Différents malwares... Résolu

Question

J'ai récemment été infecté pas des virus......ou enfin des trucs qui font ch...!!!!
-win32:adware-gen[adw]
-win32:qqhelper-aa[trj]
-win32:agent-grw[trj]
 aucun anti virus n'est efficace, windows rame, internet explorer me met une page chinoise et des pubs chinoises a gogo tout le temps !!
J'en ai marre !! ;)   je viens donc faire un tour sur les forums et m appercois que je suis loin d'etre le seul dans le cas !! j'essaie de suivre qqes procédures jusqu a que je me rende compte qu il m est impossible de faire des scans en ligne....la faute a je ne sais quel controle active x  impossible a désactiver !!!
Vous l avez compris, je suis un novice !!!!    Je jette donc l éponge !!!!

Voici ma question : " Est-ce qu' un formatage de mon ordi resoudrait a coup sur mon problème de virus ??"   

Merci d'avance ! :)

Utilisateur anonyme · Answer

ACTIVEX A ACTIVER pas désactiver

tu sauvegarde tes donénes importantes...

R2CUPERE le SP2 de windows XP si tu l'as pas sur disque.
Le fichier d'installation de AVAST (www.avast.org gratuit simple et efficace)

Et tu coupe internet. réinstalla XP en FORMATTANT TOUT et là tu patchs SP2, installe l'antivirus 
et SEULEMENT A LA FIN tu mets internet.

Les antivirus online marchent si tu active activeX sous IE - option etc..

Sinon EVITE aussi IE et préfère Firefox ou autre ...décidément yen a des virus actuellement!

pitchyladd · Answer

Ok merci !!! donc en formattant c est sur ils vont dégager !! 
une dernière chose, ca veut dire quoi patcher sp2....? J'ai pas trop compris vu que je vais devoir utiliser une copie de xp pour remettre windows...
sinon merci pour tes conseils !!!...Pour le reste ca devrait aller !! ;)

papyber · Answer

il n'est pas forcément obligatoire de formater, en plus cela ne résout pas toujours tous les problèmes
quels scans es tu effectués?
quels scans en ligne n'arrives tu pas à faire?
si tu le souhaites, on peut tenter la chose et si cela ne matche pas, tu pourras toujours formatter..
si tu es d'accord, poste un rapport hijack this

télécharge et installe le logiciel HijackThis 
http://pchelpbordeaux.free.fr/logiciels.html
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
 http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

pitchyladd · Answer

merci de te donner la peine papyber,  j'ai fait un scan et voici le rapport : 

Logfile of HijackThis v1.99.1
Scan saved at 21:01:42, on 13/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\45d61.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\AOL\1165599362\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\Java\jre1.5.0_09\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\AOL Compagnon\COMPANION.EXE
C:\WINDOWS\system32\zeegnhm.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7322.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SrchspHook Class - {22F86F33-9CBB-49a8-BB12-CDBE51B4C294} - C:\PROGRA~1\OCINS\srchsp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - C:\WINDOWS\system32\3451.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165599362\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SmCtrlDrv] D;]XJOEPXT]tztufn43]Svoemm43/fyf!D;]XJOEPXT]tztufn43]deoqsi/emm!Tubsu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: yjdiic.lnk = C:\Program Files\Realtek Sound Manager\yjdiicj.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://aolsvc.aol.com/onlinegames/free-trial-mahjong-fortuna-2-deluxe/zylomplayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Windows Management Prints System (spoo1v) - Unknown owner - spoo1v.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

papyber · Answer

cela devrait se faire....

---Télécharge combofix.exe (par sUBs) sur ton Bureau
  http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt


---Escan : 
Antivirus puissant à utiliser en "mode sans échec" sur les cas difficiles où il est souvent d'une grande efficacité; 

Étape 1: 
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. 

http://www.spywareinfo.dk/download/mwav.exe

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. 

Étape 2: 
Voici comment mettre l'outil à jour : 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads). 

