Virus - rapport hijackthis

Résolu
Angie -  
 Dji2L -
Bonjour,

Je me suis chopée un virus que je ne connais pas du tout et qui génère des processus du genre : xlyfmsjsv.exe qui si je le trace est censé être situé dans system32 mais ne l'est pas même en affichant les fichiers cachés.
En cherchant un peu, j'ai découvert, il me créait à la racine de c:/ un fichier exe "InstallShield Installer Microsoft Corporation" du même nom que le processus. Si je supprime ce .exe, il m'en recrée un aussitôt du même nom ou d'un autre nom.
Si je fais un msconfig, je découvre donc qu'au démarrage, cela lance le processus.
Si j'ôte ce processus au démarrage, quand je redémarre, il m'en a recréé un autre avec un autre nom tout aussi aléatoire !
J'ai donc édité un rapport hijackthis dans lequel on trouve notamment le nouveau processus qui a été généré "sqiebnyne.exe"

Logfile of HijackThis v1.99.1
Scan saved at 19:57:31, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\sqiebnyne.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
D:\Documents and Settings\Angie\Bureau\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Log System] C:\WINDOWS\system32\sqiebnyne.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: GrabIt.lnk = D:\Documents and Settings\Angie\Mes documents\Grabits\GrabIt.exe
O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Program Files\Free Download Manager\FUM\fumiebtn.dll (file missing)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Selon le site d'hijacthis, si je demande une évaluation , tout ce qui m'est dit c'est que ce fameux processus est inconnu ! Ah oui je le sais qu'il l'est :-( Je voudrais bien me débarrasser de çà d'ailleurs.

Auriez vous une idée ?

Avast ne me trouve aucun virus, spybot ou encore pcTools ne m'ont trouvé que des p'tits coockies avec spywares. Bref, je désespère !

Je vous remercie tous d'avance !
Configuration: Windows XP MediaCenter Pack SP2 et toutes les mises à jour
Firefox 2.0.0.6

38 réponses

  • 1
  • 2
  1. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    salut Angie,

    je vois que tu as essayé pas de chose, tu peux récapituler depuis le début et que se passe t'il exactement, hormis ce processus de démarrage

    merci

    @+
    0
  2. angiesphere
     
    Salut !!

    En fouillant sur le forum, j'ai trouvé un post d'une personne qui a vraisemblablement eu le même problème que moi, le post s'intitule "[résolu] message intempestif Il n'y a pas de disque dans le lecteu, très régulièrement ce message apparaît et je dois annuler 3 x de suite" Le problème est que j'aurais besoin d'être guidée étape par étape :-(

    Donc j'ai fait les analyses suivates :
    **avast : rien trouvé
    **spyboot : m'a ôté 2 ou 3 choses mais pas méchant

    C'est en ouvrant le gestionnaire de tâche que j'ai remarqué un processus dont le nom seblait anormal. Je l'ai recherché dans mon PC mais pas trouvé :-|
    En regardant à la racine de C:/, j'ai trouvé un exe avec un nom tout aussi impropable qu'il m'ait impossible à supprimer.

    Le fameux processus qui apparait dans mon gestionnaire de taches est lui aussi présent en tache de démarrage (un msconfig me l'ayant confirmé)

    Me voici donc désespérée mais motivée à éradiqué ce virus :-)

    Je te remercie d'avance :-)
    0
  3. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    re angie,

    bon, on y va

    Fais un clic droit sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Fais un clic droit sur navilog1.zip et choisis "tout extraire"
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le blocnote.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    1. Télécharge combofix.exe (par sUBs) ici :

    http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

    http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

    sur ton Bureau.

