Infecté par Win32/Rustock.gen!C Résolu/Fermé

Question

Win32/Rustock.gen!C

Je suis infecté par ce spyware... il me fait rebooter régulièrement, (aujourd'hui rien a faire il n'arrete pas de me faire rebooter...) qprès une ou deux minutes de windows...

Je suis passé en mode sans echec ...

Je sais pas si ça sert à qqch un hijackthis en sans echec mais voila...

Logfile of HijackThis v1.99.1
Scan saved at 12:36:50, on 31/03/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\GeoKeR\Bureau\Logiciels\bonjour.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Program Files\user32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [link software safe 2] C:\Documents and Settings\All Users\Application Data\anti that link software\partmags.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [winupdate] c:\windows\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinService] c:\windows\hosth.exe
O4 - HKCU\..\Run: [Bash User] C:\DOCUME~1\GeoKeR\APPLIC~1\LOUDGR~1\extra rdr stupid.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32
vsvc32.exe (file missing)

philae83 · Answer

bonjour,

belle infection.

* Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
 

* Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

* Redémarre ton ordinateur en mode sans échec

* Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis  te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter  et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

avec un nouveau log Hijackthi

philae83 · Answer

ok, je te prépare la suite à donner réponse dans qq minutes

philae83 · Answer

re

on continue

* lance hijackthis "do a system scan only" puis coche ces lignes :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678912345678] C:\Program Files\user32.exe 
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe 
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) 

* ferme toutes les applications ouvertes y compris internet explorer et clique sur "fix checked"

puis il reste une infection LOP à traiter

* Télécharge LopXPMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2_Beta.zip


* Dézippe-le (clic droit >> Extraire ici) et double clique sur le fichier lopxpMH.bat.
* Poste le contenu du rapport qui va s'ouvrir.

