Sujet Précédent Sujet Suivant

Infecté par trojan.popuper... je crois...

Résolu
dudu69 Messages postés 3 Statut Membre -  
 soulpapa -
Bonjour a tous, c'est la première fois que je viens sur ce forum. Je viens parce que j'ai attrapé un trojan et d'autres chose je pense. Tous meas anti virus ne les trouvent pas ou ne les suppriment pas. En plus de ça, je n'ai plu de son sur mon pc donc j'espère ke vous pourrez m'aider... merci. Je joint mon rapport hijack :

ogfile of HijackThis v1.99.1
Scan saved at 11:39:10, on 13/09/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Documents and Settings\alex\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Program Files\iCodecPack\iesplugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] C:\Program Files\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Program Files\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: BitDefender Scan Server (bdss) - GRISOFT, s.r.o. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Merci d'avance...

91 réponses

Précédent
Réponse 41 / 91
MAUR
 
Salut Green Day,
Voici le log de RegSearch.
Cordiales salutations.
MAUR

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "actxprx.dll" 14/12/2007 08:15:49

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AFE2CEA-4E86-4D5C-AC75-C99823706077}\InprocServer32]
@="C:\\WINDOWS\\system32\\actxprx.dll"
0
Réponse 42 / 91
MAUR
 
Salut Green Day,
Comme tu m'as souvent cité le chemin suivant >>> C:\WINDOWS\system32\actxprx.dll
et que je viens de faire un scan en ligne avec BitDefender où je retrouve ce chemin avec un virus qu'il n'arrive ni à désinfecter ni à détruire, je me demande si ce ne serait pas lui: Trojan.Spy.Bzub.NGP ???
A toutes fins utiles, je t'envoie le log.
Meilleures salutations.
MAUR

BitDefender Online Scanner

Scan report generated at: Fri, Dec 14, 2007 - 17:34:06

Scan path: C:\;D:\;E:\;

Statistics

Time
00:27:45

Files
116377

Folders
2358

Boot Sectors
3

Archives
868

Packed Files
5773

Results

Identified Viruses
4

Infected Files
4

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
3

Engines Info

Virus Definitions
881978

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\System Volume Information\_restore{58C3246C-955D-46D1-9509-A0045E3FBCD1}\RP122\A0010689.EXE
Infected with: Trojan.Agent.AIQ

C:\System Volume Information\_restore{58C3246C-955D-46D1-9509-A0045E3FBCD1}\RP122\A0010689.EXE
Disinfection failed

C:\System Volume Information\_restore{58C3246C-955D-46D1-9509-A0045E3FBCD1}\RP122\A0010689.EXE
Deleted

C:\WINDOWS\system32\actxprx.dll
Infected with: Trojan.Spy.Bzub.NGP

C:\WINDOWS\system32\actxprx.dll
Disinfection failed

C:\WINDOWS\system32\actxprx.dll
Delete failed

D:\eMule\Incoming\Download l'atlantide bob swaim bittorrent with the fastest BitTorrent downloader.RB0=>BFT1.exe=>wise0008
Infected with: Trojan.Inject.BA

D:\eMule\Incoming\Download l'atlantide bob swaim bittorrent with the fastest BitTorrent downloader.RB0=>BFT1.exe=>wise0008
Disinfection failed

D:\eMule\Incoming\Download l'atlantide bob swaim bittorrent with the fastest BitTorrent downloader.RB0=>BFT1.exe=>wise0008
Deleted

D:\eMule\Incoming\Download l'atlantide bob swaim bittorrent with the fastest BitTorrent downloader.RB0=>BFT1.exe
Update failed

D:\eMule\Incoming\View l'atlantide bob swaim with the ultimate player.zip=>PlayerToolSetup05.exe=>wise0008=>(Instyler o)=>(Instyler Module 7)
Infected with: Trojan.FatObfus.Gen

D:\eMule\Incoming\View l'atlantide bob swaim with the ultimate player.zip=>PlayerToolSetup05.exe=>wise0008=>(Instyler o)=>(Instyler Module 7)
Disinfection failed

D:\eMule\Incoming\View l'atlantide bob swaim with the ultimate player.zip=>PlayerToolSetup05.exe=>wise0008=>(Instyler o)=>(Instyler Module 7)
Deleted

D:\eMule\Incoming\View l'atlantide bob swaim with the ultimate player.zip=>PlayerToolSetup05.exe=>wise0008=>(Instyler o)
Update failed
0
Réponse 43 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Bonsoir

Ouvre le bloc note et copie/colle ceci: (met Regedit4 sur la 1ere ligne du bloc note)

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AFE2CEA-4E86-4D5C-AC75-C99823706077}\InprocSe rver32]
@="C:\\WINDOWS\\system32\\actxprx.dll"


Puis enregistrer sous et dans:
Nom du fichier, met bureau.reg
Type : sélectionne "tous les fichiers"
clique sur enregistrer

Double clique sur bureau.reg et accepte la fusion avec le registre.