    2. Double clique combofix.exe et suis les invites.
    3. Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    @+
    0
  4. angiesphere
     
    Super, merci !!
    Je fais et reposte !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    ok,

    merci
    0
  7. angiesphere
     
    Salut, voici le rapport de navilog :

    Search Navipromo version 2.0.9 commencé le 04/09/2007 à 21:43:48,84

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Poster ce rapport sur le forum pour le faire analyser !!!
    !!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

    Fix lancé depuis C:\Program Files\navilog1
    Mise a jour le 20.08.2007 a 22h30 by IL-MAFIOSO

    Executé en mode normal

    *** Recherche Programmes installes ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***

    *** Recherche dossiers dans D:\Documents and Settings\Angie\Application Data ***

    *** Recherche avec BlackLight Engine/F-secure ***
    BlackLight Engine est un produit de F-secure, pour + d'infos :
    https://www.f-secure.com/en

    F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
    ======================================

    Copyright 2005-2006 F-Secure Corporation. All rights reserved.
    This is a beta version. It will expire on 1st of October, 2007.
    Version information: 2.2.1064.

    [+] Started on 09/04/07 at 21:43:51.
    [+] Initializing ...
    [+] Starting scan, press Ctrl-C to abort.
    [+] Scanning for hidden items .....................................
    [+] Scan complete.
    [+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
    [+] Exited on 09/04/07 at 21:46:52 (return code = 0).

    *** Recherche avec GenericNaviSearch ***
    !!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A verifier impérativement avant toute suppression manuelle !!!

    Fichiers trouvés :

    Aucun Fichier trouvé !

    Fichiers suspects :

    Aucun Fichier suspect trouvé !

    *** Recherche fichiers ***

    *** Recherche cles registre ***

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]

    Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]

    Recherche Clé Magic Control

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche fichiers connus:

    2)Recherche Heuristique :
    *
    **
    ***
    ****
    *****
    ******
    *******
    ********

    3)Recherche Certificats :

    Certificat Egroup absent !

    *** Analyse Terminé le 04/09/2007 à 21:47:16,96 ***
    0
  8. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    ok j'attends conmbo

    @+
    0
  9. angiesphere
     
    Et voici le log de comboFix :

    ComboFix 07-08-30.3 - "Angie" 2007-09-04 21:50:03.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.544 [GMT 2:00]
    * Created a new restore point

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\Autorun.inf
    D:\Autorun.inf

    ((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))