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants. 

Ne pas lancer le scan tout de suite ! 

Étape 3: 
Redémarre en mode Sans Échec : 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisi la première option : Sans Échec, et valide avec "Entrée" 
5) Choisi ton compte régulier, et non Administrateur 


Étape 4: 
Du mode Sans Échec, voici comment utiliser le programme : 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran. 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. 

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse. 
 poste les rapports obtenus
Combofix et escan
et un nouveau rapport hijack this
à demain

pitchyladd · Answer

ok cool merci je m y colle demain, la j ai pas le temps !!! 
a dmin !

papyber · Answer

OK
j'attends tes rapports

pitchyladd · Answer

salut papy, j ai tout fait comme prévu, voici le résultat ! 

LE HIJACKTHIS : 

Logfile of HijackThis v1.99.1
Scan saved at 18:00:09, on 14/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\acer\Acer eConsole\MediaServerService.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Fichiers communs\AOL\1165599362\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\AOL 9.0\aoltray.exe
C:\Program Files\Realtek Sound Manager\yjdiicj.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AOL Compagnon\companion.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.7322.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7
tiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1165599362\ee\AOLSoftware.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: yjdiic.lnk = C:\Program Files\Realtek Sound Manager\yjdiicj.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://aolsvc.aol.com/onlinegames/free-trial-mahjong-fortuna-2-deluxe/zylomplayer.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\acer\Acer eConsole\MediaServerService.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLACSD.EXE
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Windows Management Prints System (spoo1v) - Unknown owner - spoo1v.exe (file missing)
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

pitchyladd · Answer

suivi du rapport combofix :

ComboFix 07-09-14.2 - "dany" 2007-09-14 15:33:29.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.33.1036.18.153 [GMT 2:00]
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\a1601.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\ad\d103b26122\blank.gif
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\ad\d103b26122\click.js
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\ad\d103b26122\index.htm
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\ad\d103b26122\VD0813_300x400.swf
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\ad\epson9.lz
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\b1601.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\k1601.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\p1601.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1.\t\r1601.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1\td
C:\DOCUME~1\ALLUSE~1\APPLIC~1\td\a1003.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1\td\b1003.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1\td\k1003.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1\td\p1003.dat
C:\DOCUME~1\ALLUSE~1\APPLIC~1\td\r1003.dat
C:\DOCUME~1\dany\icsetup.exe
C:\DOCUME~1\dany\LOCALS~1\APPLIC~1\baidu
C:\DOCUME~1\dany\ravmonlog
C:\Program Files\baidu
C:\Program Files\OCINS
C:\Program Files\OCINS\srchsp.dll
C:\Program Files\OCINS\uninstall.exe
C:\WINDOWS\f11.bmp
C:\WINDOWS\f2.exe
C:\WINDOWS\g3.exe
C:\WINDOWS\system\dvl
C:\WINDOWS\system32\3451.dll
C:\WINDOWS\system32\731.dll
C:\WINDOWS\system32\advport.dll
C:\WINDOWS\system32\drivers\rckfam30.sys
C:\WINDOWS\system32\drivers\riddx.sys
C:\WINDOWS\system32\iexp_log.txt
C:\WINDOWS\system32\rckfam30.dll
C:\WINDOWS\system32\score.txt
C:\WINDOWS\system32\wbem\ocmor.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_BDGUARD
-------\LEGACY_CNPROV
-------\LEGACY_MOBILL
-------\LEGACY_MSQMX
-------\LEGACY_MS_2FAX
-------\LEGACY_RCKFAM30
-------\LEGACY_RIDDX
-------\LEGACY_SECURITY
-------\msqmx
-------\ms_2fax
-------\rckfam30
-------\riddx

((((((((((((((((((((((((( Files Created from 2007-08-14 to 2007-09-14 )))))))))))))))))))))))))))))))
.