Redemarre ton PC et remet un HijackThis + un Combofix.

++
0
Réponse 44 / 91
MAUR
 
Salut Green Day,
Je te remets un HijackThis après la manip bureau.reg.
Patiente pour le ComboFix.
Cordiales salutations.
MAUR

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:50:03, on 14/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\AEServEx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\tp4mon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\morice\LOCALS~1\Temp\Rar$EX00.960\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AFE2CEA-4E86-4D5C-AC75-C99823706077} - C:\WINDOWS\system32\actxprx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C3ED940-BF71-43EC-86B6-77903C0BC8CF}: NameServer = 212.217.0.14 196.217.246.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C3ED940-BF71-43EC-86B6-77903C0BC8CF}: NameServer = 212.217.0.14 196.217.246.210
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: LogonLauncher - C:\WINDOWS\SYSTEM32\LogLaun.dll
O23 - Service: AEServ - Faronics Corporation - C:\WINDOWS\system32\AEServEx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 0: (no name) - https://bestofchat.com/include/onglet.js?update=20061207
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 91
MAUR
 
Salut Green Day,
Je te remets un ComboFix.
Cordiales salutations.
MAUR

ComboFix 07-12-12.3 - morice 2007-12-14 22:08:58.4 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.318 [GMT 1:00]
Running from: C:\Documents and Settings\morice\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-14 to 2007-12-14 ))))))))))))))))))))))))))))))))))))
.

2007-12-14 14:38 . 2007-12-14 14:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-14 11:16 . 2007-12-14 11:16 <REP> d-------- C:\WINDOWS\cache
2007-12-13 20:06 . 2007-02-09 10:26 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-12-13 20:06 . 2005-03-11 04:29 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-12-12 17:17 . 2007-12-12 17:17 <REP> d-------- C:\Documents and Settings\morice\Application Data\Apple Computer
2007-12-12 17:15 . 2007-12-12 17:15 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-11 20:27 . 2007-12-11 20:27 2,704 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-11 20:26 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-11 20:26 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-11 20:26 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-11 20:26 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-08 17:37 . 2007-12-14 17:05 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-08 16:29 . 2007-12-08 16:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-08 14:04 . 2007-12-14 08:27 <REP> d-------- C:\Program Files\Navilog1
2007-12-06 14:06 . 2007-12-06 15:21 <REP> d-------- C:\WINDOWS\Net Pro Anti-Popup
2007-12-05 20:17 . 2007-12-05 20:17 <REP> d-------- C:\Program Files\Trend Micro
2007-12-05 18:47 . 2007-12-05 18:47 <REP> d-------- C:\WINDOWS\AU_Temp
2007-12-05 16:05 . 2007-12-10 10:53 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-12-05 15:59 . 2007-12-10 10:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2007-12-05 13:34 . 2007-12-05 15:37 <REP> d-------- C:\Program Files\Fichiers communs\Nettordinateur
2007-12-05 13:34 . 2007-12-05 13:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nettordinateur
2007-12-04 20:59 . 2007-12-04 20:59 <REP> d-------- C:\Program Files\SafeSoft
2007-12-04 20:52 . 2007-12-12 17:15 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-04 13:49 . 2007-12-04 13:49 <REP> d-------- C:\WINDOWS\report
2007-12-04 13:47 . 2007-12-04 15:14 <REP> d-------- C:\WINDOWS\AU_Backup
2007-12-04 13:47 . 2007-12-04 13:47 39,823,741 --a------ C:\WINDOWS\VPTNFILE.859
2007-12-04 13:47 . 2007-12-04 13:47 1,899,383 --a------ C:\WINDOWS\tsc.ptn
2007-12-04 13:47 . 2007-12-04 15:15 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-12-04 13:47 . 2007-12-04 13:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-12-04 13:47 . 2007-12-04 15:15 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-12-04 13:47 . 2007-12-04 13:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-12-04 13:47 . 2007-12-05 18:47 823 --a------ C:\WINDOWS\tsc.ini
2007-12-04 13:30 . 2007-12-04 13:30 <REP> d-------- C:\WINDOWS\AU_Log
2007-12-04 13:30 . 2007-12-04 13:30 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-12-04 13:30 . 2007-12-04 13:30 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-12-04 13:30 . 2007-12-04 13:30 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-12-04 13:30 . 2007-12-05 18:47 170 --a------ C:\WINDOWS\GetServer.ini
2007-12-04 10:50 . 2007-12-04 10:50 31 --a------ C:\WINDOWS\wininit.ini
2007-12-01 15:03 . 2007-12-03 17:19 14 --a------ C:\Documents and Settings\morice\getfile.dat
2007-11-29 12:46 . 2007-12-01 14:36 <REP> d-------- C:\Program Files\QuickTime
2007-11-29 12:46 . 2007-11-29 12:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-11-25 09:07 . 2007-11-25 09:07 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-11-25 09:07 . 2007-12-02 13:46 <REP> d-------- C:\Documents and Settings\morice\Application Data\skypePM
2007-11-25 09:07 . 2007-11-25 09:07 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-11-25 08:35 . 2007-11-25 09:13 <REP> d-------- C:\Documents and Settings\morice\Application Data\VoipCheapCom
2007-11-24 19:22 . 19,456 C:\WINDOWS\system32\drivers\wcykwgba.dat
2007-11-24 19:20 . 2007-12-04 21:04 <REP> d-------- C:\Program Files\eMule
2007-11-24 19:09 . 2004-08-04 01:54 114,688 --a------ C:\WINDOWS\system32\actxprx.2
2007-11-24 19:09 . 2004-08-04 01:54 96,512 --a------ C:\WINDOWS\system32\actxprx.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-14 21:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-14 13:13 --------- d-----w C:\Program Files\Yahoo!
2007-12-14 10:17 --------- d-----w C:\Documents and Settings\morice\Application Data\Yahoo!
2007-12-14 07:31 --------- d-----w C:\Program Files\Spyware Doctor
2007-12-13 12:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2007-12-02 13:36 --------- d-----w C:\Documents and Settings\morice\Application Data\Skype
2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
2007-10-19 12:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-10-19 12:17 --------- d-----w C:\Program Files\CCleaner
2007-10-16 18:33 --------- d-----w C:\Program Files\Skype
2007-10-16 18:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2007-10-16 13:18 --------- d-----w C:\Program Files\Java
2007-10-16 13:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe
.