    2007-09-04 21:48 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-09-04 21:43 <REP> d-------- C:\Program Files\Navilog1
    2007-09-04 20:51 <REP> d-------- C:\WINDOWS\system32\ActiveScan
    2007-09-04 20:51 <REP> d-------- C:\WINDOWS\LastGood
    2007-09-04 20:43 80,384 ---h----- C:\sjtydbosm.exe
    2007-09-04 19:23 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-09-03 23:23 <REP> d-------- C:\Downloads
    2007-09-02 14:08 <REP> d-------- C:\Program Files\Free Download Manager
    2007-09-01 20:41 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
    2007-09-01 20:38 <REP> d-------- C:\WINDOWS\SHELLNEW
    2007-09-01 20:37 <REP> d-------- C:\Program Files\Microsoft.NET
    2007-08-30 19:25 45,568 --a------ C:\WINDOWS\UniFish3.exe
    2007-08-30 19:24 <REP> d-------- C:\Program Files\Hasbro Interactive
    2007-08-27 20:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\vlc
    2007-08-27 20:25 <REP> d-------- C:\Program Files\FpTest
    2007-08-27 20:24 <REP> d-------- C:\Program Files\Freeplayer
    2007-08-26 18:28 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\River Past G4
    2007-08-26 18:26 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past G4
    2007-08-26 18:00 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
    2007-08-26 18:00 <REP> d-------- C:\Program Files\DAEMON Tools
    2007-08-26 17:58 96,256 --a------ C:\WINDOWS\system32\drivers\sptd2301.sys
    2007-08-26 17:58 643,072 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2007-08-24 15:02 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
    2007-08-23 21:19 <REP> d-------- C:\Program Files\SuperCopier
    2007-08-23 21:15 569,344 --a------ C:\WINDOWS\system32\imagr5.dll
    2007-08-23 21:15 544,768 --a------ C:\WINDOWS\system32\imagx5.dll
    2007-08-23 21:15 38,912 --a------ C:\WINDOWS\system32\picn20.dll
    2007-08-23 21:15 283,920 --a------ C:\WINDOWS\system32\ImagXpr5.dll
    2007-08-23 21:15 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
    2007-08-23 21:15 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
    2007-08-23 21:15 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
    2007-08-23 21:14 <REP> d-------- C:\Program Files\Ahead
    2007-08-23 21:04 <REP> d-------- C:\Program Files\SLD Codec Pack
    2007-08-23 21:03 <REP> d-------- C:\Program Files\VDCodecPack3.4
    2007-08-23 07:13 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\WholeSecurity
    2007-08-23 03:05 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
    2007-08-23 03:05 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
    2007-08-23 03:05 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
    2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\WholeSecurity
    2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Google
    2007-08-22 21:53 <REP> d-------- C:\Program Files\eBay
    2007-08-22 21:50 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Talkback
    2007-08-22 19:01 1,165 --a------ C:\WINDOWS\mozver.dat
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Mes documents
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Menu D‚marrer
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Favoris
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Bureau
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Menu D‚marrer
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Documents
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Bureau
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Mes documents
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Favoris
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Bureau
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage r‚seau
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage d'impression
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\ModŠles
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ALLUSE~1\ModŠles
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\ModŠles
    2007-08-22 06:38 <REP> d-------- D:\DOCUME~1\ALLUSE~1\Favoris
    2007-08-22 03:15 23,040 --------- C:\WINDOWS\kb913800.exe
    2007-08-22 03:13 364,160 --------- C:\WINDOWS\system32\dllcache\update.sys
    2007-08-22 03:13 332,928 --------- C:\WINDOWS\system32\dllcache\srv.sys
    2007-08-22 03:09 453,120 --------- C:\WINDOWS\system32\dllcache\mrxsmb.sys
    2007-08-22 03:09 174,592 --------- C:\WINDOWS\system32\dllcache\rdbss.sys
    2007-08-21 23:34 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Thunderbird
    2007-08-21 23:34 <REP> d-------- C:\Program Files\Mozilla Thunderbird
    2007-08-21 23:32 0 --a------ C:\WINDOWS\nsreg.dat
    2007-08-21 23:32 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Talkback
    2007-08-21 23:22 <REP> d-------- C:\Program Files\7-Zip
    2007-08-21 23:17 549,376 --------- C:\WINDOWS\system32\dllcache\oleaut32.dll
    2007-08-21 23:17 <REP> d-------- C:\Program Files\QuickPar
    2007-08-21 23:16 1,049,600 --------- C:\WINDOWS\system32\dllcache\kernel32.dll
    2007-08-21 23:11 <REP> d-------- C:\WINDOWS\pss
    2007-08-21 22:59 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
    2007-08-21 22:59 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
    2007-08-21 22:59 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
    2007-08-21 22:59 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
    2007-08-21 22:59 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
    2007-08-21 22:59 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys
    2007-08-21 22:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\PC Tools
    2007-08-21 22:59 <REP> d-------- C:\Program Files\Spyware Doctor
    2007-08-21 22:57 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Google
    2007-08-21 22:55 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
    2007-08-21 22:55 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
    2007-08-21 22:55 <REP> d-------- C:\Program Files\Picasa2
    2007-08-21 22:55 <REP> d-------- C:\Program Files\Norton Security Scan
    2007-08-21 22:54 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Mes documents
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Menu D‚marrer
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Favoris
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Bureau
    2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage r‚seau
    2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage d'impression
    2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\ModŠles
    2007-08-21 22:32 <REP> d-------- C:\Program Files\Google
    2007-08-21 22:31 <REP> d-------- D:\DOCUME~1\Angie\Contacts
    2007-08-21 22:30 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
    2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
    2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
    2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
    2007-06-26 16:36 669696 --------- C:\WINDOWS\system32\dllcache\wininet.dll
    2007-06-26 15:56 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
    2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
    2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
    2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
    2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
    2007-06-15 10:12 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
    2007-06-15 10:12 619008 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
    2007-06-15 10:12 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
    2007-06-15 10:12 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
    2007-06-15 10:12 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
    2007-06-15 10:12 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
    2007-06-15 10:12 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
    2007-06-15 10:12 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
    2007-06-15 10:12 3085312 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
    2007-06-15 10:12 251904 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
    2007-06-15 10:12 205824 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
    2007-06-15 10:12 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
    2007-06-15 10:12 152064 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
    2007-06-15 10:12 1498624 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
    2007-06-15 10:12 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
    2007-06-15 10:12 1056768 --------- C:\WINDOWS\system32\dllcache\danim.dll
    2007-06-15 10:12 1023488 --------- C:\WINDOWS\system32\dllcache\browseui.dll
    2007-06-14 12:32 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
    2007-06-13 15:22 80384 -r-hs---- C:\WINDOWS\system32\xlyfmsjsv.exe
    2007-06-13 15:22 80384 -r-hs---- C:\WINDOWS\system32\sqiebnyne.exe
    2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
    2007-06-13 15:22 1037312 --------- C:\WINDOWS\system32\dllcache\explorer.exe

