010-05-19 13:12 . 2008-07-27 18:00 158720 ----a-w- c:\windows\system32\mscorier.dll
2010-05-19 13:12 . 2008-07-27 18:00 83968 ----a-w- c:\windows\system32\mscories.dll
2010-05-19 13:11 . 2010-02-20 23:54 24064 ----a-w- c:\windows\system32\nshhttp.dll
2010-05-19 13:10 . 2010-02-20 23:51 31232 ----a-w- c:\windows\system32\httpapi.dll
2010-05-19 13:10 . 2010-02-20 21:30 396800 ----a-w- c:\windows\system32\drivers\http.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-20 10:17 . 2006-11-02 15:48 690832 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-20 10:17 . 2006-11-02 15:48 117572 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-20 01:32 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-05-20 01:16 . 2007-05-02 16:56 -------- d-----w- c:\programdata\Microsoft Help
2010-05-20 01:08 . 2007-02-21 16:10 -------- d-----w- c:\program files\Microsoft Works
2010-05-19 13:04 . 2007-05-04 15:48 -------- d-----w- c:\programdata\Google Updater
2010-05-06 08:36 . 2009-10-04 08:38 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-03-09 16:54 . 2010-05-19 13:57 832512 ----a-w- c:\windows\system32\wininet.dll
2010-03-09 16:50 . 2010-05-19 13:57 56320 ----a-w- c:\windows\system32\iesetup.dll
2010-03-09 16:50 . 2010-05-19 13:57 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-03-09 16:50 . 2010-05-19 13:57 52736 ----a-w- c:\windows\AppPatch\iebrshim.dll
2010-03-09 16:48 . 2010-05-19 13:57 72704 ----a-w- c:\windows\system32\admparse.dll
2010-03-09 14:17 . 2010-05-19 13:57 26624 ----a-w- c:\windows\system32\ieUnatt.exe
2010-03-09 12:43 . 2010-05-19 13:57 48128 ----a-w- c:\windows\system32\mshtmler.dll
2007-05-29 13:53 . 2007-05-29 13:53 217 ----a-w- c:\program files\setup.ini
2002-03-11 09:06 . 2002-03-11 09:06 1822520 ----a-w- c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45 1708856 ----a-w- c:\program files\instmsia.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"Google Update"="c:\users\Cécile\AppData\Local\Google\Update\GoogleUpdate.exe" [2009-06-09 133104]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lxbkbmgr.exe"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2008-02-28 74408]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-05-13 177472]
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 563984]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 2027792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-07-13 292128]

c:\users\C'cile\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
OpenOffice.org 2.2.lnk - c:\program files\OpenOffice.org 2.2\program\quickstart.exe [2007-2-2 393216]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2006-10-12 421888]
VPN Client.lnk - c:\windows\Installer\{F3C1DE9E-5E16-4BA9-B854-7B53A45E3579}\Icon3E5562ED7.ico [2009-5-28 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Google\GOOGLE~3\GoogleDesktopNetwork3.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1382937768-4149364846-1490369287-1000]
"EnableNotificationsRef"=dword:00000002

R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-11-18 717296]
R3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-06-29 42512]
S1 FNETURPX;FNETURPX;c:\windows\system32\drivers\FNETURPX.SYS [2009-11-08 7040]
S2 ABBYY.Licensing.FineReader.Professional.9.0;Service de licence ABBYY FineReader 9.0;c:\program files\ABBYY FineReader 9.0\NetworkLicenseServer.exe [2007-09-24 566560]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\DRIVERS\aswMonFlt.sys [2008-11-26 51792]
S2 lxbk_device;lxbk_device;c:\windows\system32\lxbkcoms.exe [2008-02-19 537256]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile REG_MULTI_SZ wcescomm rapimgr
LocalServiceRestricted REG_MULTI_SZ WcesComm RapiMgr
.
Contenu du dossier 'Tâches planifiées'

2010-05-20 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-04 16:10]

2010-05-20 c:\windows\Tasks\User_Feed_Synchronization-{D057D4F9-1F19-4139-BD0E-189AE283F1A3}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local;<local>
uInternet Settings,ProxyServer = www-cache.ujf-grenoble.fr:3128
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Ajouter Ameliste - https://www.ameliste.fr
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Cécile\AppData\Roaming\Mozilla\Firefox\Profiles\o87ui4fo.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - prefs.js: browser.search.selectedEngine - DAEMON Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-20 12:26
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2010-05-20 12:30:18
ComboFix-quarantined-files.txt 2010-05-20 10:30

Avant-CF: 48 841 981 952 octets libres
Après-CF: 48 783 917 056 octets libres

- - End Of File - - E078D984933C9A12742BA77810516E0C
0
Réponse 37 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
20 mai 2010 à 13:22
bien, poste moi stp un nouveau rapport ZHPdiag tout frais
0
Réponse 38 / 44
thomasgal
20 mai 2010 à 13:40
http://www.cijoint.fr/cjlink.php?file=cj201005/cij5hgcVra.txt

le voila
0
Réponse 39 / 44
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
20 mai 2010 à 13:54
bien, c'est en bonne voie, concernant les fichiers systèmes patchés, cela me semble être un faux positif, tans mieux ;-)

on va continuer avec malwaresbytes anti malwares


https://forums.commentcamarche.net/forum/affich-17715887-aide-virus-anna-i-liebe-chxnxyx-winrun-autoru#17
0
Réponse 40 / 44
thomasgal
20 mai 2010 à 16:25
voici le rapport malware assez long a obtenir

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4120

Windows 6.0.6000
Internet Explorer 7.0.6000.17037

20/05/2010 16:10:35
mbam-log-2010-05-20 (16-10-35).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|H:\|I:\|)
Elément(s) analysé(s): 498279
Temps écoulé: 2 heure(s), 5 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoEngine.exe.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Ad-Remover\Quarantine\C\Program Files\EoRezo\EoAdv\EoAdv.dll.vir (Rogue.Eorezo) -> Quarantined and deleted successfully.
D:\Archive ANTARCTIQUE\Utile\TrucsNavid\Mathematica 7\keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Films\Movies\Films Montagne\leslie fuscko\System\Apps\33A503B8-7D4B-4106-84A5-07A5C7F0CA51\Exec\LangRes_ITA.dll (Trojan.Spambot) -> Quarantined and deleted successfully.
I:\System\Apps\33A503B8-7D4B-4106-84A5-07A5C7F0CA51\Exec\LangRes_ITA.dll (Trojan.Spambot) -> Quarantined and deleted successfully.
0
marc1301 Messages postés 899 Date d'inscription samedi 6 mars 2010 Statut Contributeur Dernière intervention 17 février 2023 226
20 mai 2010 à 17:16
tu as bien avancé, poste un nouveau rapport zhpdiag pour contrôler si tout est bon, ensuite on devrais entamer la dernière ligne droite droite.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
i tréma
Anonyme -
Anonyme -

6 réponses
Tréma sur "i" minuscule
turfette -
Jhenny09 -

2 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses