Virus BankerFox.A et Nuqel.E

Question

Bonjour, 

Depuis hier, je recontre des problèmes avec mon ordinateur exactement le même que karine qui a posté elle aussi un message le 26/04/2010 à 15h36. Mon antivirus Avast me signale que mon ordinateur est infecté par BankerFox.A et Win32/Nuqel.E. Je ne suis pas capable de faire quoi que ce soit parce que ça dit que les fichiers sont infectés. Je démarre donc mon ordi en faisant F8 et j' arrive à faire démarrer mon antivirus Avast mais je n' ai pas Anti-malware.

Je ne sais plus quoi faire.

SVP, aidez-moi !

Merci !!

dédétraqué · Answer

Salut vin 03, bienvenu sur CCM


Télécharge combofix.exe (de sUBs) sur le bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

Double clique sur combofix.exe, clique sur OUI et valide par Entrée 

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


@++   :)

vin 03 · Answer

Bonjour,

Merci de m' avoir répondu aussi vite mais il faut que tu sache que je suis novice.

Comment télécharger combofix.exe ( sachant que je n' ai pas internet ) ? ( J' utilise l' ordinateur d' un membre de ma famille pour pouvoir te joindre )
C' est quoi (de sUBs) ? Car tu as écrit télécharge combofix.exe (de sUBs) sur le bureau.
Sur quel bureau ?
Faut-il une clé USB et comment la protéger ?

Excuse moi mais je ne m' y connais pas beaucoup en informatique ?

dédétraqué · Answer

Salut vin 03


Voir un copain qui s'y connais un peu plus....

On va créer un LiveCD permettant de supprimer les Malwares ou autres, empêchant le démarrage d'un système.

Procédure a effectuer sur un PC fonctionnel :

Télécharge OTLPE.iso sur ton bureau.
http://oldtimer.geekstogo.com/OTLPE.iso


- Insère un CD vierge dans ton graveur, si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre.
- Fais un double-clic sur l'icône d'OTLPE.iso et si tu as un logiciel de gravure ISO sur ton pc, celui ci s'ouvrira automatiquement, il ne te reste qu'a suivre les instructions indiquées par celui ci.


Par contre si aucun logiciel de gravure ne se lance, fais cela...

Télécharge BurnAtOnce (bao0995.exe) sur ton bureau.
http://dl.commentcamarche.net/www.commentcamarche.net/download/files/bao0995.exe

- Installe le sans modifier les paramètres proposés lors du processus d'installation.
- A la fin de l'installation, clique sue "Finish" pour lancer BurnAtOnce, une fenêtre de "License agreement" s'ouvre, coche la case "I am a non commercial user and accept the license agreement" et clique sur "Next".
- BurnAtOnce est maintenant en fonctionnement.

Fais un "glisser/déposer"du fichier "OTLPE.iso" sur le raccourci de "BurnAtOnce" comme sur cette capture :
https://www.sfr.fr/fermeture-des-pages-perso.html

- Clique sur Simulation
- La gravure du CD va alors démarrer 
- Tu peux regarder cette vidéo (merci à jeanmimigab) en cas de problème :
 https://www.youtube.com/watch?v=EG3lOgt3ugE


Faut maintenant insérer le CD créer dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD :
https://forum.malekal.com/viewtopic.php?t=9447&start=

* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

* Double-click sur l'icone OTLPE
* Quand demandé "Do you wish to load the remote registry", select Yes
* Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK

* Sous Custom Scan box  copie_colle le contenu en gras ci dessous:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.* 
%SYSTEMDRIVE%\*.exe 
%PROGRAMFILES%\*.* 
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


* clic Run Scan pour démarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine réponse


@++   :)

vin 03 · Answer

Salut dédétraqué

Voici le rapport de combofix:

ComboFix 10-06-01.05 - MOURAD 02/06/2010 17:03:28.1.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.767.621 [GMT 2:00]
Lancé depuis: c:\documents and settings\MOURAD\Bureau\ComboFix.exe
FW: Sunbelt Personal Firewall *disabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.\documents\settings
c:\documents and settings\MOURAD\err.log
c:\windows\pack.epk
c:\windows\system32\cvusvhb.dll
c:\windows\system32\drivers\dxjyncwg.sys
c:\windows\system32\drivers\nuobgokr.sys
c:\windows\system32\gqzizmx.dll

Une copie infectée de c:\windows\system32\drivers\termdd.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DXJYNCWG
-------\Legacy_YGWHNGUL
-------\Service_dxjyncwg
-------\Service_ygwhngul

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-02 au 2010-06-02 ))))))))))))))))))))))))))))))))))))
.

2010-06-02 14:36 . 2010-06-02 14:46 -------- d-----w- c:\program files\ZHPDiag
2010-06-01 20:25 . 2010-06-01 20:25 -------- d-----r- c:\documents and settings\NetworkService\Favoris
2010-06-01 15:43 . 2010-06-01 15:43 -------- d-----w- c:\documents and settings\MOURAD\Application Data\Malwarebytes
2010-06-01 15:43 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-01 15:43 . 2010-06-01 15:43 -------- d-----w- C:\Malwarebytes' Anti-Malware
2010-06-01 15:43 . 2010-06-01 15:43 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-01 15:43 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-01 15:32 . 2010-06-01 15:32 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-05-31 18:35 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-05-31 18:35 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-31 18:35 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-05-31 18:35 . 2008-04-13 16:39 142592 -c--a-w- c:\windows\system32\dllcache\aec.sys
2010-05-31 18:35 . 2008-04-13 16:39 142592 ----a-w- c:\windows\system32\drivers\aec.sys
2010-05-31 18:31 . 2010-06-01 16:33 -------- d-----w- c:\documents and settings\MOURAD\Local Settings\Application Data\ipvmlowik
2010-05-31 18:31 . 2010-05-31 18:31 -------- d-----w- c:\documents and settings\MOURAD\Application Data\Sky-Banners
2010-05-31 18:31 . 2010-05-31 18:31 -------- d-----w- c:\documents and settings\MOURAD\Application Data\Street-Ads
2010-05-31 18:31 . 2010-05-31 18:31 50981 ----a-w- c:\windows\system32\kirozjbhhioeqjclg.exe
2010-05-31 18:30 . 2010-05-31 18:30 -------- d-----w- c:\program files\$NtUninstallWTF1012$
2010-05-31 15:26 . 2010-05-31 15:26 -------- d-----w- c:\program files\SuperScan
2010-05-27 22:57 . 2010-05-27 22:57 -------- d-----w- c:\program files\Kill Process
2010-05-27 22:48 . 2010-05-27 22:48 -------- d-----w- c:\documents and settings\MOURAD\Application Data\KillProcess
2010-05-25 13:25 . 2008-06-21 02:54 65576 ----a-w- c:\windows\system32\drivers\SbFwIm.sys
2010-05-25 13:25 . 2010-05-25 13:25 -------- d-----w- c:\program files\Sunbelt Software
2010-05-25 05:38 . 2010-05-25 05:38 309248 ----a-w- c:\windows\system32\zxxptdia.dll
2010-05-24 16:31 . 2010-05-24 16:31 40633 ----a-w- c:\windows\system32\ommgizgo.exe
2010-05-21 23:41 . 2010-05-21 23:41 503808 ----a-w- c:\documents and settings\MOURAD\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-708f78b7-n\msvcp71.dll
2010-05-21 23:41 . 2010-05-21 23:41 499712 ----a-w- c:\documents and settings\MOURAD\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-708f78b7-n\jmc.dll
2010-05-21 23:41 . 2010-05-21 23:41 348160 ----a-w- c:\documents and settings\MOURAD\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-708f78b7-n\msvcr71.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-01 19:11 . 2006-08-11 17:53 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-01 18:40 . 2007-02-04 11:00 -------- d-----w- c:\program files\Google
2010-05-31 21:19 . 2007-02-06 11:36 -------- d-----w- c:\program files\HardwareDetection
2010-05-28 12:27 . 2006-08-11 17:43 85810 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-28 12:27 . 2006-08-11 17:43 512336 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-28 12:23 . 2010-04-10 15:25 443912 ----a-w- c:\documents and settings\MOURAD\Application Data\Real\Update\setup3.10\setup.exe
2010-05-17 22:02 . 2007-12-26 13:57 -------- d-----w- c:\documents and settings\MOURAD\Application Data\FileZilla
2010-04-14 11:03 . 2010-04-14 11:03 -------- d-----w- c:\program files\Free
2010-04-07 14:44 . 2010-04-07 14:13 -------- d-----w- c:\program files\Tibili
2010-04-07 14:13 . 2010-04-07 14:13 23552 ----a-w- c:\windows\xobglu32.dll
2010-04-07 14:13 . 2010-04-07 14:13 63488 ----a-w- c:\windows\xobglu16.dll
2010-03-10 06:16 . 2004-08-10 20:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2006-12-09 14:30 . 2006-12-09 14:30 251 -c--a-w- c:\program files\wt3d.ini
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5887492C-7041-478B-8532-B33004F3356D}]
2010-05-25 05:38 309248 ----a-w- c:\windows\system32\zxxptdia.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 102400]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-11 7626752]
"nwiz"="nwiz.exe" [2006-07-11 1519616]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"NvMediaCenter"="NvMCTray.dll" [2006-07-11 86016]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-12-11 286720]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-02-18 185896]
"VX1000"="c:\windows\vVX1000.exe" [2006-10-13 707376]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2006-10-13 277296]
"Athan"="c:\program files\Athan\Athan.exe" [2009-01-18 1081344]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"MChk"="c:\windows\system32\ommgizgo.exe" [2010-05-24 40633]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-12-7 45056]
Acer WLAN 11g USB Dongle.lnk - c:\program files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [25/05/2010 15:25 65576]
S1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [19/02/2007 14:46 33824]
S1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 04:54 66600]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [01/09/2009 11:24 233472]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2010 10:34 135664]
S2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31/10/2008 07:24 95528]
S2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31/10/2008 07:24 1365288]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [01/09/2009 11:24 36608]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [01/09/2009 11:24 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [01/09/2009 11:24 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [01/09/2009 11:24 121856]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - DXJYNCWG
*Deregistered* - dxjyncwg
.
Contenu du dossier 'Tâches planifiées'

2010-05-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2010-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 08:34]

2010-06-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 08:34]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = http=127.0.0.1:5555
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - c:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - c:\progra~1\COPERN~1\COPERN~1.DLL
FF - ProfilePath - c:\documents and settings\MOURAD\Application Data\Mozilla\Firefox\Profiles\t9stt47b.default\
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\program files\Veetle\Player\npvlc.dll
FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{C01B0076-8D77-6B5C-EE71-46C161719ABB} - (no file)
ShellIconOverlayIdentifiers-{AD8E0266-D408-4C94-AA83-6F513FBEDC26} - (no file)
HKCU-Run-ccleaner - c:\program files\CCleaner\CCleaner.exe
HKLM-Run-NWEReboot - (no file)
HKLM-Run-NPSStartup - (no file)
HKLM-Run-skb - thcvinyy.dll
AddRemove-safe web cash - c:\docume~1\MOURAD\APPLIC~1\GRAMVI~1\mpeg heck.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-02 17:12
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x833873A8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74dbf28
\Driver\ACPI -> ACPI.sys @ 0xf743dcb8
\Driver\atapi -> 0x833873a8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
SecurityProcedure -> ntoskrnl.exe @ 0x805df529
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
SecurityProcedure -> ntoskrnl.exe @ 0x805df529
NDIS: Generic Marvell Yukon Chipset based Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xf72aabb0
PacketIndicateHandler -> NDIS.sys @ 0xf72b7a21
SendHandler -> NDIS.sys @ 0xf729587b
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x02542D6C1
malicious code @ sector 0x02542D6C4 !
PE file found in sector at 0x02542D6DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
Heure de fin: 2010-06-02 17:17:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-06-02 15:17

Avant-CF: 89 800 044 544 octets libres
Après-CF: 90 561 294 336 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect usepmtimer

- - End Of File - - 0B0C1F0B976E2C4B6E8D1E218DDCB462

P.S: Je voulais te dire que c' est un ordinateur de marque Acer que j' ai et il fonctionne sous XP.
Aujourd' hui j' ai téléchargé (Rkill.com) (Malwarebyte's Anti-Malware) (ZHP Diag)
(USB Fix.exe je l' ai supprimé) et (Tools Cleaner2), j' ai supprimé mon antivirus Avast4.8 que j' avais ( faut-il que je le remette car je n' ai plus aucun antivirus sur mon pc) et mon firewall "Kerio" ne semble plus fonctionner.

Voilà je vais t' expliqué comment mon PC fonctionne maintenant pour que tu ai un aperçu du problème que je rencontre maintenant car je n' ai plus d' avertissement comme hier concernant Win32/Nuquel.E et BankerFox.A peut-être grâce au logiciel que j' ai téléchargé ci-dessus.

1/ Je démarre mon ordinateur.
2/ 1 minute plus tard une boîte de dialogue me signale un message d' erreur:
" RUNDLL
Erreur de chargement de thcvinyy.dll
Le module spécifié est introuvable.
OK"
3/ 1 min plus tard je peux me connecter sur internet avec "Mozilla Firefox"
4/ J' essaie de me connecter sur internet avec "Internet Explorer", c' est impossible.
Alors je lance un diagnostic du réseau pour Windows XP, une boîte de dialogue s' affiche en me signalant:
"Windows ne peut pas se connecter à internet à l' aide de HTTP, HTTPS ou FTP, probablement à cause des paramètres du pare feu sur cet ordinateur.
Vérifiez les paramètres du pare feu pour le port HTTP(80), le port HTTPS(443) et le port FTP(21)."

J' ai éssayé d' aller dans "panneau de configuration", pour ouvrir "pare feu windows", une boîte de dialogue m' affiche " En raison à un problème non identifié, Windows ne peut pas afficher les paramètres du pare feu Windows".

J' ai éssayé également avec mon pare feu "Kerio" impossible de l' ouvrir.

Cerise sur le gâteau: Dès que j' éssayé de me connecter sur Internet Explorer, 30 secondes plus tard la souris se bloque(impossible de bouger le curseur de la souris), je perd le contrôle de l' ordinateur et l' ordinateur fait un bip qui ne s' arrête plus, alors je suis obligé d' éteindre l' ordinateur à l' aide de ma multiprise.

A l' aide, stp, aide moi !!!

dédétraqué · Answer

Salut vin 03


* Télécharge Defogger (de jpshortstuff) sur ton Bureau :
http://www.jpshortstuff.247fixes.com/Defogger.exe

* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


-----


Télécharge Gmer et enregistre-le sur ton bureau.
http://www2.gmer.net/download.php

- Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
- Clique sur le bouton "Scan" sur la droite.

- Lorsque le scan est terminé, clic sur "Copy".
- Ouvre le bloc-note et clic sur le Menu Edition / Coller
- Le rapport doit alors apparaître.

- Enregistre le fichier sur ton bureau et copie/colle le contenu ici.


@++  :)

vin 03 · Answer

Salut dédétraqué

Tout d' abord je voulais t' annoncer que grâce à toi mon problème est réglé sauf deux:

1/ Quand j' allume mon PC, je vais sur (démarrer)-(panneau de configuration)-(pare feu Windows) je constate toujours que mon pare feu est désactivé malgré que je coche toujours "activer mon pare feu".

2/ Quand je met un CD de musique ( normal je suis trés content grâce à toi ) je n' ai plus la fenêtre qui s' ouvre automatiquement pour me proposer les différentes actions que je peux éfféctué, genre: "ouvrir le dossier...", "copier avec...", "lire avec...", "ne rien faire..." ect et ceci avec le Lecteur Windows Media.

P.S: Sinon pour le rapport Gmer que tu m' a demandé de te fournir est-ce que c'est indispensable car je n' arrive pas à l' avoir.

dédétraqué · Answer

Salut vin 03


Cela n'est pas fini, symptôme disparu mais reste encore bien du boulot :

Combofix m'annonce :
Warning: possible MBR rootkit infection ! 

Quel problème rencontres-tu avec Gmer? As-tu un message d'erreur?

Je te ferai signe quand cela sera fini  ;)


@++   :)

vin 03 · Answer

Salut dédétraqué

Voilà la procédure que j' éffectue:

1/ Je démarre mon PC en appuyant sur F8.
2/ Je clique sur "Mode sans échec avec prise en charge réseau".
3/ Je clique sur "Windows XP Média Center Edition" car on me propose soit:
"Microsoft Windows Recovery Console" soit "Windows XP Média Center Edition".
4/ Je lance l' outil "Gmer" sans être connécté à internet et sans que aucun programmes ne soient ouverts bien entendu.
5/ Je coche sur C:/ et D:/ (sur la droite).
6/ Je clique sur le bouton "Scan" sur la droite, (le Scan se met en route).
7/ Je clique sur "Copy", un message d' information me dit:
"GMER
      Text was copied to the clipboard.
      Paste the output into your favourite editor ( ie notepad ) useing  Ctrl+V Keys
                                                                              OK"
P.S: Je ne comprend pas l'anglais, du coup je n' arrive pas à savoir où est le rapport.
Le message que je reçois comporte un "i" sur la gauche en bleue dans la boîte de dialogue donc je ne pense que ce soit un message d' erreur mais plutôt un message d' information.

S.T.P AIDE-MOI je suis Perdu !!! ( où se cache le rapport ? ) merci !!!

Salut !!!

vin 03 · Answer

Salut dédétraqué

Je voulais te dire que tu avais raison, ce n' est pas encore fini:

Hier en allumant mon PC, il y' a eu un message de mon antivirus Avast ! qui m' indiquait:

"LOGICIEL MALVEILLANT BLOQUE
Le Agent des Fichiers avast ! a bloqué une menace.
Aucune autre action n'est demandée.
Objet: C:\Docume-1\MOURAD\LOCALS-1\Temp\rcvry-exe\>$INS...\$R0-dll
Infection: Win32:Malware-gen
Action: Mis en quarantaine
Processus: C:\WINDOWS\system32\ommgizgo.exe

La menace a été détectée et bloquée juste avant la création ou modification du fichier.

*Reporter une fausse identification de ce fichier. ( J' ai la possibilité  de cliquer dessus ) Je clique ou pas ?"

P.S: En redémarrant mon PC (3 fois de suite ) j' ai eu ce message de Avast !
       Sinon j' attend la réponse pour Gmer, merci bien !

Salut !

vin 03 · Answer

Salut dédétraqué

Je pense que j' ai réussi à obtenir le rapport Gmer en cliquant sur "Save" puis en enregistrant le rapport dans "bureau" sous le nom de "rapport Gmer".

Le voici:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-05 16:23:16
Windows 5.1.2600 Service Pack 3
Running: 4mhvzm3l.exe; Driver: C:\DOCUME~1\MOURAD\LOCALS~1\Temp\uwrdqaoc.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwClose [0xF6EAB160]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwCreateFile [0xF6EAA868]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwCreateKey [0xF6EA7320]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwCreateProcess [0xF6EA9E90]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwCreateProcessEx [0xF6EA9D9C]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwCreateThread [0xF6EAA3FC]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwDeleteFile [0xF6EAB210]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwDeleteKey [0xF6EA7786]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwDeleteValueKey [0xF6EA7846]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwOpenFile [0xF6EAAB54]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwOpenKey [0xF6EA75CA]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwResumeThread [0xF6EAA4EC]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwSetInformationFile [0xF6EAAE8C]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwSetValueKey [0xF6EA79BC]
SSDT            \SystemRoot\system32\drivers\SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)  ZwWriteFile [0xF6EAADE0]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwYieldExecution + 132                                                              804E498C 8 Bytes  JMP EA9D9CF6 
.text           ntoskrnl.exe!ZwYieldExecution + 16E                                                              804E49C8 8 Bytes  JMP EA7786F6 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                         SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                        SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                      SbFw.sys (Sunbelt Personal Firewall driver/Sunbelt Software, Inc.)

Device          \FileSystem\Cdfs \Cdfs                                                                           F7697400

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout               15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                  10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                               
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout               90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                 10000

---- EOF - GMER 1.0.15 ----

dédétraqué · Answer

Salut vin 03 


Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

- Quitte les applications en cours afin de ne pas interrompre le scan.
- Faire un double clique sur OTL.exe présent sur le bureau pour lancer le programme
- Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport minimal". Fais de même avec "Tous les utilisateurs".
- Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

Ne modifie pas les autres paramètres!

Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

netsvcs
%SYSTEMDRIVE%\*.* 
%SYSTEMDRIVE%\*.exe 
%PROGRAMFILES%\*.* 
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s


- Clique sur le bouton Analyse.
- Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.


@++   :)

vin 03 · Answer

Salut dédétraqué

Pour ce qui est du téléchargement OTL (de OldTimer) je n' ai pas "Custom Scans" ni le bouton "Run Scan", je pense que c' est la nouvelle version que tu m' a donné.

A ++ !

dédétraqué · Answer

Salut vin 03 


Non de la version anglaise, j'ai modifier mon poste...