2007-09-14 15:32 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-13 21:00 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-09-13 15:32 <REP> d-------- C:\Program Files\Panda Security
2007-09-13 15:03 <REP> d-------- C:\DOCUME~1\dany\DoctorWeb
2007-09-12 16:04 <REP> d-------- C:\install
2007-09-11 17:15 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2007-09-09 15:56 <REP> d-------- C:\Program Files\Alwil Software
2007-09-04 14:14 1,776 --a------ C:\WINDOWS\system32\cdnprh.dll
2007-09-03 05:58 20,480 --a------ C:\DOCUME~1\dany\bind_50104.exe
2007-08-20 14:30 118,784 -r------- C:\WINDOWS\system32\45d61.exe
2007-08-18 13:21 <REP> d-------- C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\Google
2007-08-18 13:13 224,216 --a------ C:\WINDOWS\system32\RGShell.dll
2007-08-18 13:13 224,216 --a------ C:\DOCUME~1\dany\RGShell.dll
2007-08-18 13:13 188,416 --a------ C:\DOCUME~1\dany\spool.exe
2007-08-18 13:13 <REP> d-------- C:\WINDOWS\system32\RG
2007-08-18 13:12 403,113 --a------ C:\DOCUME~1\dany\todd.exe
2007-08-17 06:18 8 --a------ C:\WINDOWS\ocinfo.dat

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-12 11:24 53248 -ra------ C:\WINDOWS\system32\3451.dll
2007-09-12 11:24 53248 -ra------ C:\WINDOWS\1e51.exe
2007-08-11 06:06 396488 --a------ C:\DOCUME~1\dany\bdd.exe
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-30 05:33 --------- d-------- C:\Program Files\winstat
2007-07-29 19:47 214397 --a------ C:\DOCUME~1\dany\sd.exe
2007-07-29 19:47 --------- d-------- C:\Program Files\Common Files
2007-07-20 17:53 --------- d-------- C:\DOCUME~1\dany\APPLIC~1\DivX
2007-07-20 17:51 --------- d-------- C:\Program Files\DivX
2007-07-19 08:58 3583488 --a------ C:\WINDOWS\system32\dllcache\mshtml.dll
2007-07-13 01:30 765952 --a------ C:\WINDOWS\system32\dllcache\vgx.dll
2007-07-09 21:07 524288 --a------ C:\WINDOWS\system32\DivXsm.exe
2007-07-09 21:07 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-07-09 21:07 200704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-07-09 21:07 129784 --------- C:\WINDOWS\system32\pxafs.dll
2007-07-09 21:07 118520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-09 21:07 116472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-09 21:07 1044480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-07-09 21:06 73728 --a------ C:\WINDOWS\system32\dpl100.dll
2007-07-09 21:06 196608 --a------ C:\WINDOWS\system32\dtu100.dll
2007-07-09 21:05 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2007-07-09 21:05 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2007-07-09 21:05 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2007-07-09 21:05 740442 --a------ C:\WINDOWS\system32\DivX.dll
2007-07-09 21:05 593920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-07-09 21:05 57344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-07-09 21:05 53248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2007-07-09 21:05 344064 --a------ C:\WINDOWS\system32\dpus11.dll
2007-07-09 21:05 294912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-07-09 21:05 294912 --a------ C:\WINDOWS\system32\dpu10.dll
2007-07-09 21:05 124472 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-07-09 21:05 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2007-06-27 15:24 823808 --a------ C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-27 15:24 671232 --a------ C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-27 15:24 477696 --a------ C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-27 15:24 232960 --a------ C:\WINDOWS\system32\dllcache\webcheck.dll