et reposte également un nouveau rapport hijackthis stp

geoker · Answer

Et de un Rapport fait à 22:33:33,59 le 31/03/2007 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 31/03/2007 12:27 . 31/03/2007 12:27 .. 31/03/2007 12:27 Microsoft 31/03/2007 12:28 Mozilla 0 fichier(s) 0 octets 4 R‚p(s) 690ÿ692ÿ096 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 31/03/2007 12:27 . 31/03/2007 12:27 .. 31/03/2007 12:27 Microsoft 31/03/2007 12:28 Mozilla 31/03/2007 12:30 3ÿ712ÿ656 IconCache.db 1 fichier(s) 3ÿ712ÿ656 octets 4 R‚p(s) 690ÿ688ÿ000 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\All Users\Application Data 17/11/2006 02:01 . 17/11/2006 02:01 .. 24/12/2006 02:30 Adobe 24/12/2006 02:32 Adobe Systems 19/11/2006 00:43 anti that link software 02/01/2007 01:43 Apple Computer 25/11/2006 16:51 Macrovision 17/11/2006 16:52 Messenger Plus! 17/11/2006 02:01 Microsoft 04/02/2007 20:56 Skype 17/11/2006 03:16 Windows Genuine Advantage 17/11/2006 02:01 62 desktop.ini 09/01/2007 04:14 1ÿ353 QTSBandwidthCache 2 fichier(s) 1ÿ415 octets 11 R‚p(s) 690ÿ688ÿ000 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Default User\Application Data 17/11/2006 02:01 . 17/11/2006 02:01 .. 17/11/2006 02:01 Microsoft 17/11/2006 02:01 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 690ÿ688ÿ000 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 17/11/2006 02:01 . 17/11/2006 02:01 .. 0 fichier(s) 0 octets 2 R‚p(s) 690ÿ688ÿ000 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\GeoKeR\Application Data 17/11/2006 02:16 . 17/11/2006 02:16 .. 17/11/2006 02:24 Adobe 02/01/2007 01:47 Apple Computer 17/11/2006 03:45 Azureus 19/11/2006 00:42 BitRoll 21/11/2006 17:14 Google 26/02/2007 04:14 Help 17/11/2006 02:16 Identities 05/01/2007 23:59 InstallShield 17/11/2006 02:24 InterTrust 19/11/2006 00:42 LOUD GRAM CAKE 17/11/2006 02:45 Macromedia 25/11/2006 03:41 Media Player Classic 17/11/2006 02:16 Microsoft 17/11/2006 03:16 Mozilla 17/11/2006 03:17 PDFCreator 24/11/2006 03:11 Real 13/03/2007 15:44 Screenshot Sender 04/02/2007 20:56 Skype 27/11/2006 00:02 Sports Interactive 18/11/2006 03:00 Sun 06/01/2007 14:47 Talkback 17/11/2006 14:13 vlc 17/11/2006 02:16 62 desktop.ini 17/11/2006 03:27 83 sversion.ini 2 fichier(s) 145 octets 24 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\GeoKeR\Local Settings\Application Data 17/11/2006 02:16 . 17/11/2006 02:16 .. 24/12/2006 15:58 Adobe 09/02/2007 18:53 Ahead 02/01/2007 01:47 Apple Computer 17/11/2006 04:05 Ares 21/11/2006 17:14 Google 08/12/2006 17:54 Help 17/11/2006 12:42 Identities 17/11/2006 02:16 Microsoft 06/01/2007 15:55 Mozilla 17/11/2006 03:09 200ÿ192 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 17/11/2006 11:25 71ÿ032 GDIPFONTCACHEV1.DAT 24/11/2006 03:46 4ÿ280ÿ840 IconCache.db 3 fichier(s) 4ÿ552ÿ064 octets 11 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Invite\Application Data 17/11/2006 11:18 . 17/11/2006 11:18 .. 19/12/2006 15:07 DivX 17/11/2006 11:18 Identities 21/11/2006 10:28 Macromedia 17/11/2006 11:18 Microsoft 17/12/2006 16:33 Real 17/11/2006 11:18 62 desktop.ini 1 fichier(s) 62 octets 7 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Invite\Local Settings\Application Data 17/11/2006 11:18 . 17/11/2006 11:18 .. 17/11/2006 11:18 Microsoft 16/03/2007 04:08 3ÿ584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 17/11/2006 11:18 15ÿ080 GDIPFONTCACHEV1.DAT 17/11/2006 11:23 3ÿ743ÿ822 IconCache.db 3 fichier(s) 3ÿ762ÿ486 octets 3 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\LocalService\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 13/03/2007 00:35 Macromedia 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 4 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 690ÿ683ÿ904 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 17/11/2006 02:13 . 17/11/2006 02:13 .. 17/11/2006 02:13 Microsoft 17/11/2006 02:13 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 690ÿ679ÿ808 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 17/11/2006 02:13 . 17/11/2006 02:13 .. 19/11/2006 13:35 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 690ÿ679ÿ808 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks C:\WINDOWS\Tasks\A97B099D91848155.job 8”ý¶a^cG¹]ãÛ§£F Ö < s "€!× 6 c : \ d o c u m e ~ 1 \ g e o k e r \ a p p l i c ~ 1 \ l o u d g r ~ 1 \ M e o w I t c h H e l p . e x e G e o K e R 0 Ï < C:\WINDOWS\Tasks\At1.job /GÍÂ]C%ÖiæirùF Æ < s ¨! C : \ W I N D O W S \ d r . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ÿ BÑƒ\‘†Ái…ÂˆAƒÖ”C_Uó[áÃ¢¸cÙu¯ÔÎqz¾’JkäHË¸»"‚SÊÐ9ÃdK;¸’CT˜–»t/¢ C:\WINDOWS\Tasks\At3.job ·u^5v„G‡|Çà¤l#bF Ð < s !× Œ C : \ W I N D O W S \ p a t c h e r . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ ¥@Žá0ÇÔ©qí6ÖJƒÝeœÖòKWÅH´o®Ð>Ù½-Äì¹#è¶Nö’Qæ n¸®ýƒaPUMo9ý© C:\WINDOWS\Tasks\At4.job s ¨! C : \ W I N D O W S \ d r . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ÿ ÄAçŠX®ú¦ ŸÜÎ_[žsn€¸é7—M:Úï4GCÀDYó×>Ü'ÚjvÒÉ‰{2äIy~<ÓñÝ/ ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Program Files 16/03/2007 17:10 . 16/03/2007 17:10 .. 17/11/2006 03:21 7-Zip 24/12/2006 02:37 Adobe 06/02/2007 20:55 Ahead 25/11/2006 14:07 Alwil Software 01/03/2007 04:53 Ares 17/11/2006 15:03 Audacity 01/02/2007 02:09 Azureus 16/03/2007 17:23 Bdz Explorer 17/11/2006 15:03 CDex 17/11/2006 02:38 C-Media 3D Audio 17/11/2006 02:08 ComPlus Applications 17/11/2006 02:53 D-Tools 31/03/2007 20:01 eMule 26/02/2007 19:50 Fichiers communs 17/11/2006 03:19 GIMP-2.2 21/11/2006 17:13 Google 28/02/2007 04:01 Internet Explorer 02/01/2007 01:46 iPod 02/01/2007 01:46 iTunes 16/02/2007 01:03 Java 26/02/2007 04:15 K! 26/02/2007 03:38 K!TV 17/11/2006 14:55 K-Lite Codec Pack 28/02/2007 11:53 LOUD GRAM CAKE 25/11/2006 16:51 Macromedia 18/11/2006 04:07 Messenger 13/03/2007 15:43 Messenger Plus! Live 26/02/2007 03:56 MeuhMeuhTV 06/01/2007 15:37 MF2 18/01/2007 20:01 Microsoft ActiveSync 17/11/2006 02:11 microsoft frontpage 18/01/2007 20:00 Microsoft Office 18/01/2007 20:01 Microsoft.NET 17/11/2006 03:52 Movie Maker 31/03/2007 12:30 Mozilla Firefox 06/01/2007 14:46 mozilla.org 17/11/2006 02:07 MSN Gaming Zone 07/02/2007 13:53 MSN Messenger 17/11/2006 03:44 NetMeeting 17/11/2006 02:33 Neuf 17/11/2006 03:21 Notepad2 23/02/2007 00:36 OpenOffice.org1.1.4 14/12/2006 04:01 Outlook Express 17/11/2006 03:18 PDFCreator 07/01/2007 01:41 QuickTime 24/11/2006 03:12 Real 17/11/2006 02:46 Satsuki Decoder Pack 17/11/2006 02:10 Services en ligne 17/11/2006 02:23 SiSLan 05/02/2007 00:42 Skype 17/11/2006 03:44 SuperCopier2 07/12/2006 00:33 TimeAdjuster 17/11/2006 03:35 VideoLAN 17/11/2006 02:41 Webteh 18/11/2006 04:06 Windows Media Player 17/11/2006 03:44 Windows NT 26/02/2007 04:14 WinRAR 16/12/2006 18:56 WinSCP3 26/02/2007 04:49 WinTV 17/11/2006 02:11 xerox 0 fichier(s) 0 octets 62 R‚p(s) 690ÿ675ÿ712 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow dns-look-up.com REG_SZ www.dns-look-up.com REG_SZ netsearchsoft.com REG_SZ www.netsearchsoft.com REG_SZ netbios-wait.com REG_SZ www.netbios-wait.com REG_SZ * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\GEOKER\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\92LGJIKF.DEFAULT\HOSTPERM.1 host popup 1 fr.worldsbiggestchat.com host popup 1 www.lesroyaumes.com host popup 1 www.ens-louis-lumiere.fr host popup 1 harrypotter.warnerbros.com host popup 1 www8.ratp.info ****************************************** ## Registre * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] link software safe 2 REG_SZ C:\Documents and Settings\All Users\Application Data\anti that link software\partmags.exe * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Bash User REG_SZ C:\DOCUME~1\GeoKeR\APPLIC~1\LOUDGR~1\extra rdr stupid.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport **************** et de deux Logfile of HijackThis v1.99.1 Scan saved at 22:35:11, on 31/03/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\SuperCopier2\SuperCopier2.exe C:\WINDOWS\system32\ctfmon.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Documents and Settings\GeoKeR\Bureau\Logiciels\bonjour.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32 otepad.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [link software safe 2] C:\Documents and Settings\All Users\Application Data\anti that link software\partmags.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Bash User] C:\DOCUME~1\GeoKeR\APPLIC~1\LOUDGR~1\extra rdr stupid.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32 vsvc32.exe (file missing)