@++   :)

vin 03 · Answer

Salut dédétraqué

Voici les liens que tu m' as demandé:

https://www.cjoint.com/?ggp7Bkam1G

https://www.cjoint.com/?ggqctDFlUs

@++:)

dédétraqué · Answer

Salut vin 03 


- Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

 KillAll::
File::
c:\windows\system32\kirozjbhhioeqjclg.exe 
c:\windows\system32\zxxptdia.dll
c:\windows\system32\ommgizgo.exe
C:\WINDOWS\System32\ML.DLL

Folder::
c:\documents and settings\MOURAD\Local Settings\Application Data\ipvmlowik 
c:\documents and settings\MOURAD\Application Data\Sky-Banners
c:\documents and settings\MOURAD\Application Data\Street-Ads
c:\program files\$NtUninstallWTF1012$
C:\Documents and Settings\All Users\Application Data	hird lies itch ford
C:\Program Files\Eurobarre

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5887492C-7041-478B-8532-B33004F3356D}] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"MChk"=-

Mbr::

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

   * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
     Ne touche à rien tant que le scan n'est pas terminé.
   * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
   * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++   :)

vin 03 · Answer

Salut dédétraqué

Voici le rapport de ComboFix que tu m' as demandé:

ComboFix 10-06-01.05 - MOURAD 07/06/2010  14:00:31.7.2 - x86 NETWORK
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.767.597 [GMT 2:00]
Lancé depuis: c:\documents and settings\MOURAD\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\MOURAD\Bureau\CFScript.txt
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Personal Firewall *enabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}

FILE ::
"c:\windows\system32\kirozjbhhioeqjclg.exe"
"c:\windows\System32\ML.DLL"
"c:\windows\system32\ommgizgo.exe"
"c:\windows\system32\zxxptdia.dll"
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-07 au 2010-06-07  ))))))))))))))))))))))))))))))))))))
.

2010-06-06 19:39 . 2010-06-06 19:39	--------	d--h--w-	c:\windows\system32\GroupPolicy
2010-06-06 18:27 . 2010-06-06 18:29	--------	dc-h--w-	c:\windows\ie8
2010-06-03 22:13 . 2010-06-03 22:13	309760	----a-w-	c:\windows\system32gytulue.dll
2010-06-02 16:58 . 2010-06-02 18:42	--------	d-----w-	c:\documents and settings\HelpAssistant
2010-06-02 16:55 . 2008-10-31 05:09	270888	----a-w-	c:\windows\system32\drivers\SbFw.sys
2010-06-02 16:29 . 2010-05-06 20:33	19024	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-06-02 16:29 . 2010-05-06 20:39	164048	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-06-02 16:29 . 2010-05-06 20:34	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-06-02 16:29 . 2010-05-06 20:39	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-06-02 16:29 . 2010-05-06 20:33	100432	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2010-06-02 16:29 . 2010-05-06 20:33	94800	----a-w-	c:\windows\system32\drivers\aswmon.sys
2010-06-02 16:29 . 2010-05-06 20:33	28880	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2010-06-02 16:28 . 2010-05-06 20:59	38848	----a-w-	c:\windows\system32\avastSS.scr
2010-06-02 16:28 . 2010-05-06 20:59	165032	----a-w-	c:\windows\system32\aswBoot.exe
2010-06-02 16:28 . 2010-06-02 16:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-06-02 14:36 . 2010-06-02 14:46	--------	d-----w-	c:\program files\ZHPDiag
2010-06-01 20:25 . 2010-06-01 20:25	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2010-06-01 15:43 . 2010-06-01 15:43	--------	d-----w-	c:\documents and settings\MOURAD\Application Data\Malwarebytes
2010-06-01 15:43 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-01 15:43 . 2010-06-01 15:43	--------	d-----w-	C:\Malwarebytes' Anti-Malware
2010-06-01 15:43 . 2010-06-01 15:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-06-01 15:43 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-06-01 15:32 . 2010-06-01 15:32	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2010-05-31 18:35 . 2008-04-13 18:40	34688	----a-w-	c:\windows\system32\drivers\lbrtfdc.sys
2010-05-31 18:35 . 2008-04-13 18:41	8576	----a-w-	c:\windows\system32\drivers\i2omgmt.sys
2010-05-31 18:35 . 2008-04-13 18:40	8192	----a-w-	c:\windows\system32\drivers\changer.sys
2010-05-31 18:35 . 2008-04-13 16:39	142592	-c--a-w-	c:\windows\system32\dllcache\aec.sys
2010-05-31 18:35 . 2008-04-13 16:39	142592	----a-w-	c:\windows\system32\drivers\aec.sys
2010-05-31 15:26 . 2010-05-31 15:26	--------	d-----w-	c:\program files\SuperScan
2010-05-27 22:57 . 2010-05-27 22:57	--------	d-----w-	c:\program files\Kill Process
2010-05-27 22:48 . 2010-05-27 22:48	--------	d-----w-	c:\documents and settings\MOURAD\Application Data\KillProcess
2010-05-25 13:25 . 2008-06-21 02:54	65576	----a-w-	c:\windows\system32\drivers\SbFwIm.sys
2010-05-25 13:25 . 2010-05-25 13:25	--------	d-----w-	c:\program files\Sunbelt Software
2010-05-21 23:41 . 2010-05-21 23:41	503808	----a-w-	c:\documents and settings\MOURAD\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-708f78b7-n\msvcp71.dll
2010-05-21 23:41 . 2010-05-21 23:41	499712	----a-w-	c:\documents and settings\MOURAD\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-708f78b7-n\jmc.dll
2010-05-21 23:41 . 2010-05-21 23:41	348160	----a-w-	c:\documents and settings\MOURAD\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-708f78b7-n\msvcr71.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-05 21:01 . 2007-12-26 13:57	--------	d-----w-	c:\documents and settings\MOURAD\Application Data\FileZilla
2010-06-04 19:27 . 2009-11-25 18:28	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-03 14:22 . 2008-02-18 19:43	--------	d-----w-	c:\documents and settings\All Users\Application Data\Downloaded Installations
2010-06-02 16:28 . 2008-01-02 16:20	--------	d-----w-	c:\program files\Alwil Software
2010-06-01 19:11 . 2006-08-11 17:53	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-06-01 18:40 . 2007-02-04 11:00	--------	d-----w-	c:\program files\Google
2010-05-31 21:19 . 2007-02-06 11:36	--------	d-----w-	c:\program files\HardwareDetection
2010-05-28 12:27 . 2006-08-11 17:43	85810	----a-w-	c:\windows\system32\perfc00C.dat
2010-05-28 12:27 . 2006-08-11 17:43	512336	----a-w-	c:\windows\system32\perfh00C.dat
2010-05-28 12:23 . 2010-04-10 15:25	443912	----a-w-	c:\documents and settings\MOURAD\Application Data\Real\Update\setup3.10\setup.exe
2010-04-14 11:03 . 2010-04-14 11:03	--------	d-----w-	c:\program files\Free
2010-04-07 14:13 . 2010-04-07 14:13	23552	----a-w-	c:\windows\xobglu32.dll
2010-04-07 14:13 . 2010-04-07 14:13	63488	----a-w-	c:\windows\xobglu16.dll
2010-03-10 06:16 . 2004-08-10 20:00	420352	----a-w-	c:\windows\system32\vbscript.dll
2006-12-09 14:30 . 2006-12-09 14:30	251	-c--a-w-	c:\program files\wt3d.ini
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6AE4B8A1-8384-4DD3-AB0C-CC1BFF31B8AD}]
2010-06-03 22:13	309760	----a-w-	c:\windows\system32gytulue.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 102400]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-11-13 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-11 7626752]
"nwiz"="nwiz.exe" [2006-07-11 1519616]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe" [2005-05-11 45056]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-10 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"NvMediaCenter"="NvMCTray.dll" [2006-07-11 86016]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2006-03-17 345088]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-12-11 286720]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2007-02-18 185896]
"VX1000"="c:\windows\vVX1000.exe" [2006-10-13 707376]
"LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2006-10-13 277296]
"Athan"="c:\program files\Athan\Athan.exe" [2009-01-18 1081344]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-12-7 45056]
Acer WLAN 11g USB Dongle.lnk - c:\program files\Acer WLAN 11g USB Dongle\ZDWlan.exe [2005-11-16 745472]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"5022:TCP"= 5022:TCP:Services
"8544:TCP"= 8544:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [02/06/2010 18:55 270888]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Service;c:\windows\system32\drivers\SbFwIm.sys [25/05/2010 15:25 65576]
S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [02/06/2010 18:29 164048]
S1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [19/02/2007 14:46 33824]
S1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21/06/2008 04:54 66600]
S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [02/06/2010 18:29 19024]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [01/09/2009 11:24 233472]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2010 10:34 135664]
S2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31/10/2008 07:24 95528]
S2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31/10/2008 07:24 1365288]
S2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [13/11/2009 13:31 92008]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [01/09/2009 11:24 36608]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [01/09/2009 11:24 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [01/09/2009 11:24 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [01/09/2009 11:24 121856]
.
Contenu du dossier 'Tâches planifiées'