2007-06-27 15:24 193024 --a------ C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-27 15:24 1152000 --a------ C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-27 15:24 105984 --a------ C:\WINDOWS\system32\dllcache\url.dll
2007-06-27 15:24 102400 --a------ C:\WINDOWS\system32\dllcache\occache.dll
2007-06-27 15:23 6058496 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2007-06-27 15:23 52224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-06-27 15:23 459264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-06-27 15:23 44544 --a------ C:\WINDOWS\system32\dllcache\iernonce.dll
2007-06-27 15:23 27648 --a------ C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-27 15:23 267776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2007-06-27 15:22 384512 --a------ C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-06-27 15:22 383488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-06-27 15:22 230400 --a------ C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-06-27 15:22 153088 --a------ C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-06-27 15:22 132608 --a------ C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-27 15:22 124928 --a------ C:\WINDOWS\system32\dllcache\advpack.dll
2007-06-27 10:28 625152 --a------ C:\WINDOWS\system32\dllcache\iexplore.exe
2007-06-27 10:27 63488 --a------ C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-06-27 10:27 13824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-06-27 09:00 161792 --a------ C:\WINDOWS\system32\dllcache\ieakui.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-21 12:01 103720 --a------ C:\WINDOWS\system32\AOLDial.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\dllcache\gdi32.dll
--------- C:\Program Files\Hijackthis Version Française
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ntiMUI"="c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 18:15]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 01:07]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 05:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 05:00]
"eRecoveryService"="C:\Program Files\Acer\eRecovery\Monitor.exe" [2005-06-20 09:03]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 C:\WINDOWS\AGRSMMSG.exe]
"VTTimer"="VTTimer.exe" [2005-05-13 12:57 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-05-13 12:57 C:\WINDOWS\system32\VTTrayp.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 03:10]
"AspireService"="C:\Program Files\Acer\Acer eMode Management\AspireService.exe" [2005-06-04 12:40]
"MediaSync"="C:\Program Files\Acer\Acer eConsole\MediaSync.exe" [2005-06-01 14:25]
"AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-11-10 16:18]
"AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2007-06-21 12:01]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-12-02 18:32]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 15:49]
"nwiz"="nwiz.exe" [2005-10-10 15:49 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 15:49]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 08:52 C:\WINDOWS\RTHDCPL.exe]
"HostManager"="C:\Program Files\Fichiers communs\AOL\1165599362\ee\AOLSoftware.exe" [2006-11-17 14:16]
"SmCtrlDrv"="D;]XJOEPXT]tztufn43]Svoemm43/fyf!D;]XJOEPXT]tztufn43]deoqsi/emm!Tubsu" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 05:00]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2005-12-14 10:04]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-30 15:41]