((((((((((((((((((((((((((((( snapshot@2007-12-09_22.30.18,53 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-10-25 09:26:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2007-12-14 16:05:11 77,824 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2006-04-14 12:09:46 188,968 ----a-w C:\WINDOWS\cache\yinsthelper.dll
- 2007-12-08 02:32:45 141,824 ----a-w C:\WINDOWS\catchme.exe
+ 2007-12-09 18:04:27 142,336 ----a-w C:\WINDOWS\catchme.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1AFE2CEA-4E86-4D5C-AC75-C99823706077}]
2004-08-04 01:54 96512 --a------ C:\WINDOWS\system32\actxprx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-06 16:37]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 00:07]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 17:43]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 01:55 C:\WINDOWS\system32\tp4mon.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 14:24]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 22:22]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-10-02 15:27]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-13 13:43]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 20:16]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\Menara\dslmon.exe [2007-08-02 12:06:52]
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-09-06 16:37:48]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DfLogon]
LogonDll.dll 2007-07-17 19:49 65536 C:\WINDOWS\system32\LogonDll.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LogonLauncher]
LogLaun.dll 2006-08-29 14:27 65536 C:\WINDOWS\system32\LogLaun.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KxNT]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R0 AeInput;AeInput;C:\WINDOWS\system32\drivers\AeInput.sys
R0 DeepFrz;DeepFrz;C:\WINDOWS\system32\drivers\DeepFrz.sys
R0 mlvsmytk;mlvsmytk;C:\WINDOWS\system32\drivers\wcykwgba.dat
S2 AEServ;AEServ;C:\WINDOWS\system32\AEServEx.exe
S2 KxNT;KxNT;C:\WINDOWS\system32\drivers\KxNT.sys
S3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{36f79df0-8bd3-11dc-9478-00096b4d1f04}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe

*Newly Created Service* - ADILOADER
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-14 22:10:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\LogonDll.dll
.
Completion time: 2007-12-14 22:11:44
0
Réponse 46 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

encore et toujours là ! :/

* Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) : http://www2.gmer.net/gmer.zip
* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
* Clique sur l'onglet "rootkit",
* A droite, coche "Files" et "Services" puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note et poste le stp

++
0
Réponse 47 / 91
MAUR
 
Salut Green Day,
Qu'on se comprenne. Après rootkit j'ai trouvé toutes les cases cochées que j'ai décochées sauf FILES et SERVICES. C'est correct ???
Puis, après SCAN, gmer dit qu'i ln'a trouvé aucune modification. >>> DONC rien à poster.
stp peux-tu me dire le nom du virus ??? Merci.
MAUR
0
Réponse 48 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

oui, c'est bien ça !

en faisant quelques recherches, je suis tombé sur une manip intéressante et j'ai demandé conseil pour virer cette bébétte qui fait de la résistance !

Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
mlvsmytk

Registry::
[-HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1AFE2CEA-4E86-4D5C-AC75-C99823706077}]

File::
C:\WINDOWS\system32\drivers\wcykwgba.dat
C:\WINDOWS\system32\actxprx.dll

Folder::
C:\WINDOWS\system32\actxprx.2

ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Dans la fenêtre qui suit, choisie l'option 1 puis valide
Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )

@+

0
Réponse 49 / 91
MAUR
 
Salut Green Day,
Voici un nouveau log de Combo.
stp, puis-je avoir le nom du virus ??? Merci.
Cordiales salutations.
MAUR.