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
    "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
    "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-28 00:47]
    "nwiz"="nwiz.exe" [2006-04-28 00:47 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-28 00:47]
    "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 C:\WINDOWS\RTHDCPL.exe]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-10 14:00]
    "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 17:46]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
    "SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19]
    "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-10 14:00]
    "Log System"="C:\WINDOWS\system32\sqiebnyne.exe" [2007-06-13 15:22]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-21 22:54]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
    C:\Program Files\Free Download Manager\FUM\fumoei.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Log System]
    C:\WINDOWS\system32\sqiebnyne.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
    C:\Program Files\Picasa2\PicasaMediaDetector.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier.exe]
    C:\Program Files\SuperCopier\SuperCopier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{0228e555-4f9c-4e35-a3ec-b109a192b4c2}]
    C:\Program Files\Google\Gmail Notifier\gnotify.exe

    R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
    R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2a8823-5a62-11dc-9723-0016e61ad74b}]
    Auto\command- N:\rytknjzgh.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rytknjzgh.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91e204be-564e-11dc-971f-0016e61ad74b}]
    Auto\command- L:\jxafwligs.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jxafwligs.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfdda-5020-11dc-9717-806d6172696f}]
    Auto\command- C:\ebgxpgbzx.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ebgxpgbzx.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfddb-5020-11dc-9717-806d6172696f}]
    Auto\command- D:\ebgxpgbzx.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ebgxpgbzx.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfddd-5020-11dc-9717-000000000000}]
    Auto\command- F:\jxafwligs.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jxafwligs.exe

    *Newly Created Service* - CATCHME

    Contents of the 'Scheduled Tasks' folder
    2007-08-31 18:46:09 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-04 21:51:32
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-09-04 21:52:26
    C:\ComboFix-quarantined-files.txt ... 2007-09-04 21:52

    --- E O F ---
    0
  10. angiesphere
     
    Je t'avouerais que j'ai dû choper cette M..... en voulant aider mon frère qui avait le même virus sur son PC.
    J'ai branché son disque dur externe pour lui filer des install à mettre sur son PC car il devait formater son dur dû au fait que je ne m'en sortais pas avec ce virus.
    Résultat, j'ai branché un de ses durs externes et bizarrement, les problèmes ont commencé :-|
    Il vient de réinstaller windows avec avast, firefox, a mis son parefeu, a surfé sur le net, etc... OK pb après formatage.
    Il a branché le fameux dur externe et vraisemblablement, il n'a plus le problème :-|
    0
  11. angiesphere
     
    Qu'en penses tu ?

    Dans le rapport de comboFix, je vois le fameux exe "C:\sjtydbosm.exe " celui ci change de nom dès que je veux le supprimer ou que je redémarre windows
    0
  12. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    re angie,

    1/ Ouvre le Bloc-notes ( Menu Démarrer\Tous les programmes\Accessoires\Bloc-notes)

    2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

    CITATION
    File::
    C:\sjtydbosm.exe
    C:\WINDOWS\system32\xlyfmsjsv.exe
    C:\WINDOWS\system32\sqiebnyne.exe

    -Enregistre ce fichier dans: Bureau
    -Nom du fichier : CFScript
    -Type du fichier : tous les fichiers
    -clique sur Enregistrer
    -quitte le Bloc Notes

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    * Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
    * Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    @+
    0
  13. angiesphere
     
    Just a question...
    Si je branche un disque dur externe, le même fichier exe apparaît mais avec un autorun.
    Penses tu qu'en virant çà de mon c:/ çà n'apparaitra plus ?