philae83 · Answer

on continue



Note comment démarrer en mode sans échec 

https://docs.microsoft.com/en-us/?mfr=true


* Télécharge : - CCleaner 
http://www.filehippo.com/download_ccleaner.html

("Download Latest Version", sur la droite). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

*  Crée un nouveau document texte :

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"link software safe 2"=-    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bash User"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"dns-look-up.com REG_SZ"=- 
"www.dns-look-up.com REG_SZ"=- 
"netsearchsoft.com REG_SZ"=- 
"www.netsearchsoft.com REG_SZ"=- 
"netbios-wait.com REG_SZ"=- 
"www.netbios-wait.com REG_SZ"=-

    

 Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"




*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)***** 


* désinstalle via "Ajout/Suppression de programmes", si tu trouves :
(si l'un de ces programmes ne figure pas dans la liste ajout/suppression de programmes, recherche un fichier "uninstall..." dans un répertoire du même nom, dans C:\Program Files et exécute-le)

 LOUD GRAM CAKE

* Assure toi d'avoir accès aux dossiers/fichiers cachés :

    Ouvrir un dossier, n'importe lequel. Aller dans :
    Outils/Options des dossiers/Affichage et
    - cocher "afficher les dossiers et fichiers cachés",
    - décocher "masquer les extensions des fichiers dont le type est connu".
    - décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
    "appliquer" et "ok"


* recherche et supprime ces dossiers ou fichiers, si tu les trouves : 

C:\Documents and Settings\All Users\Application Data\anti that link software
C:\Documents and Settings\GeoKeR\Application Data\BitRoll
C:\Documents and Settings\GeoKeR\Application Data\LOUD GRAM CAKE
C:\Program Files\ LOUD GRAM CAKE

démarrer/exécuter, tape cmd et valide par entrée. Colle la ligne suivante dans la fenêtre noire qui s'ouvre :

    del /a C:\WINDOWS\Tasks\A97B099D91848155.job 



valide par entrée, puis ferme la fenêtre de commande.

recommence avec :

del /a C:\WINDOWS\Tasks\At1.job
 del /a C:\WINDOWS\Tasks\At3.job
 del /a C:\WINDOWS\Tasks\At4.job

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées.
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

geoker · Answer

Tout s'est bien passé... excepté que je n'ai pas eu besoin de supprimer LOUD GRAM CAKE des programmes (ou l'uninstall) j'avais dû déjà le faire.

Logfile of HijackThis v1.99.1
Scan saved at 00:30:03, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\GeoKeR\Bureau\Logiciels\bonjour.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [link software safe 2] C:\Documents and Settings\All Users\Application Data\anti that link software\partmags.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Bash User] C:\DOCUME~1\GeoKeR\APPLIC~1\LOUDGR~1\extra rdr stupid.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32
vsvc32.exe (file missing)



Au passage, SDFix fonctionne pour un type de spyware particulier, ou une prochaine fois si j'ai des problème je peux aussi l'utiliser ?

philae83 · Answer

SDFix fonctionne pour certains types de fichiers effectivement

peux tu reposter un rapport lopxpMH stp

as tu rebooté ton pc entre les manips et le nouveau rapport hijackthis ?