ComboFix 07-12-12.3 - morice 2007-12-15 12:21:58.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.241 [GMT 1:00]
Running from: C:\Documents and Settings\morice\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\morice\Bureau\CFScript.txt.txt
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-15 to 2007-12-15 ))))))))))))))))))))))))))))))))))))
.

2007-12-14 16:39 . 2007-12-14 16:39 250 --a------ C:\WINDOWS\gmer.ini
2007-12-14 14:38 . 2007-12-14 14:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-14 11:16 . 2007-12-14 11:16 <REP> d-------- C:\WINDOWS\cache
2007-12-13 20:06 . 2007-02-09 10:26 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-12-13 20:06 . 2005-03-11 04:29 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-12-12 17:17 . 2007-12-12 17:17 <REP> d-------- C:\Documents and Settings\morice\Application Data\Apple Computer
2007-12-12 17:15 . 2007-12-12 17:15 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-11 20:27 . 2007-12-11 20:27 2,704 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-11 20:26 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-11 20:26 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-11 20:26 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-11 20:26 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-08 17:37 . 2007-12-14 17:05 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-08 16:29 . 2007-12-08 16:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-08 14:04 . 2007-12-14 08:27 <REP> d-------- C:\Program Files\Navilog1
2007-12-06 14:06 . 2007-12-06 15:21 <REP> d-------- C:\WINDOWS\Net Pro Anti-Popup
2007-12-05 20:17 . 2007-12-05 20:17 <REP> d-------- C:\Program Files\Trend Micro
2007-12-05 18:47 . 2007-12-05 18:47 <REP> d-------- C:\WINDOWS\AU_Temp
2007-12-05 16:05 . 2007-12-10 10:53 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-12-05 15:59 . 2007-12-10 10:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2007-12-05 13:34 . 2007-12-05 15:37 <REP> d-------- C:\Program Files\Fichiers communs\Nettordinateur
2007-12-05 13:34 . 2007-12-05 13:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nettordinateur
2007-12-04 20:59 . 2007-12-04 20:59 <REP> d-------- C:\Program Files\SafeSoft
2007-12-04 20:52 . 2007-12-12 17:15 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-04 13:49 . 2007-12-04 13:49 <REP> d-------- C:\WINDOWS\report
2007-12-04 13:47 . 2007-12-04 15:14 <REP> d-------- C:\WINDOWS\AU_Backup
2007-12-04 13:47 . 2007-12-04 13:47 39,823,741 --a------ C:\WINDOWS\VPTNFILE.859
2007-12-04 13:47 . 2007-12-04 13:47 1,899,383 --a------ C:\WINDOWS\tsc.ptn
2007-12-04 13:47 . 2007-12-04 15:15 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-12-04 13:47 . 2007-12-04 13:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-12-04 13:47 . 2007-12-04 15:15 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-12-04 13:47 . 2007-12-04 13:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-12-04 13:47 . 2007-12-05 18:47 823 --a------ C:\WINDOWS\tsc.ini
2007-12-04 13:30 . 2007-12-04 13:30 <REP> d-------- C:\WINDOWS\AU_Log
2007-12-04 13:30 . 2007-12-04 13:30 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-12-04 13:30 . 2007-12-04 13:30 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-12-04 13:30 . 2007-12-04 13:30 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-12-04 13:30 . 2007-12-05 18:47 170 --a------ C:\WINDOWS\GetServer.ini
2007-12-04 10:50 . 2007-12-04 10:50 31 --a------ C:\WINDOWS\wininit.ini
2007-12-01 15:03 . 2007-12-03 17:19 14 --a------ C:\Documents and Settings\morice\getfile.dat
2007-11-29 12:46 . 2007-12-01 14:36 <REP> d-------- C:\Program Files\QuickTime
2007-11-29 12:46 . 2007-11-29 12:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-11-25 09:07 . 2007-11-25 09:07 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-11-25 09:07 . 2007-12-02 13:46 <REP> d-------- C:\Documents and Settings\morice\Application Data\skypePM
2007-11-25 09:07 . 2007-11-25 09:07 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-11-25 08:35 . 2007-11-25 09:13 <REP> d-------- C:\Documents and Settings\morice\Application Data\VoipCheapCom
2007-11-24 19:22 . 19,456 C:\WINDOWS\system32\drivers\wcykwgba.dat
2007-11-24 19:09 . 2004-08-04 01:54 114,688 --a------ C:\WINDOWS\system32\actxprx.2
2007-11-24 19:09 . 2004-08-04 01:54 96,512 --a------ C:\WINDOWS\system32\actxprx.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-15 11:02 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-15 06:02 --------- d-----w C:\Documents and Settings\morice\Application Data\Skype
2007-12-14 13:13 --------- d-----w C:\Program Files\Yahoo!
2007-12-14 10:17 --------- d-----w C:\Documents and Settings\morice\Application Data\Yahoo!
2007-12-14 07:31 --------- d-----w C:\Program Files\Spyware Doctor
2007-12-13 12:05 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
2007-10-19 12:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-10-19 12:17 --------- d-----w C:\Program Files\CCleaner
2007-10-16 18:33 --------- d-----w C:\Program Files\Skype
2007-10-16 18:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2007-10-16 13:18 --------- d-----w C:\Program Files\Java
2007-10-16 13:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe
.