    Après formatage du c:/, mon frère n'a plus de problème même avec le fameux disque dur externe.

    Je te remercie et vais faire ce que tu m'as indiqué
    0
  14. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    re

    quel c:/ ton frère a t'il formaté ?

    @+
    0
  15. angiesphere
     
    Le c:/ où se trouvait windows, celui dans son PC.
    Il n'a pas touché au disque dur externe que j'ai branché sur mon pc pour lui filer des fichiers.

    Voici le nouveau log :

    ComboFix 07-08-30.3 - "Angie" 2007-09-04 22:15:44.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.523 [GMT 2:00]
    * Created a new restore point

    FILE::
    C:\sjtydbosm.exe
    C:\WINDOWS\system32\xlyfmsjsv.exe
    C:\WINDOWS\system32\sqiebnyne.exe

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\Autorun.inf
    C:\sjtydbosm.exe
    C:\WINDOWS\system32\sqiebnyne.exe
    C:\WINDOWS\system32\xlyfmsjsv.exe
    D:\Autorun.inf

    ((((((((((((((((((((((((( Files Created from 2007-08-04 to 2007-09-04 )))))))))))))))))))))))))))))))

    2007-09-04 21:48 51,200 --a------ C:\WINDOWS\nircmd.exe
    2007-09-04 21:43 <REP> d-------- C:\Program Files\Navilog1
    2007-09-04 20:51 <REP> d-------- C:\WINDOWS\system32\ActiveScan
    2007-09-04 20:51 <REP> d-------- C:\WINDOWS\LastGood.Tmp
    2007-09-04 19:23 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
    2007-09-03 23:23 <REP> d-------- C:\Downloads
    2007-09-02 14:08 <REP> d-------- C:\Program Files\Free Download Manager
    2007-09-01 20:41 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
    2007-09-01 20:38 <REP> d-------- C:\WINDOWS\SHELLNEW
    2007-09-01 20:37 <REP> d-------- C:\Program Files\Microsoft.NET
    2007-08-30 19:25 45,568 --a------ C:\WINDOWS\UniFish3.exe
    2007-08-30 19:24 <REP> d-------- C:\Program Files\Hasbro Interactive
    2007-08-27 20:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\vlc
    2007-08-27 20:25 <REP> d-------- C:\Program Files\FpTest
    2007-08-27 20:24 <REP> d-------- C:\Program Files\Freeplayer
    2007-08-26 18:28 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\River Past G4
    2007-08-26 18:26 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\River Past G4
    2007-08-26 18:00 223,128 --a------ C:\WINDOWS\system32\drivers\dtscsi.sys
    2007-08-26 18:00 <REP> d-------- C:\Program Files\DAEMON Tools
    2007-08-26 17:58 96,256 --a------ C:\WINDOWS\system32\drivers\sptd2301.sys
    2007-08-26 17:58 643,072 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2007-08-24 15:02 <REP> d-------- C:\Program Files\Fichiers communs\Symantec Shared
    2007-08-23 21:19 <REP> d-------- C:\Program Files\SuperCopier
    2007-08-23 21:15 569,344 --a------ C:\WINDOWS\system32\imagr5.dll
    2007-08-23 21:15 544,768 --a------ C:\WINDOWS\system32\imagx5.dll
    2007-08-23 21:15 38,912 --a------ C:\WINDOWS\system32\picn20.dll
    2007-08-23 21:15 283,920 --a------ C:\WINDOWS\system32\ImagXpr5.dll
    2007-08-23 21:15 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
    2007-08-23 21:15 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
    2007-08-23 21:15 <REP> d-------- C:\Program Files\Fichiers communs\Ahead
    2007-08-23 21:14 <REP> d-------- C:\Program Files\Ahead
    2007-08-23 21:04 <REP> d-------- C:\Program Files\SLD Codec Pack
    2007-08-23 21:03 <REP> d-------- C:\Program Files\VDCodecPack3.4
    2007-08-23 07:13 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\WholeSecurity
    2007-08-23 03:05 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe
    2007-08-23 03:05 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll
    2007-08-23 03:05 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys
    2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\WholeSecurity
    2007-08-22 21:53 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Google
    2007-08-22 21:53 <REP> d-------- C:\Program Files\eBay
    2007-08-22 21:50 <REP> d-------- D:\DOCUME~1\CHIWIC~1\APPLIC~1\Talkback
    2007-08-22 19:01 1,165 --a------ C:\WINDOWS\mozver.dat