2010-05-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 08:34]

2010-06-07 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 08:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.commentcamarche.net
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = <local>
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar	oolbar.dll/SEARCH.HTML
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - c:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - c:\progra~1\COPERN~1\COPERN~1.DLL
FF - ProfilePath - c:\documents and settings\MOURAD\Application Data\Mozilla\Firefox\Profiles	9stt47b.default\
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23
pGoogleOneClick8.dll
FF - plugin: c:\program files\Veetle\Player
pvlc.dll
FF - plugin: c:\program files\Veetle\plugins
pVeetle.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-07 14:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-06-07  14:10:52 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-06-07 12:10
ComboFix2.txt  2010-06-02 15:17

Avant-CF: 77 848 223 744 octets libres
Après-CF: 77 815 611 392 octets libres

- - End Of File - - 03A724253F3B7F86CDEBCE707EABA966


@++:)

dédétraqué · Answer

Salut 


- Clique sur le menu démarrer/Exécuter, tape notepad à l'invite de commande et OK.

- Copie/colle ce qui est en gras ci-dessous dans le Bloc-Notes :

 KillAll::

File::
c:\windows\system32\rgytulue.dll

Folder::
c:\documents and settings\HelpAssistant

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6AE4B8A1-8384-4DD3-AB0C-CC1BFF31B8AD}] 
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"65533:TCP"=-
"52344:TCP"=-
"5022:TCP"=-
"8544:TCP"=-
"3389:TCP"=-

- Enregistre ce fichier sur le bureau (Impératif)

-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers

- Clique sur Enregistrer et quitte le Bloc Notes

Important Désactive ton Antivirus et antispyware avant de faire le glisser/déposer

- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture (l'icône est un lion) :

http://free0.hiboox.com/images/2409/9126d3b136f7db9ab6242ad715b44296.gif

   * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
     Ne touche à rien tant que le scan n'est pas terminé.
   * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
   * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


@++   :)

vin 03 · Answer

Salut

Voici le rapport que tu m' as demandé:

https://www.cjoint.com/?gipPBvUebr

@++ :)

dédétraqué · Answer

Salut vin 03


Important : Désactive toute protection résidente ! (Antivirus, antispywares) : 
https://forum.pcastuces.com/default.asp


Télécharge Lop S&D sur ton bureau ici :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 


- Double clique sur LopSD.exe qui est sur le bureau pour lancer l'installation

- Double clique sur le raccourci Lop S&D créé sur ton Bureau 

- Sélectionne la langue souhaitée et choisis l'option 1 (Recherche) 

- Poste le rapport (C:\lopR.txt) dans ton prochain poste 

Note : Si le bureau ne réapparaît pas appuis sur Ctrl + Alt + Suppr , le gestionnaire des tâche apparaît. Dans le haut clique sur Fichier/Nouvelle tâche, tape explorer.exe et OK pour valider

Tutoriel : http://www.malekal.com/tutorial_Lop_SD.php


@++  :)

vin 03 · Answer

Salut dédétraqué

Voilà donc le rapport que tu m' as demandé:


   --------------------\  Lop S&D 4.2.5-0   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : AMD Athlon(tm) 64 X2 Dual Core Processor 4200+ )
   BIOS : )Phoenix - Award WorkstationBIOS v6.00PG
   USER : MOURAD ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! Antivirus 5.0.83886625 (Not Activated)
   Firewall  : Sunbelt Personal Firewall 4.6.1861 T (Not Activated)
   C:\ (Local Disk) - NTFS - Total:145 Go (Free:70 Go)
   D:\ (Local Disk) - FAT32 - Total:146 Go (Free:137 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)

   "C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
   Option : [1] ( 09/06/2010|14:28 )
 
   --------------------\  Listing des dossiers dans APPLIC~1

   [30/09/2006|10:18] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
   [30/09/2006|10:18] C:\DOCUME~1\ADMINI~1\APPLIC~1\Macromedia
   [30/09/2006|10:18] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

   [06/05/2009|20:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [12/12/2006|12:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ahead
   [02/06/2010|18:28] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Alwil Software
   [15/02/2007|11:37] C:\DOCUME~1\ALLUSE~1\APPLIC~1\AOL
   [25/12/2007|23:48] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple
   [25/12/2007|23:53] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [07/12/2006|20:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
   [03/06/2010|16:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Downloaded Installations
   [01/02/2007|20:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\DVD Shrink
   [09/02/2007|21:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\ESTsoft
   [07/03/2009|16:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\GameHouse
   [01/06/2010|20:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
   [08/12/2006|21:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\HP
   [05/12/2008|16:59] C:\DOCUME~1\ALLUSE~1\APPLIC~1\HP Product Assistant
   [04/03/2009|22:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Installations
   [01/06/2010|17:43] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Malwarebytes
   [19/02/2007|16:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\McAfee
   [25/11/2009|20:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [18/02/2007|16:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
   [09/12/2006|16:05] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NtiDvdCopy
   [11/12/2006|15:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NVIDIA
   [11/12/2006|14:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1
View_Profiles
   [04/03/2009|22:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\PC Suite
   [09/12/2006|13:22] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
   [06/03/2010|17:23] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real
   [07/03/2007|15:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
   [18/02/2007|17:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [02/01/2010|14:57] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TomTom
   [29/11/2009|20:40] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TVU Networks
   [27/01/2007|16:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint
   [25/01/2007|14:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage
   [10/02/2007|12:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Live Toolbar
   [25/08/2009|13:09] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WindSolutions
   [26/02/2008|19:16] C:\DOCUME~1\ALLUSE~1\APPLIC~1\WLInstaller
   [11/02/2007|22:21] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Yahoo!
   [07/03/2009|16:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Zylom

   [30/09/2006|10:18] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
   [30/09/2006|10:18] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Macromedia
   [30/09/2006|10:18] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft


   [30/09/2006|10:18] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [18/02/2007|12:39] C:\DOCUME~1\MOURAD\APPLIC~1\3M
   [04/01/2008|18:15] C:\DOCUME~1\MOURAD\APPLIC~1\Adobe
   [06/03/2007|11:54] C:\DOCUME~1\MOURAD\APPLIC~1\AdobeUM
   [15/02/2007|12:49] C:\DOCUME~1\MOURAD\APPLIC~1\Ahead
   [15/02/2007|11:36] C:\DOCUME~1\MOURAD\APPLIC~1\AOL
   [09/01/2008|19:26] C:\DOCUME~1\MOURAD\APPLIC~1\Apple Computer
   [15/04/2008|17:27] C:\DOCUME~1\MOURAD\APPLIC~1\Azureus
   [18/02/2007|16:25] C:\DOCUME~1\MOURAD\APPLIC~1\Copernic
   [09/12/2006|12:54] C:\DOCUME~1\MOURAD\APPLIC~1\CyberLink
   [28/06/2008|14:30] C:\DOCUME~1\MOURAD\APPLIC~1\dvdcss
   [15/12/2006|19:39] C:\DOCUME~1\MOURAD\APPLIC~1\Ecran de veille
   [09/02/2007|21:14] C:\DOCUME~1\MOURAD\APPLIC~1\ESTsoft
   [05/06/2010|23:01] C:\DOCUME~1\MOURAD\APPLIC~1\FileZilla
   [18/02/2007|16:19] C:\DOCUME~1\MOURAD\APPLIC~1\FrostWire
   [11/02/2007|18:03] C:\DOCUME~1\MOURAD\APPLIC~1\Google
   [09/12/2006|13:01] C:\DOCUME~1\MOURAD\APPLIC~1\Help
   [09/12/2006|12:52] C:\DOCUME~1\MOURAD\APPLIC~1\HP
   [13/12/2009|20:27] C:\DOCUME~1\MOURAD\APPLIC~1\HpUpdate
   [07/03/2009|16:08] C:\DOCUME~1\MOURAD\APPLIC~1\Identities
   [11/01/2007|16:33] C:\DOCUME~1\MOURAD\APPLIC~1\Image Zone Express
   [28/05/2010|00:48] C:\DOCUME~1\MOURAD\APPLIC~1\KillProcess
   [11/06/2008|21:47] C:\DOCUME~1\MOURAD\APPLIC~1\LGSync
   [12/03/2007|14:35] C:\DOCUME~1\MOURAD\APPLIC~1\Macromedia
   [01/06/2010|17:43] C:\DOCUME~1\MOURAD\APPLIC~1\Malwarebytes
   [25/11/2009|21:58] C:\DOCUME~1\MOURAD\APPLIC~1\Microsoft
   [12/09/2008|14:40] C:\DOCUME~1\MOURAD\APPLIC~1\Mozilla
   [18/12/2007|11:42] C:\DOCUME~1\MOURAD\APPLIC~1\MSN6
   [21/01/2007|21:11] C:\DOCUME~1\MOURAD\APPLIC~1\MSNInstaller
   [07/03/2009|15:56] C:\DOCUME~1\MOURAD\APPLIC~1\Nokia
   [04/03/2009|22:39] C:\DOCUME~1\MOURAD\APPLIC~1\PC Suite
   [26/02/2007|12:57] C:\DOCUME~1\MOURAD\APPLIC~1\ppstream
   [31/08/2008|20:15] C:\DOCUME~1\MOURAD\APPLIC~1\Real
   [01/09/2009|11:24] C:\DOCUME~1\MOURAD\APPLIC~1\Samsung
   [17/03/2007|15:57] C:\DOCUME~1\MOURAD\APPLIC~1\Screenshot Sender
   [07/06/2010|14:29] C:\DOCUME~1\MOURAD\APPLIC~1\Street-Ads
   [01/02/2007|17:21] C:\DOCUME~1\MOURAD\APPLIC~1\Sun
   [02/01/2010|14:55] C:\DOCUME~1\MOURAD\APPLIC~1\TomTom
   [20/01/2008|21:25] C:\DOCUME~1\MOURAD\APPLIC~1\TVU networks
   [27/01/2007|16:20] C:\DOCUME~1\MOURAD\APPLIC~1\Viewpoint
   [27/12/2007|20:08] C:\DOCUME~1\MOURAD\APPLIC~1\vlc
   [19/02/2007|15:25] C:\DOCUME~1\MOURAD\APPLIC~1\Wallpaper
   [25/08/2009|13:10] C:\DOCUME~1\MOURAD\APPLIC~1\WindSolutions
   [07/03/2009|16:08] C:\DOCUME~1\MOURAD\APPLIC~1\Zylom


   [01/06/2010|17:34] C:\DOCUME~1\NETWOR~1\APPLIC~1\Adobe
   [01/06/2010|17:37] C:\DOCUME~1\NETWOR~1\APPLIC~1\Macromedia
   [30/09/2006|10:18] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