((((((((((((((((((((((((((((( snapshot@2007-12-09_22.30.18,53 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-10-25 09:26:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2007-12-14 16:05:11 77,824 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2006-04-14 12:09:46 188,968 ----a-w C:\WINDOWS\cache\yinsthelper.dll
- 2007-12-08 02:32:45 141,824 ----a-w C:\WINDOWS\catchme.exe
+ 2007-12-09 18:04:27 142,336 ----a-w C:\WINDOWS\catchme.exe
+ 2007-12-14 15:39:46 585,791 ----a-w C:\WINDOWS\gmer.dll
+ 2007-06-29 08:38:18 581,632 ----a-w C:\WINDOWS\gmer.exe
+ 2007-12-14 15:39:46 70,001 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1AFE2CEA-4E86-4D5C-AC75-C99823706077}]
2004-08-04 01:54 96512 --a------ C:\WINDOWS\system32\actxprx.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-06 16:37]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 00:07]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 01:55 C:\WINDOWS\system32\tp4mon.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 14:24]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 22:22]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-10-02 15:27]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-13 13:43]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 20:16]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
DSLMON.lnk - C:\Program Files\Menara\dslmon.exe [2007-08-02 12:06:52]
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-09-06 16:37:48]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DfLogon]
LogonDll.dll 2007-07-17 19:49 65536 C:\WINDOWS\system32\LogonDll.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LogonLauncher]
LogLaun.dll 2006-08-29 14:27 65536 C:\WINDOWS\system32\LogLaun.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KxNT]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe -quiet

R0 AeInput;AeInput;C:\WINDOWS\system32\drivers\AeInput.sys
R0 DeepFrz;DeepFrz;C:\WINDOWS\system32\drivers\DeepFrz.sys
R0 mlvsmytk;mlvsmytk;C:\WINDOWS\system32\drivers\wcykwgba.dat
R2 AEServ;AEServ;C:\WINDOWS\system32\AEServEx.exe
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys
S2 KxNT;KxNT;C:\WINDOWS\system32\drivers\KxNT.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{36f79df0-8bd3-11dc-9478-00096b4d1f04}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-15 12:25:22
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\LogonDll.dll
.
Completion time: 2007-12-15 12:26:59
C:\ComboFix2.txt ... 2007-12-14 22:11
0
Réponse 50 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

ça n'a pas fonctionné car le fichier a mal été nommé !

C:\Documents and Settings\morice\Bureau\CFScript.txt.txt

il y a deux fois. txt !

refais la manip stp !


stp, puis-je avoir le nom du virus ???

il s'agit de Trojan.Win32.BHO.abo

@+

0
Réponse 51 / 91
MAUR
 
Salut Green Day,

Je viens de refaire la manip avec Combo.

1)Bien que j'écrive CFScript.txt en le copiant-collant, je vois écrit >>> CFScript.txt.txt, dans le log. Pourquoi ???
Paradoxalement le nom du fichier sur le bureau, est bien CFScript.txt
Par acquis de conscience, j'ai fait RECHERCHE dans C et D pour voir si j'avais un CFScript.txt.txt >>> pas du tout !!!

2)Par ailleurs, je mets les lignes que tu m'as données, tout d'un bloc, dans cfscript.txt, avec un copier-coller.
Est-ce correct ???

Que faire ???

Merci pour le nom du virus.

Cordiales salutations.

MAUR
0
Réponse 52 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Re-salut

ne fais pas copier coller mais tape le nom stp juste ( juste avant de faire la manip, supprime tous les autres fichiers CFScript.txt que tu as )

2)Par ailleurs, je mets les lignes que tu m'as données, tout d'un bloc, dans cfscript.txt, avec un copier-coller.
Est-ce correct ???

oui, c'est ok !