R1 UBHelper;UBHelper;C:\WINDOWS\system32\drivers\UBHelper.sys
S2 int15.sys;int15.sys;\??\C:\Program Files\acer\eRecovery\int15.sys
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe"

.
Contents of the 'Scheduled Tasks' folder
"2007-09-14 12:00:02 C:\WINDOWS\Tasks\yENyjUqJEY4.job"
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-14 15:36:24
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-14 15:37:24 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-09-14 15:37
.
--- E O F ---

pitchyladd · Answer

le virus log information de ESCAN :


File C:\WINDOWS\system32\cdnprh.dll infected by "Trojan-Downloader.Win32.Tiny.hu" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32	rz21.tmp tagged as not-a-virus:AdWare.Win32.Dm.ba. No Action Taken.
File C:\WINDOWS\system32\RGShell.dll tagged as not-a-virus:AdWare.Win32.Agent.fv. No Action Taken.
File C:\WINDOWS\system32\vgxbt.dll infected by "Trojan-Downloader.Win32.Agent.bbb" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32	rz21.tmp tagged as not-a-virus:AdWare.Win32.Dm.ba. No Action Taken.
File C:\WINDOWS\system32\RGShell.dll tagged as not-a-virus:AdWare.Win32.Agent.fv. No Action Taken.
File C:\Documents and Settings\All Users\Modèles	emp.exe infected by "Trojan-Dropper.Win32.Agent.ayy" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\dany\sd.exe infected by "Trojan.Win32.Agent.adv" Virus. Action Taken: File Deleted.
File C:\Documents and Settings\dany	odd.exe tagged as not-a-virus:AdWare.Win32.Agent.fv. No Action Taken.
File C:\Documents and Settings\dany\RGShell.dll tagged as not-a-virus:AdWare.Win32.Agent.fv. No Action Taken.
File C:\Documents and Settings\dany\spool.exe tagged as not-a-virus:AdWare.Win32.Agent.fv. No Action Taken.
File C:\Documents and Settings\dany\bind_50104.exe infected by "Trojan-Downloader.Win32.QQHelper.adn" Virus. Action Taken: File Deleted.
File C:\Program Files\Common Files\Error Report\svdll.dll infected by "Trojan.Win32.Agent.adv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000028.exe infected by "Trojan-Downloader.Win32.Agent.bbb" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000029.exe infected by "Trojan.Win32.StartPage.apb" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000036.DLL infected by "Trojan.Win32.Agent.abe" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000037.sys infected by "Trojan-Downloader.Win32.Agent.bbb" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000038.sys infected by "Trojan.Win32.Agent.bey" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000160.dll infected by "Trojan-Downloader.Win32.Tiny.hu" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000161.dll infected by "Trojan-Downloader.Win32.Agent.bbb" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000162.exe infected by "Trojan-Dropper.Win32.Agent.ayy" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000163.exe infected by "Trojan.Win32.Agent.adv" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000164.exe infected by "Trojan-Downloader.Win32.QQHelper.adn" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\A0000165.dll infected by "Trojan.Win32.Agent.adv" Virus. Action Taken: File Deleted.
File C:\qoobox\Quarantine\C\WINDOWS\system32\driversiddx.sys.vir infected by "Trojan-Downloader.Win32.Agent.bbb" Virus. Action Taken: File Deleted.
File C:\qoobox\Quarantine\C\WINDOWS\system32\driversckfam30.sys.vir infected by "Trojan.Win32.Agent.bey" Virus. Action Taken: File Deleted.
File C:\qoobox\Quarantine\C\WINDOWS\system32ckfam30.dll.vir infected by "Trojan.Win32.Agent.abe" Virus. Action Taken: File Deleted.
File C:\qoobox\Quarantine\C\WINDOWS\f2.exe.vir infected by "Trojan-Downloader.Win32.Agent.bbb" Virus. Action Taken: File Deleted.
File C:\qoobox\Quarantine\C\WINDOWS\g3.exe.vir infected by "Trojan.Win32.StartPage.apb" Virus. Action Taken: File Deleted.

pitchyladd · Answer

pis le le rapport complet, jle tente, ca peut qd mm t aider: 