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Mes documents
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Menu D‚marrer
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Favoris
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\DEFAUL~1\Bureau
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Menu D‚marrer
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Documents
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ALLUSE~1\Bureau
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Mes documents
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Menu D‚marrer
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Favoris
    2007-08-22 06:38 <REP> dr------- D:\DOCUME~1\ADMINI~1\Bureau
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage r‚seau
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\Voisinage d'impression
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\DEFAUL~1\ModŠles
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ALLUSE~1\ModŠles
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage r‚seau
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\Voisinage d'impression
    2007-08-22 06:38 <REP> d--h----- D:\DOCUME~1\ADMINI~1\ModŠles
    2007-08-22 06:38 <REP> d-------- D:\DOCUME~1\ALLUSE~1\Favoris
    2007-08-22 03:15 23,040 --------- C:\WINDOWS\kb913800.exe
    2007-08-22 03:13 364,160 --------- C:\WINDOWS\system32\dllcache\update.sys
    2007-08-22 03:13 332,928 --------- C:\WINDOWS\system32\dllcache\srv.sys
    2007-08-22 03:09 453,120 --------- C:\WINDOWS\system32\dllcache\mrxsmb.sys
    2007-08-22 03:09 174,592 --------- C:\WINDOWS\system32\dllcache\rdbss.sys
    2007-08-21 23:34 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Thunderbird
    2007-08-21 23:34 <REP> d-------- C:\Program Files\Mozilla Thunderbird
    2007-08-21 23:32 0 --a------ C:\WINDOWS\nsreg.dat
    2007-08-21 23:32 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Talkback
    2007-08-21 23:22 <REP> d-------- C:\Program Files\7-Zip
    2007-08-21 23:17 549,376 --------- C:\WINDOWS\system32\dllcache\oleaut32.dll
    2007-08-21 23:17 <REP> d-------- C:\Program Files\QuickPar
    2007-08-21 23:16 1,049,600 --------- C:\WINDOWS\system32\dllcache\kernel32.dll
    2007-08-21 23:11 <REP> d-------- C:\WINDOWS\pss
    2007-08-21 22:59 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
    2007-08-21 22:59 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
    2007-08-21 22:59 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
    2007-08-21 22:59 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
    2007-08-21 22:59 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
    2007-08-21 22:59 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys
    2007-08-21 22:59 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\PC Tools
    2007-08-21 22:59 <REP> d-------- C:\Program Files\Spyware Doctor
    2007-08-21 22:57 <REP> d-------- D:\DOCUME~1\Angie\APPLIC~1\Google
    2007-08-21 22:55 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
    2007-08-21 22:55 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
    2007-08-21 22:55 <REP> d-------- C:\Program Files\Picasa2
    2007-08-21 22:55 <REP> d-------- C:\Program Files\Norton Security Scan
    2007-08-21 22:54 <REP> d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Mes documents
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Menu D‚marrer
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Favoris
    2007-08-21 22:33 <REP> dr------- D:\DOCUME~1\CHIWIC~1\Bureau
    2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage r‚seau
    2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\Voisinage d'impression
    2007-08-21 22:33 <REP> d--h----- D:\DOCUME~1\CHIWIC~1\ModŠles
    2007-08-21 22:32 <REP> d-------- C:\Program Files\Google
    2007-08-21 22:31 <REP> d-------- D:\DOCUME~1\Angie\Contacts
    2007-08-21 22:30 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
    2007-08-21 22:30 <REP> d-------- C:\Program Files\MSN Messenger