@+

0
Réponse 53 / 91
MAUR
 
Salut Green Day,
Pour une fois ça coince.
J'ai écrasé tous les CFScript jusque dans la corbeille.
Puis j'ai créé le nouveau document texte et une fois après y avoir copié les fameuses lignes, je l'ai renommé CFScript.txt
Enfin j'ai fait un glisser-coller sur ComboFix avec CFScript.txt
Mais je lis toujours dans la 4ème ligne du log >>> C:\Documents and Settings\morice\Bureau\CFScript.txt.txt
Now, your move, Green Day.
Cordiales salutations.
MAUR
PS A toutes fins utiles voici les 5 premières lignes:

ComboFix 07-12-12.3 - morice 2007-12-15 17:34:32.9 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.235 [GMT 1:00]
Running from: C:\Documents and Settings\morice\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\morice\Bureau\CFScript.txt.txt
* Created a new restore point
0
Réponse 54 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut

on va retenter, car je ne vois pas où ça coince :/

télécharge le fichier CFScript.txt à cette adresse puis refais la manip stp :

https://spaces.hightail.com/resolve/ufid/5756257E6EAF068A

@+
0
Réponse 55 / 91
MAUR
 
Salut Green Day,
Après suppresion des fichiers CFScript, vider la corbeille et glisser-coller ton CFScript téléchargé sur ComboFix.
Changement radical dans le processus >>> J'ai pu voir ComboFix à l'action en train de SUPPRIMER certains fichiers, puis me demander gentiment de le laisser faire un REBOOT de Windows.
Auparavant avec mes CFScript, aucune de ces deux actions.
On dirait que ton entreprise a réussi car je ne lis plus txt.txt sur le log.
Question à 100 Francs: pourquoi cela ne marchait pas avec mes CFScript ???
Cordiales salutations.
MAUR

ComboFix 07-12-12.3 - morice 2007-12-16 12:26:39.10 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.249 [GMT 1:00]
Running from: C:\Documents and Settings\morice\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\morice\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\system32\actxprx.dll
C:\WINDOWS\system32\drivers\wcykwgba.dat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\actxprx.2\
C:\WINDOWS\system32\actxprx.dll
C:\WINDOWS\system32\drivers\wcykwgba.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_MLVSMYTK
-------\mlvsmytk

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-16 to 2007-12-16 ))))))))))))))))))))))))))))))))))))
.

2007-12-14 16:39 . 2007-12-14 16:39 250 --a------ C:\WINDOWS\gmer.ini
2007-12-14 14:38 . 2007-12-14 14:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2007-12-14 11:16 . 2007-12-14 11:16 <REP> d-------- C:\WINDOWS\cache
2007-12-13 20:06 . 2007-02-09 10:26 184,320 --a------ C:\WINDOWS\system32\delnext.exe
2007-12-13 20:06 . 2005-03-11 04:29 82,188 --a------ C:\WINDOWS\system32\zip.exe
2007-12-12 17:17 . 2007-12-12 17:17 <REP> d-------- C:\Documents and Settings\morice\Application Data\Apple Computer
2007-12-12 17:15 . 2007-12-12 17:15 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-11 20:27 . 2007-12-11 20:27 2,704 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-11 20:26 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-11 20:26 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-11 20:26 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-11 20:26 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-08 17:37 . 2007-12-14 17:05 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-12-08 16:29 . 2007-12-08 16:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-08 14:04 . 2007-12-14 08:27 <REP> d-------- C:\Program Files\Navilog1
2007-12-06 14:06 . 2007-12-06 15:21 <REP> d-------- C:\WINDOWS\Net Pro Anti-Popup
2007-12-05 20:17 . 2007-12-05 20:17 <REP> d-------- C:\Program Files\Trend Micro
2007-12-05 18:47 . 2007-12-05 18:47 <REP> d-------- C:\WINDOWS\AU_Temp
2007-12-05 16:05 . 2007-12-10 10:53 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2007-12-05 15:59 . 2007-12-10 10:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2007-12-05 13:34 . 2007-12-05 15:37 <REP> d-------- C:\Program Files\Fichiers communs\Nettordinateur
2007-12-05 13:34 . 2007-12-05 13:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nettordinateur
2007-12-04 20:59 . 2007-12-04 20:59 <REP> d-------- C:\Program Files\SafeSoft
2007-12-04 20:52 . 2007-12-12 17:15 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-04 13:49 . 2007-12-04 13:49 <REP> d-------- C:\WINDOWS\report
2007-12-04 13:47 . 2007-12-04 15:14 <REP> d-------- C:\WINDOWS\AU_Backup
2007-12-04 13:47 . 2007-12-04 13:47 39,823,741 --a------ C:\WINDOWS\VPTNFILE.859
2007-12-04 13:47 . 2007-12-04 13:47 1,899,383 --a------ C:\WINDOWS\tsc.ptn
2007-12-04 13:47 . 2007-12-04 15:15 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2007-12-04 13:47 . 2007-12-04 13:47 267,845 --a------ C:\WINDOWS\tsc.exe
2007-12-04 13:47 . 2007-12-04 15:15 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-12-04 13:47 . 2007-12-04 13:47 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2007-12-04 13:47 . 2007-12-05 18:47 823 --a------ C:\WINDOWS\tsc.ini
2007-12-04 13:30 . 2007-12-04 13:30 <REP> d-------- C:\WINDOWS\AU_Log
2007-12-04 13:30 . 2007-12-04 13:30 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2007-12-04 13:30 . 2007-12-04 13:30 286,720 --a------ C:\WINDOWS\PATCH.EXE
2007-12-04 13:30 . 2007-12-04 13:30 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2007-12-04 13:30 . 2007-12-05 18:47 170 --a------ C:\WINDOWS\GetServer.ini
2007-12-04 10:50 . 2007-12-04 10:50 31 --a------ C:\WINDOWS\wininit.ini
2007-12-01 15:03 . 2007-12-03 17:19 14 --a------ C:\Documents and Settings\morice\getfile.dat
2007-11-29 12:46 . 2007-12-01 14:36 <REP> d-------- C:\Program Files\QuickTime
2007-11-29 12:46 . 2007-11-29 12:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-11-25 09:07 . 2007-11-25 09:07 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2007-11-25 09:07 . 2007-12-02 13:46 <REP> d-------- C:\Documents and Settings\morice\Application Data\skypePM
2007-11-25 09:07 . 2007-11-25 09:07 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-11-25 08:35 . 2007-11-25 09:13 <REP> d-------- C:\Documents and Settings\morice\Application Data\VoipCheapCom
2007-11-24 19:09 . 2004-08-04 01:54 114,688 --a------ C:\WINDOWS\system32\actxprx.2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-16 11:33 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-15 15:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2007-12-15 06:02 --------- d-----w C:\Documents and Settings\morice\Application Data\Skype
2007-12-14 13:13 --------- d-----w C:\Program Files\Yahoo!
2007-12-14 10:17 --------- d-----w C:\Documents and Settings\morice\Application Data\Yahoo!
2007-12-14 07:31 --------- d-----w C:\Program Files\Spyware Doctor
2007-10-25 09:26 53,248 ----a-w C:\WINDOWS\bdoscandel.exe
2007-10-19 12:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-10-19 12:17 --------- d-----w C:\Program Files\CCleaner
2007-10-16 18:33 --------- d-----w C:\Program Files\Skype
2007-10-16 18:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2007-10-16 13:18 --------- d-----w C:\Program Files\Java
2007-10-16 13:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe
.