Fri Sep 14 16:46:31 2007 => Scanning Folder: C:\Program Files\Alwil Software\Avast4\Setup\*.*
Fri Sep 14 16:46:31 2007 => Scanning Folder: C:\Program Files\Panda Security\*.*
Fri Sep 14 16:46:31 2007 => Scanning Folder: C:\Program Files\Panda Security\NanoScan\*.*
Fri Sep 14 16:46:32 2007 => Scanning Folder: C:\Program Files\Panda Security\NanoScan\Engine\*.*
Fri Sep 14 16:46:33 2007 => Scanning Folder: C:\Program Files\Hijackthis Version Française\*.*
Fri Sep 14 16:46:33 2007 => Scanning Folder: C:\System Volume Information\*.*
Fri Sep 14 16:46:33 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\*.*
Fri Sep 14 16:46:33 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP1\*.*
Fri Sep 14 16:46:34 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP1\snapshot\*.*
Fri Sep 14 16:46:34 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP1\snapshot\Repository\*.*
Fri Sep 14 16:46:34 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP1\snapshot\Repository\FS\*.*
Fri Sep 14 16:46:34 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\*.*
Fri Sep 14 16:46:34 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\snapshot\*.*
Fri Sep 14 16:46:35 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\snapshot\Repository\*.*
Fri Sep 14 16:46:35 2007 => Scanning Folder: C:\System Volume Information\_restore{DA1684A3-4776-45C8-851D-DD8A56FF2753}\RP2\snapshot\Repository\FS\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\Recycled\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\My Music\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\aolextras\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\Games\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\Games\Deluxe Pacman\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\install\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\qoobox\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\qoobox\BackEnv\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\qoobox\Quarantine\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\qoobox\Quarantine\C\*.*
Fri Sep 14 16:46:44 2007 => Scanning Folder: C:\qoobox\Quarantine\C\ComboFix\*.*
Fri Sep 14 16:46:45 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\*.*
Fri Sep 14 16:46:45 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\dany\*.*
Fri Sep 14 16:46:45 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\ALLUSE~1\*.*
Fri Sep 14 16:46:45 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\ALLUSE~1\APPLIC~1\*.*
Fri Sep 14 16:46:45 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\ALLUSE~1\APPLIC~1	\*.*
Fri Sep 14 16:46:45 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\ALLUSE~1\APPLIC~1	\ad\*.*
Fri Sep 14 16:46:45 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\ALLUSE~1\APPLIC~1	\ad\d103b26122\*.*
Fri Sep 14 16:46:46 2007 => Scanning Folder: C:\qoobox\Quarantine\C\DOCUME~1\ALLUSE~1\APPLIC~1\TD\*.*
Fri Sep 14 16:46:46 2007 => Scanning Folder: C:\qoobox\Quarantine\C\WINDOWS\*.*
Fri Sep 14 16:46:46 2007 => Scanning Folder: C:\qoobox\Quarantine\C\WINDOWS\system32\*.*
Fri Sep 14 16:46:46 2007 => Scanning Folder: C:\qoobox\Quarantine\C\WINDOWS\system32\drivers\*.*
Fri Sep 14 16:46:46 2007 => Scanning Folder: C:\qoobox\Quarantine\C\WINDOWS\system32\wbem\*.*
Fri Sep 14 16:46:47 2007 => Scanning Folder: C:\qoobox\Quarantine\C\WINDOWS\system\*.*
Fri Sep 14 16:46:47 2007 => Scanning Folder: C:\qoobox\Quarantine\C\Program Files\*.*
Fri Sep 14 16:46:47 2007 => Scanning Folder: C:\qoobox\Quarantine\C\Program Files\OCINS\*.*
Fri Sep 14 16:46:47 2007 => Scanning Folder: C:\qoobox\Quarantine\Registry_backups\*.*
Fri Sep 14 16:46:48 2007 => Scanning Folder: C:\Kaspersky\*.*
Fri Sep 14 16:47:07 2007 => Scanning Folder: C:\Downloads\*.*
Fri Sep 14 16:47:23 2007 => Scanning Folder: C:\Bases\*.*
 
Fri Sep 14 16:47:39 2007 => ***** Scanning C:\WINDOWS Folder *****
Fri Sep 14 16:47:39 2007 => Scanning Folder: C:\WINDOWS\*.*
 
Fri Sep 14 16:47:52 2007 => ***** Checking for specific ITW Viruses *****
Fri Sep 14 16:47:52 2007 => Checking for Welchia Virus...
Fri Sep 14 16:47:52 2007 => Checking for LovGate Virus...
Fri Sep 14 16:47:52 2007 => Checking for CodeRed Virus...
Fri Sep 14 16:47:52 2007 => Checking for OpaServ Virus...
Fri Sep 14 16:47:52 2007 => Checking for Sobig.e Virus...
Fri Sep 14 16:47:52 2007 => Checking for Winupie Virus...
Fri Sep 14 16:47:52 2007 => Checking for Swen Virus...
Fri Sep 14 16:47:52 2007 => Checking for JS.Fortnight Virus...
Fri Sep 14 16:47:52 2007 => Checking for Novarg Virus...
Fri Sep 14 16:47:52 2007 => Checking for Pagabot Virus...
Fri Sep 14 16:47:52 2007 => Checking for Parite.b Virus...
Fri Sep 14 16:47:52 2007 => Checking for Parite.a Virus...
 