geoker · Answer

oui je l'avais rebooté... et voila pour l'autre rapport... une idée de la cause du problème ? histoire de l'éviter :) Rapport fait à 1:14:46,81 le 01/04/2007 ****************************************** ## Répertoires Application Data Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Administrateur\Application Data 31/03/2007 12:27 . 31/03/2007 12:27 .. 31/03/2007 12:27 Microsoft 31/03/2007 12:28 Mozilla 0 fichier(s) 0 octets 4 R‚p(s) 1ÿ673ÿ601ÿ024 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data 31/03/2007 12:27 . 31/03/2007 12:27 .. 31/03/2007 12:27 Microsoft 31/03/2007 12:28 Mozilla 31/03/2007 12:30 3ÿ712ÿ656 IconCache.db 1 fichier(s) 3ÿ712ÿ656 octets 4 R‚p(s) 1ÿ673ÿ596ÿ928 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\All Users\Application Data 17/11/2006 02:01 . 17/11/2006 02:01 .. 24/12/2006 02:30 Adobe 24/12/2006 02:32 Adobe Systems 02/01/2007 01:43 Apple Computer 25/11/2006 16:51 Macrovision 17/11/2006 16:52 Messenger Plus! 17/11/2006 02:01 Microsoft 04/02/2007 20:56 Skype 17/11/2006 03:16 Windows Genuine Advantage 17/11/2006 02:01 62 desktop.ini 09/01/2007 04:14 1ÿ353 QTSBandwidthCache 2 fichier(s) 1ÿ415 octets 10 R‚p(s) 1ÿ673ÿ596ÿ928 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Default User\Application Data 17/11/2006 02:01 . 17/11/2006 02:01 .. 17/11/2006 02:01 Microsoft 17/11/2006 02:01 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 1ÿ673ÿ596ÿ928 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Default User\Local Settings\Application Data 17/11/2006 02:01 . 17/11/2006 02:01 .. 0 fichier(s) 0 octets 2 R‚p(s) 1ÿ673ÿ596ÿ928 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\GeoKeR\Application Data 17/11/2006 02:16 . 17/11/2006 02:16 .. 17/11/2006 02:24 Adobe 02/01/2007 01:47 Apple Computer 17/11/2006 03:45 Azureus 21/11/2006 17:14 Google 26/02/2007 04:14 Help 17/11/2006 02:16 Identities 05/01/2007 23:59 InstallShield 17/11/2006 02:24 InterTrust 17/11/2006 02:45 Macromedia 25/11/2006 03:41 Media Player Classic 17/11/2006 02:16 Microsoft 17/11/2006 03:16 Mozilla 17/11/2006 03:17 PDFCreator 24/11/2006 03:11 Real 13/03/2007 15:44 Screenshot Sender 04/02/2007 20:56 Skype 27/11/2006 00:02 Sports Interactive 18/11/2006 03:00 Sun 06/01/2007 14:47 Talkback 17/11/2006 14:13 vlc 17/11/2006 02:16 62 desktop.ini 17/11/2006 03:27 83 sversion.ini 2 fichier(s) 145 octets 22 R‚p(s) 1ÿ673ÿ596ÿ928 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\GeoKeR\Local Settings\Application Data 17/11/2006 02:16 . 17/11/2006 02:16 .. 24/12/2006 15:58 Adobe 09/02/2007 18:53 Ahead 02/01/2007 01:47 Apple Computer 17/11/2006 04:05 Ares 21/11/2006 17:14 Google 08/12/2006 17:54 Help 17/11/2006 12:42 Identities 17/11/2006 02:16 Microsoft 06/01/2007 15:55 Mozilla 17/11/2006 03:09 200ÿ192 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 17/11/2006 11:25 71ÿ032 GDIPFONTCACHEV1.DAT 24/11/2006 03:46 4ÿ280ÿ840 IconCache.db 3 fichier(s) 4ÿ552ÿ064 octets 11 R‚p(s) 1ÿ673ÿ592ÿ832 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Invite\Application Data 17/11/2006 11:18 . 17/11/2006 11:18 .. 19/12/2006 15:07 DivX 17/11/2006 11:18 Identities 21/11/2006 10:28 Macromedia 17/11/2006 11:18 Microsoft 17/12/2006 16:33 Real 17/11/2006 11:18 62 desktop.ini 1 fichier(s) 62 octets 7 R‚p(s) 1ÿ673ÿ592ÿ832 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\Invite\Local Settings\Application Data 17/11/2006 11:18 . 17/11/2006 11:18 .. 17/11/2006 11:18 Microsoft 16/03/2007 04:08 3ÿ584 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini 17/11/2006 11:18 15ÿ080 GDIPFONTCACHEV1.DAT 17/11/2006 11:23 3ÿ743ÿ822 IconCache.db 3 fichier(s) 3ÿ762ÿ486 octets 3 R‚p(s) 1ÿ673ÿ592ÿ832 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\LocalService\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 13/03/2007 00:35 Macromedia 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 4 R‚p(s) 1ÿ673ÿ592ÿ832 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 1ÿ673ÿ592ÿ832 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\NetworkService\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 1ÿ673ÿ592ÿ832 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data 17/11/2006 02:14 . 17/11/2006 02:14 .. 17/11/2006 02:14 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 1ÿ673ÿ592ÿ832 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Application Data 17/11/2006 02:13 . 17/11/2006 02:13 .. 17/11/2006 02:13 Microsoft 17/11/2006 02:13 62 desktop.ini 1 fichier(s) 62 octets 3 R‚p(s) 1ÿ673ÿ588ÿ736 octets libres Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data 17/11/2006 02:13 . 17/11/2006 02:13 .. 19/11/2006 13:35 Microsoft 0 fichier(s) 0 octets 3 R‚p(s) 1ÿ673ÿ588ÿ736 octets libres ****************************************** Recherche des taches planifiées dans C:\WINDOWS asks ****************************************** ## Répertoires de C:\Program Files Le volume dans le lecteur C n'a pas de nom. Le num‚ro de s‚rie du volume est 944E-3289 R‚pertoire de C:\Program Files 01/04/2007 00:20 . 01/04/2007 00:20 .. 17/11/2006 03:21 7-Zip 24/12/2006 02:37 Adobe 06/02/2007 20:55 Ahead 25/11/2006 14:07 Alwil Software 01/03/2007 04:53 Ares 17/11/2006 15:03 Audacity 01/02/2007 02:09 Azureus 16/03/2007 17:23 Bdz Explorer 01/04/2007 00:02 CCleaner 17/11/2006 15:03 CDex 17/11/2006 02:38 C-Media 3D Audio 17/11/2006 02:08 ComPlus Applications 17/11/2006 02:53 D-Tools 31/03/2007 20:01 eMule 26/02/2007 19:50 Fichiers communs 17/11/2006 03:19 GIMP-2.2 21/11/2006 17:13 Google 28/02/2007 04:01 Internet Explorer 02/01/2007 01:46 iPod 02/01/2007 01:46 iTunes 16/02/2007 01:03 Java 26/02/2007 04:15 K! 26/02/2007 03:38 K!TV 17/11/2006 14:55 K-Lite Codec Pack 25/11/2006 16:51 Macromedia 18/11/2006 04:07 Messenger 13/03/2007 15:43 Messenger Plus! Live 26/02/2007 03:56 MeuhMeuhTV 06/01/2007 15:37 MF2 18/01/2007 20:01 Microsoft ActiveSync 17/11/2006 02:11 microsoft frontpage 18/01/2007 20:00 Microsoft Office 18/01/2007 20:01 Microsoft.NET 17/11/2006 03:52 Movie Maker 31/03/2007 12:30 Mozilla Firefox 06/01/2007 14:46 mozilla.org 17/11/2006 02:07 MSN Gaming Zone 07/02/2007 13:53 MSN Messenger 17/11/2006 03:44 NetMeeting 17/11/2006 02:33 Neuf 17/11/2006 03:21 Notepad2 23/02/2007 00:36 OpenOffice.org1.1.4 14/12/2006 04:01 Outlook Express 17/11/2006 03:18 PDFCreator 07/01/2007 01:41 QuickTime 24/11/2006 03:12 Real 17/11/2006 02:46 Satsuki Decoder Pack 17/11/2006 02:10 Services en ligne 17/11/2006 02:23 SiSLan 05/02/2007 00:42 Skype 17/11/2006 03:44 SuperCopier2 07/12/2006 00:33 TimeAdjuster 17/11/2006 03:35 VideoLAN 17/11/2006 02:41 Webteh 18/11/2006 04:06 Windows Media Player 17/11/2006 03:44 Windows NT 26/02/2007 04:14 WinRAR 16/12/2006 18:56 WinSCP3 26/02/2007 04:49 WinTV 17/11/2006 02:11 xerox 0 fichier(s) 0 octets 62 R‚p(s) 1ÿ673ÿ588ÿ736 octets libres ****************************************** ## Popups autorisées * Internet Explorer ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow dns-look-up.com REG_SZ www.dns-look-up.com REG_SZ netsearchsoft.com REG_SZ www.netsearchsoft.com REG_SZ netbios-wait.com REG_SZ www.netbios-wait.com REG_SZ * Mozilla Firefox (1 autorisé 2 interdit) ---------- C:\DOCUMENTS AND SETTINGS\GEOKER\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\92LGJIKF.DEFAULT\HOSTPERM.1 host popup 1 fr.worldsbiggestchat.com host popup 1 www.lesroyaumes.com host popup 1 www.ens-louis-lumiere.fr host popup 1 harrypotter.warnerbros.com host popup 1 www8.ratp.info ****************************************** ## Registre * [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] link software safe 2 REG_SZ C:\Documents and Settings\All Users\Application Data\anti that link software\partmags.exe * [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Bash User REG_SZ C:\DOCUME~1\GeoKeR\APPLIC~1\LOUDGR~1\extra rdr stupid.exe ****************************************** ## Zones de sécurité * HKCU Domains (4) * P3P History (5) ****************************************** ## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif" *************** Fin du rapport ****************