((((((((((((((((((((((((((((( snapshot@2007-12-09_22.30.18,53 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-10-25 09:26:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2007-12-14 16:05:11 77,824 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2006-04-14 12:09:46 188,968 ----a-w C:\WINDOWS\cache\yinsthelper.dll
- 2007-12-08 02:32:45 141,824 ----a-w C:\WINDOWS\catchme.exe
+ 2007-12-09 18:04:27 142,336 ----a-w C:\WINDOWS\catchme.exe
+ 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2007-12-14 15:39:46 585,791 ----a-w C:\WINDOWS\gmer.dll
+ 2007-06-29 08:38:18 581,632 ----a-w C:\WINDOWS\gmer.exe
+ 2007-12-14 15:39:46 70,001 ----a-w C:\WINDOWS\system32\drivers\gmer.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:54]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 13:44]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-06 16:37]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 00:07]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 01:55 C:\WINDOWS\system32\tp4mon.exe]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 16:32]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 14:24]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 14:14]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-01-01 22:22]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-10-02 15:27]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-13 13:43]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 20:16]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DfLogon]
LogonDll.dll 2007-07-17 19:49 65536 C:\WINDOWS\system32\LogonDll.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LogonLauncher]
LogLaun.dll 2006-08-29 14:27 65536 C:\WINDOWS\system32\LogLaun.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KxNT]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe -quiet

R0 AeInput;AeInput;C:\WINDOWS\system32\drivers\AeInput.sys
R0 DeepFrz;DeepFrz;C:\WINDOWS\system32\drivers\DeepFrz.sys
R2 AEServ;AEServ;C:\WINDOWS\system32\AEServEx.exe
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys
S2 KxNT;KxNT;C:\WINDOWS\system32\drivers\KxNT.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{36f79df0-8bd3-11dc-9478-00096b4d1f04}]
\Shell\AutoRun\command - F:\RavMon.exe
\Shell\explore\Command - F:\RavMon.exe -e
\Shell\open\Command - F:\RavMon.exe

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-16 12:33:32
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\LogonDll.dll
.
Completion time: 2007-12-16 12:34:53 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-15 17:40
C:\ComboFix3.txt ... 2007-12-15 17:18
0
moe
 
Bonsoir Maur, green day

Question à 100 Francs: pourquoi cela ne marchait pas avec mes CFScript ???

Entre autre pour cette raison, lorsque tu passes Combofix pour la première fois il opère quelques "réglages" au niveau de l'affichage des fichiers/dossiers cachés et des extensions de fichiers qu'il recache.
Ce sont en général les réglages dit "par défaut" pour les options des dossiers/fichiers.