Fri Sep 14 16:47:53 2007 => ***** Scanning complete. *****
Fri Sep 14 16:47:53 2007 => Total Number of Files Scanned: 40704
Fri Sep 14 16:47:53 2007 => Total Number of Virus(es) Found: 29
Fri Sep 14 16:47:53 2007 => Total Number of Disinfected Files: 0
Fri Sep 14 16:47:53 2007 => Total Number of Files Renamed: 0
Fri Sep 14 16:47:53 2007 => Total Number of Deleted Files: 22
Fri Sep 14 16:47:53 2007 => Total Number of Errors: 3
Fri Sep 14 16:47:53 2007 => Time Elapsed: 00:49:09
Fri Sep 14 16:47:53 2007 => Virus Database Date: 2007/09/14
Fri Sep 14 16:47:53 2007 => Virus Database Count: 418412
 
Fri Sep 14 16:47:53 2007 => Scan Completed.
 
ca a l air bon, courage a toi maintenant papyber pis encore merki !!! ;)

papyber · Answer

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\system32	rz21.tmp 
C:\WINDOWS\system32\RGShell.dll 
C:\Documents and Settings\dany	odd.exe 
C:\Documents and Settings\dany\RGShell.dll 
C:\Documents and Settings\dany\spool.exe 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

télécharge GenProc de Lazzzy et Narco4 sur ton bureau
 http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

pitchyladd · Answer

Rapport OTmoveit :

C:\WINDOWS\system32	rz21.tmp moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\RGShell.dll
C:\WINDOWS\system32\RGShell.dll NOT unregistered.
C:\WINDOWS\system32\RGShell.dll moved successfully.
C:\Documents and Settings\dany	odd.exe moved successfully.
DllUnregisterServer procedure not found in C:\Documents and Settings\dany\RGShell.dll
C:\Documents and Settings\dany\RGShell.dll NOT unregistered.
C:\Documents and Settings\dany\RGShell.dll moved successfully.
C:\Documents and Settings\dany\spool.exe moved successfully.
 
Created on 09/14/2007 19:21:16

puis genproc.....j'avoue que chuis largué ! Je dois suivre ses indications ???
Rapport GenProc 0.71 [1] effectué le 14/09/2007 à 19:28:01,32 - SystemRoot = C:\WINDOWS 

# Etape 1/ Télécharge :  
  
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme. 
 
- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
 
- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau. 
 
 
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "dany") ***** 
 
 
# Etape 2/  
 
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier  SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
~ Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir. 
 
# Etape 3/ 
 
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau. 
 
# Etape 4/ 
 
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout. 
 
# Etape 5/ 

Redémarre normalement et poste : 
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ; 
- Le contenu du fichier Report.txt ; 
- Le contenu du rapport MSNfix situé sur le Bureau ; 


Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.


J ai du foirer qqch non ?

papyber · Answer

fais ce que te demande GEnProc, il doit rester un fichier que SDFix n'a pas ôté tout à l'heure et en plus il semble que tu aies chopé le virus MSN qui traîne pas mal en ce moment
poste les rapports obtenus
à+

pitchyladd · Answer

merci encore pour cette aide.....Ceci dit, j en ai eu marre et j ai fini par formatter !! Mesure radicale, tout semble avoir disparu et mon ordi refonctionne normalement !!

papyber · Answer

on avait simplement dit que c'était une tentative pour éventuellement éviter le formatage...

pense à te protéger efficacement
Télécharge : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et scanne ton PC avec une fois par semaine au moins...
AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation : 
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.
Retour à l'onglet Analyse. 
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions " 
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.


tu peux le coupler avec celui-ci
spybot search and destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections... 
 
et bon surf

Différents malwares...

16 réponses

Votre réponse

Discussions similaires

Newsletters