philae83 · Answer

re

lance hijackthis puis coche ces lignes :

O4 - HKLM\..\Run: [link software safe 2] C:\Documents and Settings\All Users\Application Data\anti that link software\partmags.exe 
O4 - HKCU\..\Run: [Bash User] C:\DOCUME~1\GeoKeR\APPLIC~1\LOUDGR~1\extra rdr stupid.exe 

et refait cette manip, je ne suis pas certaine qu'elle ai fonctionné

clic droit de souris sur le bureau, "Nouveau"> "Document Texte".

Ouvre-le et copie-colle dedans de ce qui est en citation ci-dessous, (copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"link software safe 2"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bash User"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow]
"dns-look-up.com REG_SZ"=-
"www.dns-look-up.com REG_SZ"=-
"netsearchsoft.com REG_SZ"=-
"www.netsearchsoft.com REG_SZ"=-
"netbios-wait.com REG_SZ"=-
"www.netbios-wait.com REG_SZ"=-



Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : reglop.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer" 

*****Copie ce qui suit dans un fichier texte et redémarre en mode sans échec (choisis ta session habituelle, pas le compte "Administrateur" ou autre)***** 

/ double clique sur reglop.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

/ Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

*Redémarre normalement et poste un nouveau rapport HijackThis, toutes fenêtres et applications fermées. 

* fait également un scan antivirus en ligne et poste le rapport

https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

(je serais là en début de soirée ou après diner demain)

geoker · Answer

Logfile of HijackThis v1.99.1
Scan saved at 01:53:08, on 01/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\GeoKeR\Bureau\Logiciels\bonjour.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32
vsvc32.exe (file missing)

geoker · Answer

Bon pour la suite vu le temps que ça veut mettre c'est pour demain...