    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
    2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
    2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
    2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
    2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
    2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
    2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
    2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
    2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
    2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
    2007-06-26 16:36 669696 --------- C:\WINDOWS\system32\dllcache\wininet.dll
    2007-06-26 15:56 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
    2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
    2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
    2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
    2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
    2007-06-15 10:12 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
    2007-06-15 10:12 619008 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
    2007-06-15 10:12 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
    2007-06-15 10:12 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
    2007-06-15 10:12 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
    2007-06-15 10:12 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
    2007-06-15 10:12 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
    2007-06-15 10:12 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
    2007-06-15 10:12 3085312 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
    2007-06-15 10:12 251904 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
    2007-06-15 10:12 205824 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
    2007-06-15 10:12 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
    2007-06-15 10:12 152064 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
    2007-06-15 10:12 1498624 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
    2007-06-15 10:12 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
    2007-06-15 10:12 1056768 --------- C:\WINDOWS\system32\dllcache\danim.dll
    2007-06-15 10:12 1023488 --------- C:\WINDOWS\system32\dllcache\browseui.dll
    2007-06-14 12:32 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
    2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
    2007-06-13 15:22 1037312 --------- C:\WINDOWS\system32\dllcache\explorer.exe

    ((((((((((((((((((((((((((((( snapshot_2007-09-04_215205,89 )))))))))))))))))))))))))))))))))))))))))

    ----atw 16,384 2007-09-04 20:18:35 C:\WINDOWS\Temp\Perflib_Perfdata_4d0.dat

    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
    "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-10 14:00]
    "ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 14:01]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-28 00:47]
    "nwiz"="nwiz.exe" [2006-04-28 00:47 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-28 00:47]
    "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 C:\WINDOWS\system32\HdAShCut.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 16:49 C:\WINDOWS\RTHDCPL.exe]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-10 14:00]
    "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 17:46]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
    "SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-06-12 13:19]
    "Log System"="C:\WINDOWS\system32\sqiebnyne.exe" []

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-21 22:54]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
    "InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
    "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
    C:\Program Files\Free Download Manager\FUM\fumoei.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Log System]
    C:\WINDOWS\system32\sqiebnyne.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
    "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
    C:\WINDOWS\system32\NeroCheck.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
    C:\Program Files\Picasa2\PicasaMediaDetector.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SuperCopier.exe]
    C:\Program Files\SuperCopier\SuperCopier.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{0228e555-4f9c-4e35-a3ec-b109a192b4c2}]
    C:\Program Files\Google\Gmail Notifier\gnotify.exe

    R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
    R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1a2a8823-5a62-11dc-9723-0016e61ad74b}]
    Auto\command- N:\rytknjzgh.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL rytknjzgh.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91e204be-564e-11dc-971f-0016e61ad74b}]
    Auto\command- L:\sjtydbosm.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sjtydbosm.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eb3dfddd-5020-11dc-9717-000000000000}]
    Auto\command- F:\jxafwligs.exe
    AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL jxafwligs.exe

    Contents of the 'Scheduled Tasks' folder
    2007-08-31 18:46:09 C:\WINDOWS\Tasks\Norton Security Scan.job - C:\Program Files\Norton Security Scan\Nss.exe

    **************************************************************************

    catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-09-04 22:18:51
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************

    Completion time: 2007-09-04 22:20:04 - machine was rebooted
    C:\ComboFix-quarantined-files.txt ... 2007-09-04 22:20
    C:\ComboFix2.txt ... 2007-09-04 21:52

    --- E O F ---
    0
  16. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    oups, javais loupé un post,

    non je pense que si on le vire, çà sera bon

    @+
    0
  17. angiesphere
     
    Problème...