   [05/02/2008|18:13] C:\DOCUME~1\samira\APPLIC~1\Adobe
   [05/02/2008|20:00] C:\DOCUME~1\samira\APPLIC~1\Google
   [05/02/2008|18:07] C:\DOCUME~1\samira\APPLIC~1\HP
   [20/03/2010|22:07] C:\DOCUME~1\samira\APPLIC~1\HpUpdate
   [30/09/2006|10:18] C:\DOCUME~1\samira\APPLIC~1\Identities
   [30/09/2006|10:18] C:\DOCUME~1\samira\APPLIC~1\Macromedia
   [05/02/2008|18:07] C:\DOCUME~1\samira\APPLIC~1\MailFrontier
   [20/03/2010|22:43] C:\DOCUME~1\samira\APPLIC~1\Microsoft
   [22/10/2008|20:03] C:\DOCUME~1\samira\APPLIC~1\Mozilla
   [27/11/2009|13:48] C:\DOCUME~1\samira\APPLIC~1\Real
   [09/11/2008|21:49] C:\DOCUME~1\samira\APPLIC~1\Sun
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [08/06/2010 23:50][--a------] C:\WINDOWS	asks\GoogleUpdateTaskMachineUA.job
   [09/06/2010 14:20][--a------] C:\WINDOWS	asks\GoogleUpdateTaskMachineCore.job
   [31/05/2010 16:54][--a------] C:\WINDOWS	asks\AppleSoftwareUpdate.job
   [09/06/2010 14:20][--ah-----] C:\WINDOWS	asks\SA.DAT
   [10/08/2004 22:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [15/02/2007|11:43] C:\Program Files\AbiSuite2
   [30/09/2006|10:19] C:\Program Files\Acer WLAN 11g USB Dongle
   [06/05/2009|20:31] C:\Program Files\Adobe
   [27/12/2007|16:32] C:\Program Files\adslTV
   [01/02/2007|12:51] C:\Program Files\Ahead
   [02/06/2010|18:28] C:\Program Files\Alwil Software
   [18/02/2007|13:51] C:\Program Files\Ant Movie Catalog
   [25/12/2007|23:48] C:\Program Files\Apple Software Update
   [31/01/2009|18:18] C:\Program Files\Athan
   [09/02/2007|18:57] C:\Program Files\AvRack
   [19/02/2007|14:52] C:\Program Files\AVSMedia
   [15/04/2008|17:23] C:\Program Files\Azureus
   [30/04/2009|18:29] C:\Program Files\Coktel
   [30/09/2006|10:19] C:\Program Files\commercial
   [18/02/2007|16:25] C:\Program Files\Copernic Agent
   [19/02/2007|11:46] C:\Program Files\Coup de Foot 2006
   [19/02/2007|12:07] C:\Program Files\CVitae
   [30/09/2006|10:19] C:\Program Files\CyberLink
   [13/03/2007|18:28] C:\Program Files\DesignSoft
   [30/09/2006|10:19] C:\Program Files\DIFX
   [28/12/2007|16:56] C:\Program Files\DMV
   [24/01/2007|16:52] C:\Program Files\DVD Shrink
   [24/10/2008|16:55] C:\Program Files\eMule
   [09/02/2007|21:14] C:\Program Files\ESTsoft
   [09/11/2007|13:53] C:\Program Files\Family Home Multim'dia
   [08/06/2010|14:29] C:\Program Files\Fichiers communs
   [03/04/2009|16:25] C:\Program Files\FileZilla
   [30/01/2010|15:32] C:\Program Files\FileZilla FTP Client
   [14/04/2010|13:03] C:\Program Files\Free
   [27/12/2007|19:50] C:\Program Files\Freeplayer
   [30/09/2006|10:19] C:\Program Files\FrenchOtto
   [30/09/2006|10:19] C:\Program Files\GemMasterFrench
   [01/06/2010|20:40] C:\Program Files\Google
   [22/04/2009|17:37] C:\Program Files\Hachette Multimedia
   [12/03/2008|17:20] C:\Program Files\Hachette Multim'dia
   [31/05/2010|23:19] C:\Program Files\HardwareDetection
   [08/12/2006|21:30] C:\Program Files\Hewlett-Packard
   [28/11/2009|16:41] C:\Program Files\HP
   [01/06/2010|21:11] C:\Program Files\InstallShield Installation Information
   [09/06/2010|13:36] C:\Program Files\Internet Explorer
   [08/09/2009|22:34] C:\Program Files\Java
   [17/12/2009|21:09] C:\Program Files\JCA2000
   [28/05/2010|00:57] C:\Program Files\Kill Process
   [11/06/2008|21:45] C:\Program Files\LG Electronics
   [01/09/2009|11:23] C:\Program Files\MarkAny
   [27/09/2008|18:38] C:\Program Files\Messenger
   [25/11/2009|20:22] C:\Program Files\Microsoft
   [12/12/2006|12:11] C:\Program Files\Microsoft AutoRoute
   [09/05/2007|10:23] C:\Program Files\Microsoft CAPICOM 2.1.0.2
   [30/09/2006|10:19] C:\Program Files\microsoft frontpage
   [02/03/2007|16:02] C:\Program Files\Microsoft LifeCam
   [18/02/2007|12:55] C:\Program Files\Microsoft Office
   [04/06/2010|21:27] C:\Program Files\Microsoft Silverlight
   [26/02/2008|14:03] C:\Program Files\Microsoft SQL Server Compact Edition
   [25/11/2009|20:25] C:\Program Files\Microsoft Sync Framework
   [21/05/2008|12:29] C:\Program Files\Mindscape
   [12/03/2010|19:22] C:\Program Files\Movie Maker
   [03/06/2010|14:24] C:\Program Files\Mozilla Firefox
   [08/01/2008|21:58] C:\Program Files\Mozilla Firefox 3 Beta 2
   [27/11/2009|12:04] C:\Program Files\MSBuild
   [26/02/2008|17:33] C:\Program Files\MSN
   [30/09/2006|10:19] C:\Program Files\MSN Gaming Zone
   [12/11/2008|14:48] C:\Program Files\MSXML 4.0
   [11/02/2007|18:36] C:\Program Files\NASA
   [15/02/2007|12:45] C:\Program Files\Nero
   [27/09/2008|18:31] C:\Program Files\NetMeeting
   [30/09/2006|10:19] C:\Program Files\NewTech Infosystems
   [05/05/2008|18:43] C:\Program Files\NRJ
   [30/09/2006|10:19] C:\Program Files\Oca History Tool
   [26/02/2008|17:33] C:\Program Files\Online Services
   [12/05/2010|12:08] C:\Program Files\Outlook Express
   [01/09/2009|11:25] C:\Program Files\PC Connectivity Solution
   [25/12/2007|23:53] C:\Program Files\QuickTime
   [04/02/2007|13:00] C:\Program Files\Real
   [01/02/2007|12:51] C:\Program Files\Real Clone DVD
   [10/02/2007|13:34] C:\Program Files\Realtek
   [09/02/2007|18:02] C:\Program Files\Realtek AC97
   [27/11/2009|12:04] C:\Program Files\Reference Assemblies
   [01/09/2009|11:25] C:\Program Files\Samsung
   [30/09/2006|10:20] C:\Program Files\Services en ligne
   [19/02/2007|14:28] C:\Program Files\Skype
   [09/11/2008|22:15] C:\Program Files\SopCast
   [25/05/2010|15:25] C:\Program Files\Sunbelt Software
   [31/05/2010|17:26] C:\Program Files\SuperScan
   [07/03/2007|15:16] C:\Program Files\Symantec
   [19/02/2007|11:56] C:\Program Files\The Koran
   [19/02/2007|12:08] C:\Program Files\The Love Machine
   [07/04/2010|16:44] C:\Program Files\Tibili
   [02/01/2010|14:54] C:\Program Files\TomTom HOME 2
   [02/01/2010|14:54] C:\Program Files\TomTom International B.V
   [29/11/2009|20:40] C:\Program Files\TVUPlayer
   [22/02/2007|15:56] C:\Program Files\Uninstall Information
   [21/11/2009|23:27] C:\Program Files\Veetle
   [26/12/2007|16:17] C:\Program Files\VideoLAN
   [08/12/2006|21:12] C:\Program Files\Viewpoint
   [26/02/2008|14:10] C:\Program Files\Web Media Player
   [25/11/2009|20:28] C:\Program Files\Windows Live
   [27/01/2009|20:48] C:\Program Files\Windows Live SkyDrive
   [26/02/2008|18:38] C:\Program Files\Windows Live Toolbar
   [05/05/2008|18:45] C:\Program Files\Windows Media Components
   [18/02/2007|18:13] C:\Program Files\Windows Media Connect 2
   [23/10/2008|10:49] C:\Program Files\Windows Media Player
   [27/09/2008|18:31] C:\Program Files\Windows NT
   [30/09/2006|10:20] C:\Program Files\Windows Plus
   [25/08/2009|13:09] C:\Program Files\WindSolutions
   [30/09/2006|10:20] C:\Program Files\xerox
   [05/03/2007|17:20] C:\Program Files\Xilisoft
   [26/02/2008|14:08] C:\Program Files\Yahoo!
   [02/11/2008|17:15] C:\Program Files\YesMessenger
   [02/06/2010|16:46] C:\Program Files\ZHPDiag
   [26/02/2008|17:10] C:\Program Files\Zone Labs
   [07/03/2009|16:08] C:\Program Files\Zylom Games