Donc lorsque les extentions ne sont pas visibles, que ce soit par défaut ou après un premier passage de combofix, en faisant un clic droit > nouveau > document texte, tu n'as pas besoin de rentrer l'extension avec le nom du fichier car le type de document est déjà reconnu par le système et confirmé au moment de l'enregistrement du fichier.
Dans ton cas, CFscript aurait suffit au lieu de CFscript.txt car .
Ceci bien sur n'est valable à condition que lorsque tu enregistre le document, le menu déroulant "Type" soit bien sur "Fichier texte (*.txt)" et pas sur "Tout les fichiers" (<= ce qui dans ce cas necessite le nom + l'extension)

Sinon le .txt est interprété comme faisant partie à part entière du nom du fichier, ce qui explique le CFscript.txt.txt après enregistrement.

Fais le test ! :-)

@++

Ps pour green day :

Fichier :
=
2007-11-24 19:09 . 2004-08-04 01:54 114,688 --a------ C:\WINDOWS\system32\actxprx.2
=
File::

Dossier :
=
2007-11-24 19:09 . 2004-08-04 01:54 114,688 <REP> d------- C:\WINDOWS\system32\actxprx.2
=
Folder::

@ :-P
0
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163 > moe
 
Yo ! salut ! je viens juste de voir le message !

merchi ! :-)

@pluche !
0
Réponse 56 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Re-salut !

Ouf !! enfin :-)
Merci à Phill pour cette astuce !

Question à 100 Francs: pourquoi cela ne marchait pas avec mes CFScript ???

franchement, je ne sais pas, soit j'ai mal expliqué un truc, soit c'est cette bébétte qui jouait avec nous ! :)

poste un nouveau hijack et dis moi comment évolue les choses depuis !

@+
0
Réponse 57 / 91
MAUR
 
Salut Green Day,
Voici le dernier log de HijackThis.
Comment évolue les choses ??? Ecoute, plutôt bien car je viens de faire pour la première fois 15 essias concluants.
Ca veut dire qu'en donnant 15 adresses différentes de sites internet, AUCUNE d'elles n'a été détournée vers quelque site que ce soit.
Confirme moi stp que tout est en ordre d'après ce dernier log de HijackThis.
Merci d'avance.
Cordiales salutations.
MAUR

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:33:37, on 16/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\AEServEx.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\tp4mon.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Google\Google Talk\googletalk.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\morice\LOCALS~1\Temp\Rar$EX00.918\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C3ED940-BF71-43EC-86B6-77903C0BC8CF}: NameServer = 212.217.0.14 196.217.246.210
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C3ED940-BF71-43EC-86B6-77903C0BC8CF}: NameServer = 212.217.0.14 196.217.246.210
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: LogonLauncher - C:\WINDOWS\SYSTEM32\LogLaun.dll
O23 - Service: AEServ - Faronics Corporation - C:\WINDOWS\system32\AEServEx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 0: (no name) - https://bestofchat.com/include/onglet.js?update=20061207
0
Réponse 58 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Re-salut

ok,

# Scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Ouvre internet explorer
# Outils
# Options internet
# onglet "sécurité"
# Valide "niveau par défaut".
# Toujours sur Internet explorer
# Outils
# Options internet
# onglet "avancé"
# valide "Paramètres par défaut". Pour effectuer les scans, ferme toutes les pages internet sauf celle du scan, désactive ton antivirus, logiciels de protections et logiciels pouvant bloquer les popups (barres Google, barres Yahoo etc..).
# Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox, ça ne marchera pas!.

# Copie/colle le rapport du scan ici

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

@+
0
Réponse 59 / 91
MAUR
 
Salut Green Day,
Pas commode le téléchargement de Kaspersky on line !!!
N'ayant pas d'instructions spécifiques de ta part, j'ai choisi pour analyse, le poste de travail avec C et D. Correct ???
Je crains qu'il ne faille pas crier trop tôt victoire, car j'ai aperçu BHO.abm dans le log de Kaspersky.
A toi de juger.
Mais le fonctionnement de mon PC, reste toujours correct. Plus de détournement d'adresse internet.
Cordiales salutations.
MAUR

KASPERSKY ON-LINE SCANNER REPORT
Sunday, December 16, 2007 8:58:38 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/12/2007
Enregistrements dans la base antivirus Kaspersky : 453315

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\

Statistiques de l'analyse
Total d'objets analysés 28388
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:58:55

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\morice\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\morice\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\morice\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\morice\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\morice\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\morice\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\morice\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\wcykwgba.dat.vir L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{58C3246C-955D-46D1-9509-A0045E3FBCD1}\RP140\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\actxprx.2 Infecté : Trojan.Win32.BHO.abm ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 60 / 91
green day Messages postés 26722 Statut Modérateur, Contributeur sécurité 2 163
 
Salut !

oui, vu, il a pourtant était mentionné comme étant supprimé mais réapparait dans le même rapport combo un peu plus loin aussi !

une petite verif :

Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4

* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp

@+
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
Scan trop grand !
Juliux -
Juliux -

2 réponses
simon
sisititi -
azert1313 -

1 réponse
Tableau croisé dynamique - absence de certaines données
crazyrider71 -
Hana -

4 réponses