Je te remercie

philae83 · Answer

bonjour,

désolée pour le retard, j'étais absente.

peux tu faire maintenant pour vérif un scan antivirus en ligne 

https://www.bitdefender.fr/
et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur I agree
* La fenêtre change encore, clique sur Click here to scan
* Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

geoker · Answer

désolé pour la forme 


C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)=>index.exe
	

Infecté par: Trojan.Agent.KL

C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)=>index.exe
	

Echec de la désinfection

C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)=>index.exe
	

Supprimé

C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)
	

Echec de la mise à jour

C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)=>file2.exe
	

Infecté par: Generic.Malware.E!.EFF1BC4D

C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)=>file2.exe
	

Echec de la désinfection

C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)=>file2.exe
	

Supprimé

C:\Program Files\eMule\Incoming\2_Fake.Webcam.1.0.For.WINXP.+.Keygen.By.Brutus.zip=>Keygen.by.brutus.exe=>(RAR Sfx o)
	

Echec de la mise à jour

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP50\A0068385.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP50\A0068385.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP50\A0068385.exe
	

Supprimé

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077644.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077644.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077644.exe
	

Supprimé

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077650.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077650.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077650.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143473.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143473.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143473.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143676.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143676.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143676.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143677.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143677.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143677.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143678.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143678.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143678.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143679.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143679.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143679.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143680.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143680.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143680.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143681.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143681.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143681.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143682.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143682.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143682.exe
	

Supprimé

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143683.exe
	

Infecté par: Trojan.FatObfus.Gen

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143683.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP184\A0143683.exe
	

Supprimé

C:\WINDOWS\system32\win_x3.exe
	

Infecté par: Trojan.Downloader.Tomokigon.A

C:\WINDOWS\system32\win_x3.exe
	

Echec de la désinfection

C:\WINDOWS\system32\win_x3.exe
	

Supprimé

D:\Documents\setup.exe
	

Infecté par: Trojan.Proxy.Horst.CG

D:\Documents\setup.exe
	

Echec de la désinfection

D:\Documents\setup.exe
	

Supprimé

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/explorer.exe
	

Infecté par: DeepScan:Generic.Sdbot.B7221E6A

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/explorer.exe
	

Echec de la désinfection

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/explorer.exe
	

Supprimé

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip
	

Mis à jour

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/firewall.exe
	

Infecté par: Backdoor.Rxbot.A

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/firewall.exe
	

Echec de la désinfection

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/firewall.exe
	

Supprimé

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip
	

Mis à jour

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/logon.exe
	

Infecté par: Backdoor.Rxbot.A

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/logon.exe
	

Echec de la désinfection

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip=>backups/logon.exe
	

Supprimé

D:\Documents and Settings\George K\Bureau\SDFix\backups\backups.zip
	

Mis à jour

D:\Documents and Settings\George K\Bureau\SDFix\backups_old1\backups.zip=>backups/i
	

Infecté par: Generic.Botget.0E8D0726

D:\Documents and Settings\George K\Bureau\SDFix\backups_old1\backups.zip=>backups/i
	

Supprimé

D:\Documents and Settings\George K\Bureau\SDFix\backups_old1\backups.zip
	

Mis à jour

D:\Documents and Settings\George K\Bureau\SDFix\backups_old1\backups.zip=>backups/msrvs32.exe
	

Infecté par: GenPack:Generic.Sdbot.4C826262

D:\Documents and Settings\George K\Bureau\SDFix\backups_old1\backups.zip=>backups/msrvs32.exe
	

Echec de la désinfection

D:\Documents and Settings\George K\Bureau\SDFix\backups_old1\backups.zip=>backups/msrvs32.exe
	

Supprimé

D:\Documents and Settings\George K\Bureau\SDFix\backups_old1\backups.zip
	

Mis à jour

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV\adv691_2[1].exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV\adv691_2[1].exe
	

Echec de la désinfection

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV\adv691_2[1].exe
	

Supprimé

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV\gecko[1].exe
	

Infecté par: GenPack:Generic.Sdbot.4C826262

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV\gecko[1].exe
	

Echec de la désinfection

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV\gecko[1].exe
	

Supprimé

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV
ether[1].exe
	

Infecté par: Backdoor.SDBot.AA

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV
ether[1].exe
	

Echec de la désinfection

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\I163EXCV
ether[1].exe
	

Supprimé

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MNUB2P4J\adv691[1].exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MNUB2P4J\adv691[1].exe
	

Echec de la désinfection

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MNUB2P4J\adv691[1].exe
	

Supprimé

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MNUB2P4J\lkfhroxlam[1].htm
	

Infecté par: Trojan.SpySheriff.C

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MNUB2P4J\lkfhroxlam[1].htm
	

Echec de la désinfection

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MNUB2P4J\lkfhroxlam[1].htm
	

Supprimé

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O78FUXCZ\adv691[1].exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O78FUXCZ\adv691[1].exe
	

Echec de la désinfection

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O78FUXCZ\adv691[1].exe
	

Supprimé

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O78FUXCZjrtdmjx[1].txt
	

Infecté par: Trojan.Qhosts.HE

D:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\O78FUXCZjrtdmjx[1].txt
	

Supprimé

D:\Program Files\Common Files\VCClient\VCUpdate.exe
	

Infecté par: Trojan.Download.H

D:\Program Files\Common Files\VCClient\VCUpdate.exe
	

Echec de la désinfection

D:\Program Files\Common Files\VCClient\VCUpdate.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP49\A0030746.exe
	

Infecté par: Trojan.Agent.KL

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP49\A0030746.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP49\A0030746.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077699.exe
	

Infecté par: GenPack:Generic.Sdbot.4C826262

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077699.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077699.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077707.exe
	

Infecté par: GenPack:Generic.Sdbot.4C826262

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077707.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077707.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077785.exe
	

Infecté par: DeepScan:Generic.Sdbot.B7221E6A

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077785.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077785.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077786.exe
	

Infecté par: Backdoor.Rxbot.A

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077786.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077786.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077790.exe
	

Infecté par: Backdoor.Rxbot.A

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077790.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077790.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077791.exe
	