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [06/05/2009|20:31] C:\Program Files\Fichiers communs\Adobe
   [15/02/2007|12:45] C:\Program Files\Fichiers communs\Ahead
   [15/02/2007|11:42] C:\Program Files\Fichiers communs\AOL
   [08/12/2006|21:12] C:\Program Files\Fichiers communs\aolback
   [25/12/2007|23:48] C:\Program Files\Fichiers communs\Apple
   [28/12/2007|15:36] C:\Program Files\Fichiers communs\AVSMedia
   [18/02/2007|16:25] C:\Program Files\Fichiers communs\Copernic
   [08/12/2006|21:29] C:\Program Files\Fichiers communs\Hewlett-Packard
   [08/12/2006|21:32] C:\Program Files\Fichiers communs\HP
   [30/09/2006|10:19] C:\Program Files\Fichiers communs\InstallShield
   [07/12/2006|18:29] C:\Program Files\Fichiers communs\Java
   [30/09/2006|10:19] C:\Program Files\Fichiers communs\LightScribe
   [02/06/2010|18:28] C:\Program Files\Fichiers communs\Microsoft Shared
   [30/09/2006|10:19] C:\Program Files\Fichiers communs\MSSoap
   [30/09/2006|10:19] C:\Program Files\Fichiers communs\muvee Technologies
   [12/12/2006|12:22] C:\Program Files\Fichiers communs\Nero
   [30/09/2006|10:19] C:\Program Files\Fichiers communs\NewTech Infosystems
   [08/12/2006|21:12] C:\Program Files\Fichiers communs\Nullsoft
   [18/02/2007|18:22] C:\Program Files\Fichiers communs\Real
   [30/09/2006|10:19] C:\Program Files\Fichiers communs\Services
   [30/09/2006|10:19] C:\Program Files\Fichiers communs\SpeechEngines
   [07/03/2007|15:16] C:\Program Files\Fichiers communs\Symantec Shared
   [27/09/2008|18:31] C:\Program Files\Fichiers communs\System
   [27/01/2009|20:40] C:\Program Files\Fichiers communs\Windows Live
   [06/01/2008|17:12] C:\Program Files\Fichiers communs\WindowsLiveInstaller
   [18/02/2007|18:22] C:\Program Files\Fichiers communs\xing shared

   --------------------\  Process

   ( 62 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2010-06-09 14:33:58
   Windows 5.1.2600 Service Pack 3 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 11
 
   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [F:89][D:5]-> C:\DOCUME~1\MOURAD\LOCALS~1\Temp
   [F:23][D:0]-> C:\DOCUME~1\MOURAD\Cookies
   [F:1126][D:4]-> C:\DOCUME~1\MOURAD\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 09/06/2010|14:36 - Option : [1]

   --------------------\  Fin du rapport a 14:36:06

vin 03 · Answer

Salut dédétraqué

Je vois que cela fait 2 jours que tu ne m' as pas répondu suite au rapport que je t' ai envoyé, donc je pense que le travail est fini.

Veut-tu bien me le confirmer s.t.p merci je t' en serai gré !

@ ++ :)

dédétraqué · Answer

Salut vin 03


Désolé pour l'interruption, mon PC m'avais lâché.

Télécharge OTM (de Old_Timer) sur le bureau :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double-clique sur OTM.exe sur le bureau

- Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

 :files 
c:\documents and settings\MOURAD\Application Data\Street-Ads

:commands 
[emptytemp] 

- Clique sur MoveIt! pour lancer la suppression.
- Ferme OTM

Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.


-----


On va vérifier si rien de caché :
Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

https://www.eset.com/int/home/online-scanner/

(coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer) 
A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt


@++   :)

vin 03 · Answer

Salut dédétraqué

Je savoir si il y' avait encore énormément de boulot car je part en vacances le 01/07/2010 si la réponse est non ok !

@ ++ :)

dédétraqué · Answer

Salut vin 03 


Va rester a sécurisé ton PC...


@++   :)

vin 03 · Answer

Salut dédétraqué

Voilà j' ai avast et kerio pour sécuriser mon pc mais dit moi ce qu' il y'a à faire encore, je t' écoute.

Merci pour toute l' aide que tu m'apporte depuis début juin, vraiment j' apprécie énormément !

@++ :)

dédétraqué · Answer

Salut vin 03 


Tu ne m'as pas posté les derniers rapports :
https://forums.commentcamarche.net/forum/affich-17916061-virus-bankerfox-a-et-nuqel-e?page=2#22


@++    :)

vin 03 · Answer

Salut dédétraqué

Voici le rapport de  OTMoveIt que tu m' as demandé:

https://www.cjoint.com/?gAoWqwn3dE

Sinon pour faire un scan avec Nod32 en ligne, je n' y arrive pas je ne sais comment procéder.

@++ :)

dédétraqué · Answer

Salut vin 03


Pour le scan en ligne, double clique sur le raccourci d'Internet Explorer et mettre cette adresse : https://www.eset.com/int/home/online-scanner/

Dans la barre d'adresse du navigateur (IE).
(Vista/Seven--> Faire un clique droit sur le raccourci d'Internet Explorer et choisir exécuter en tant qu'administrateur

Sur la page du Scanner, clique sur le bouton vert : ESET Online Scanner
Une nouvelle fenêtre va s'ouvrir (Contrat de Licence Utilisateur), dans le bas coche la case YES, I accept the Terms of Use et clique sur le bouton vert Start.
Une petite fenêtre va s'ouvrir pour l'installation du scanner, accepte l'installation et après dans la page, coche la case Scan archives et clique sur le bouton Start pour débuter le scan.


@++   :)

vin 03 · Answer

Salut dédétraqué

J' ai suivi la procédure que tu m' as décrite ci-dessus, certes tout est ok mais une fois que j' ai coché la case YES, I accept the Terms of Use, je n' ai aucun bouton Start.

Je ne sais pas où il se cache !

@++ :)

dédétraqué · Answer

Salut vin 03 


Sur la droite, une fois la case coché, la case Start deviens plus vert foncé.


@++    :)

vin 03 · Answer

Salut dédétraqué

Une fois que je coche la case, il n' y a aucun bouton vert foncé comme tu dit, au contraire tout est blanc.

@++ :)

dédétraqué · Answer

Salut vin 03 


Voir avec BitDefender ici :

http://www.bitdefender.fr/scan8/ie.html (A faire avec Internet Explorer)


Tutoriel : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId406812


@++ :)

vin 03 · Answer

Salut dédétraqué

Désolé mais je n' arrive pas à scanner !

P.S:l N' oublie pas que je part en vacance le jeudi 1 juillet !

@++ :)

dédétraqué · Answer

Salut vin 03


C'est a quel endroit que sa bloque?

Si tu part 2 semaines en vacance, après c'est moi  :)))))


@++    :)

vin 03 · Answer

Salut dédétraqué

Vaut mieux laisser tomber on poursuivra dès que l' on sera rentré de vacances, c' est mieux.

P.S: En plus je dois préparer mes affaires et plein de choses encore, bonne vacances !!!

@++ :)

dédétraqué · Answer

Salut vin 03 


OK, c'est comme tu veux, bonne vacance et tiens moi au courant.


@++    :)

vin 03 · Answer

Salut dédétraqué 

Jsp ke tu vas bien et ke tu as passé de bonne vacances je sais ça fait longtemps mais mieux vaut tard que jamais comme on dit lol !!!

@++ :)

Virus BankerFox.A et Nuqel.E

37 réponses

Votre réponse

Discussions similaires

Newsletters