    Suite à la dernière manip que tu m'as fait faire, windows a redémarré et j'ai pu te poster le fichier.
    Quand j'ai redémarré, sur le c:/, je n'avais plus le fameux fichier exe et dans mon gestionnaire de tâche, je n'avais plus le fameux processus.
    J'ai donc remis mon dique dur externe qui contenait lui aussi le même fichier exe et tout est réapparu sur mon c:/ !!

    Rassure moi, on n'a pas fini ? Le virus n'est toujours pas ôté ?
    0
  18. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    tu n'es pas fatigué, on poursuit,

    Si durant la procédure ci-dessous, il y a des étapes que tu n'as pas reussi a faire, merci de continuer la procédure jusqu'au bout et de les signaler dans ta prochaine reponse.

    Je te conseille d'enregistrer la page web compléte, ou imprime cette réponse, une partie de la désinfection se déroulera en mode sans échec.

    1/ Ouvre le Bloc-notes (Démarrer\Tous les programmes\Accessoires\Bloc-notes)

    2/ Copie ce qui est en citation ci-dessous (sans le mot citation) par sélection puis Ctrl-C :

    CITATION
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft OCX"=-

    -Enregistrez ce fichier reg dans : Bureau
    -Nom du fichier :fixme.reg
    -Type du fichier : tous les fichiers
    -cliquez sur Enregistrer
    -quittez le Bloc Notes

    3/Télécharge puis installe https://www.avg.com/en-ww/free-antivirus-download
    Une fois AVG AS lancé, clique sur Mise à jour
    Ferme le programme.

    4/Démarre en mode sans échec http://cybersecurite.xooit.com/t88-Demarre...s-echec.htm#665

    5/Utilisation du fichier: Fixme.reg précedemment créé
    - double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.

    6/Pour supprimer les fichiers nefastes on va tous les afficher en faisant comme ceci:

    CITATION
    Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
    Cocher la case : Afficher les fichiers et dossiers cachés

    Décocher la case : Masquer les extensions des fichiers dont le type est connu

    Décocher la case : Masquer les fichiers protégés du système d'exploitation

    cliquer sur "Appliquer"

    cliquer sur le bouton "Appliquer à tous les dossiers" / OK

    7/Supprime ce qui est en gras:

    C:\WINDOWS\system32\ xlyfmsjsv.exe<== le fichier
    C:\WINDOWS\system32\sqiebnyne.exe<== le fichier

    8/ Relance AVG AS puis choisis l'onglet Analyse
    Puis l'onglet Paramètres
    Sous la question Comment réagir ?, clique sur Actions recommandées et choisis Quarantaine
    Reclique sur l'onglet Analyse puis réalise une Analyse complète du système

    Si un fichier infecté est détecté en fin d'analyse
    Clique sur Appliquer toutes les actions

    Clique sur Enregistrer le rapport puis sur Enregistrer le rapport sous
    Enregistre ce fichier texte sur ton bureau

    9/Redémarre en mode normal

    10/Poste le rapport d'AVG Anti spyware 7.5 ainsi qu'un nouveau log Hijackthis.

    Bon courage, çà va être long, peut être à demain, et si tu as la moindre question n'hésite surtout pas.

    @+
    0
  19. angiesphere
     
    le nom du fichier sur le c a changé !!!!

    çà va quand même fonctionné ?
    0
  20. web66 Messages postés 147 Date d'inscription   Statut Membre 1
     
    re angie,

    il se nomme comment, tu l'a remarqué comment ?

    @+
    0
  21. angiesphere
     
    comme je t'ai dit si je redémarre, le nom du fichier exe change
    or, suite au dernier rapport que tu m'avais demandé, le pc a redémarré et le fichier avait changé de nom

    j'ai vérifié, mon dur externe est infecté.
    visiblement, c'est un fichier ki se met à la racine du dur, j'ai donc gravé mes données super importantes et mis le dvd dans un vieux PC que je garde pour des tests. aucun virus.

    Je suis condamnée à finir de tout graver et formater mes deux durs
    0
  • 1
  • 2