Infecté par: Backdoor.Rxbot.A

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077791.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077791.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077792.exe
	

Infecté par: DeepScan:Generic.Sdbot.B7221E6A

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077792.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077792.exe
	

Supprimé

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077793.exe
	

Infecté par: Backdoor.Rxbot.A

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077793.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{6DC6504D-CFBF-4619-BAA5-9F636B4B8372}\RP52\A0077793.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP131\A0090117.exe
	

Infecté par: GenPack:Generic.Sdbot.4C826262

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP131\A0090117.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP131\A0090117.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP140\A0099117.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP140\A0099117.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP140\A0099117.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP140\A0099118.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP140\A0099118.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP140\A0099118.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148820.exe
	

Infecté par: Trojan.Proxy.Horst.CG

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148820.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148820.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148821.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148821.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148821.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148822.exe
	

Infecté par: GenPack:Generic.Sdbot.4C826262

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148822.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148822.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148823.exe
	

Infecté par: Backdoor.SDBot.AA

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148823.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148823.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148824.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148824.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148824.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148825.exe
	

Infecté par: Trojan.Downloader.Harnig.XB

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148825.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148825.exe
	

Supprimé

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148826.exe
	

Infecté par: Trojan.Download.H

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148826.exe
	

Echec de la désinfection

D:\System Volume Information\_restore{E0CF7C4F-188D-417F-9158-25A0DD0E3CEE}\RP189\A0148826.exe
	

Supprimé

D:\WINDOWS\hosts
	

Infecté par: Trojan.Qhosts.HE

D:\WINDOWS\hosts
	

Supprimé

D:\WINDOWS\mrj.exe=>(RAR Sfx o)=>mrjj.exe
	

Infecté par: Trojan.Lowzones.CA

D:\WINDOWS\mrj.exe=>(RAR Sfx o)=>mrjj.exe
	

Echec de la désinfection

D:\WINDOWS\mrj.exe=>(RAR Sfx o)=>mrjj.exe
	

Supprimé

D:\WINDOWS\mrj.exe=>(RAR Sfx o)
	

Echec de la mise à jour

D:\WINDOWS\mrj.exe=>(RAR Sfx o)=>IEMonitor.ocx
	

Infecté par: Trojan.Lowzones.CA

D:\WINDOWS\mrj.exe=>(RAR Sfx o)=>IEMonitor.ocx
	

Echec de la désinfection

D:\WINDOWS\mrj.exe=>(RAR Sfx o)=>IEMonitor.ocx
	

Supprimé

D:\WINDOWS\mrj.exe=>(RAR Sfx o)
	

Echec de la mise à jour

D:\WINDOWS\system32\drivers\etc\HOSTS
	

Infecté par: Generic.Qhost.2EC4E87A

D:\WINDOWS\system32\drivers\etc\HOSTS
	

Echec de la désinfection

D:\WINDOWS\system32\drivers\etc\HOSTS
	

Supprimé

D:\WINDOWS\system32\drivers\etc\hosts.msn
	

Infecté par: Generic.Qhost.18BB8A00

D:\WINDOWS\system32\drivers\etc\hosts.msn
	

Echec de la désinfection

D:\WINDOWS\system32\drivers\etc\hosts.msn
	

Supprimé

D:\WINDOWS\system32\MScdDriverLK872.exe
	

Infecté par: Generic.Sdbot.43C323C8

D:\WINDOWS\system32\MScdDriverLK872.exe
	

Supprimé

D:\WINDOWS\system32
service.exe
	

Infecté par: Backdoor.SDBot.AA

D:\WINDOWS\system32
service.exe
	

Echec de la désinfection

D:\WINDOWS\system32
service.exe
	

Supprimé

D:\WINDOWS\system32zsjnq.dll
	

Infecté par: DeepScan:Generic.Malware.SMw.A927273F

D:\WINDOWS\system32zsjnq.dll
	

Echec de la désinfection

D:\WINDOWS\system32zsjnq.dll
	

Supprimé

D:\WINDOWS\system32\vvyp.dll
	

Infecté par: Trojan.Spambot.BXB

D:\WINDOWS\system32\vvyp.dll
	

Echec de la désinfection

D:\WINDOWS\system32\vvyp.dll
	

Supprimé

D:\WINDOWS\Temp\AGEU_SudokuInstaller.exe
	

Infecté par: Trojan.Dropper.Vb.KK

D:\WINDOWS\Temp\AGEU_SudokuInstaller.exe
	

Echec de la désinfection

D:\WINDOWS\Temp\AGEU_SudokuInstaller.exe
	

Supprimé

geoker · Answer

Par contre mon ordi continuait à avoir des erreurs système (il est ponctuel à 3h du mat... sinon problèms le lendemain je dois recommencer plusieurs fois.

Au passage quand je fais "arreter" il veut installer une mise à jour windows que je n'ai pas demandée mais au moment où il tente de le faire.. erreur systeme...

derrière on me dit que c'est (...)rustock(...)

philae83 · Answer

bonsoir,

eMule-------------sans commentaire !

on va faire une vérif

* Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe

* sauvegarde-le sur ton Bureau.

* Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
* Copie colle le contenu de ces deux rapports,

geoker · Answer

Voilà 




************************* Rustock.b-fix -- By ejvindh *************************
02/04/2007  0:29:02,76

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
  :lzx32.sys                              80488
Total size: 80488 bytes.
Attempting to remove ADS...
system32: deleted 80488 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************
  

et


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Error:  could not create zip file.
Error code: 80


Error:  could not create reboot file.
Error code: 80


Error:  could not create reboot batch.
Error code: 80


Error:  could not initiate system shutdown.
Error code: 53


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\slqyyaft

*******************

Script file located at: \??\C:\Program Files\vwugsrh^.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished!  Terminate.

geoker · Answer

Au passage, je pense avoir saisi les différentes taches que l'on a fait ensemble, par contre j'ai une petite question 

C:\WINDOWS\Tasks\At1.job 

Ca correspondait à quoi ?

philae83 · Answer

re

ok, maintenant, tu me diras où tu en est 
tu ne devrais plus avoir les messages d'alerte

philae83 · Answer

au vu des sigles bizarres, c'est pas normal. Ce sont des tâches définies comme lorsque tu prévoies de faire des scans ponctuels par exemple sauf que là...elles ont été crées sans ton consentement. Recherche des taches planifiées dans C:\WINDOWS asks C:\WINDOWS\Tasks\A97B099D91848155.job 8”ý¶a^cG¹]ãÛ§£F Ö < s "€!× 6 c : \ d o c u m e ~ 1 \ g e o k e r \ a p p l i c ~ 1 \ l o u d g r ~ 1 \ M e o w I t c h H e l p . e x e G e o K e R 0 Ï < C:\WINDOWS\Tasks\At1.job /GÍÂ]C%ÖiæirùF Æ < s ¨! C : \ W I N D O W S \ d r . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ÿ BÑƒ\‘†Ái…ÂˆAƒÖ”C_Uó[áÃ¢¸cÙu¯ÔÎqz¾’JkäHË¸»"‚SÊÐ9ÃdK;¸’CT˜–»t/¢ C:\WINDOWS\Tasks\At3.job ·u^5v„G‡|Çà¤l#bF Ð < s !× Œ C : \ W I N D O W S \ p a t c h e r . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . 0 × ÿ ¥@Žá0ÇÔ©qí6ÖJƒÝeœÖòKWÅH´o®Ð>Ù½-Äì¹#è¶Nö’Qæ n¸®ýƒaPUMo9ý© C:\WINDOWS\Tasks\At4.job s ¨! C : \ W I N D O W S \ d r . e x e S Y S T E M C r é é p a r N e t S c h e d u l e J o b A d d . € 0 × ÿ ÄAçŠX®ú¦ ŸÜÎ_[žsn€¸é7—M:Úï4GCÀDYó×>Ü'ÚjvÒÉ‰{2äIy~<ÓñÝ/

geoker · Answer

Je te remercie... je suppose que j'aurai ma réponse dans deux heures et quart pour rustock ;-)

philae83 · Answer

re

ok, je verrais ca demain alors.
Bonne nuit

geoker · Answer

Pas de problèmes apparrent, ça a l'air de fonctionner. Le pc a l'air propre... Merci :)

J'ai aussi découvert quelques nouveaux trucs...

Sinon un conseil pour le choix d'un anti spyware ? Ad-Aware ?

philae83 · Answer

bonjour,

si tout est ok, on peut donc terminer

supprime SDFix, ainsi que lopxpMH

* démarrer-----------panneau de configuration------------système----------

onglet Restauration système-----------coche la case (Désactiver la restauration système)--------------

redémarre l'ordinateur
réactive la ensuite

* Pour améliorer la sécurité de ton PC prend quelques instants pour lire
CECI


* Dénonce ton infection pour faire condamner les auteurs.


Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :

- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = ******

---> https://malwarecomplaints.info/

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (age, ville, département etc..)


Indique aussi le nom du Forum qui t'a aidé CommentCaMarche

* met ton sujet en RESOLU stp. Merci

bonne continuation

geoker · Answer

Merci ô ange gardien de l'informatique ;-)

Plus sérieusement j'apprécie beaucoup le coup de main... si un jour je peux aider... (dans un autre domaine forcément) hésite pas.

JOHENS · Answer

Logfile of HijackThis v1.99.1
Scan saved at 22:46:30, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\ZONELABS\vsmon.exe
I:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\wscntfy.exe
I:\WINDOWS\Explorer.EXE
E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
I:\WINDOWS\system32\RunDll32.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Documents and Settings\DJ@@F@R\Bureau\Scanner.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://taplolo.free.fr/aide%20technique/liens.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\Program Files\ICQToolbar	bu14	oolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F3 - REG:win.ini: load=I:\WINDOWS\svchost.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - I:\Program Files\ICQToolbar	bu14	oolbaru.dll
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [Tracks Eraser Pro] e:\Program Files\Acesoft\Tracks Eraser Pro	e.exe min
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - I:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://I:\Program Files\ICQToolbar	oolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download using Download &Express - file://I:\WINDOWS\system32\MetaProducts\Add_Url.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.bing.com/search?q=onecare%20live&form=MSDTR1&toHttps=1&redig=1C92C1A5A5B14363B76B4872209A5D58
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - I:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - I:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: partnershipreg - I:\WINDOWS\
O20 - Winlogon Notify: rpcc - I:\WINDOWS\
O21 - SSODL: System - {DCC21A36-27D0-4F6F-85CA-2F974A0BA06F} - dgflib.dll (file missing)
O23 - Service: ADSLAutoconnect - Unknown owner - I:\Program Files\ADSL Autoconnect\ADSL Autoconnect.exe" -z (file missing)
O23 - Service: AutoComplete Service (Autocomplete) - Unknown owner - e:\Program Files\Acesoft\Tracks Eraser Pro\delautocomp.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - I:\Program Files\CyberLink\Shared Files\RichVideo.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - I:\WINDOWS\system32\ZONELABS\vsmon.exe

Infecté par Win32/Rustock.gen!C

25 réponses

Discussions similaires