Infection par outerinfo
joebarteam
Messages postés
51
Statut
Membre
-
chrifleur Messages postés 1099 Statut Contributeur -
chrifleur Messages postés 1099 Statut Contributeur -
Bonjour,
suite à un probleme de disque dur, j'ai telecharger un logiciel de récupération de données en version gratuite. Bref, il me demande un N° de série, que je trouve via un crack.
Depuis, j'ai "outerinfo" qui est apparu dans Démarrer->Tous les programmes et des pages IE se lançaient.
J'ai fais un nettoyage avec Panda antivirus, et j'ai désinstaller "outerinfo" depuis le panneau de configuration->Installater/desinstaller.
Bref, je crois que le probleme n'est pas résolu car Windows m'averti que mon pc est infecté, le curseur de la souris est souvent en mode "travail" (le petit sablier) et l'ordinateur galère à fond.
J'ai vite fais survoler un post ayant le même soucis, et je vous envoie donc le rapport de GenProc :
Rapport GenProc 0.72 [1] effectué le 08/10/2007 à 22:20:46,09 - SystemRoot = D:\WINDOWS
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (par [b]sUBs[/b]) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.
- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
- Purity.zip http://www.alt-shift-return.org/Info/Fichiers/Purity.zip et décompresse-le sur le bureau.
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "admin") *****
# Etape 2/
Double-clique sur le fichier Purity.bat qui se trouve dans le dossier Purity, sur ton bureau, et patiente.
# Etape 3/
* Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique [b]combofix.exe[/b].
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra
# Etape 4/
Double-clique sur le fichier "SmitfraudFix.exe" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
# Etape 5/
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
~ Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
# Etape 6/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 7/
Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans D:\vundofix.txt ;
- Le contenu du rapport situé dans D:\Combofix.txt ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt ;
- Le contenu du rapport Purity.txt situé dans le dossier Purity, sur ton Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
En vous remerciant par avance de votre aide,
A+
toma
suite à un probleme de disque dur, j'ai telecharger un logiciel de récupération de données en version gratuite. Bref, il me demande un N° de série, que je trouve via un crack.
Depuis, j'ai "outerinfo" qui est apparu dans Démarrer->Tous les programmes et des pages IE se lançaient.
J'ai fais un nettoyage avec Panda antivirus, et j'ai désinstaller "outerinfo" depuis le panneau de configuration->Installater/desinstaller.
Bref, je crois que le probleme n'est pas résolu car Windows m'averti que mon pc est infecté, le curseur de la souris est souvent en mode "travail" (le petit sablier) et l'ordinateur galère à fond.
J'ai vite fais survoler un post ayant le même soucis, et je vous envoie donc le rapport de GenProc :
Rapport GenProc 0.72 [1] effectué le 08/10/2007 à 22:20:46,09 - SystemRoot = D:\WINDOWS
# Etape 1/ Télécharge :
- CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (par [b]sUBs[/b]) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.
- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
- Purity.zip http://www.alt-shift-return.org/Info/Fichiers/Purity.zip et décompresse-le sur le bureau.
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "admin") *****
# Etape 2/
Double-clique sur le fichier Purity.bat qui se trouve dans le dossier Purity, sur ton bureau, et patiente.
# Etape 3/
* Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique [b]combofix.exe[/b].
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra
# Etape 4/
Double-clique sur le fichier "SmitfraudFix.exe" et choisis l’option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
# Etape 5/
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur "RunThis.bat" pour lancer le script.
- Appuie sur "Y" pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom "Report.txt".
~ Le fichier "SDFIX_README.htm" (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
~ Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
# Etape 6/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 7/
Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans D:\vundofix.txt ;
- Le contenu du rapport situé dans D:\Combofix.txt ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt ;
- Le contenu du rapport Purity.txt situé dans le dossier Purity, sur ton Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
En vous remerciant par avance de votre aide,
A+
toma
A voir également:
- Infection par outerinfo
- Infection par smidfaufix ! ✓ - Forum Virus
- L'ordinateur de simon a été infecté par un virus répertorié récemment - Forum Jeux vidéo
- Infection - Forum Virus
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment ✓ - Forum Virus
- Possible infection par PnkBstrA.exe ✓ - Forum Virus
9 réponses
bonsoir
les dangers du crack!!!je ne vais pas t'enfoncer plus!!je pense que la leçon va servir....
suis les consignes de GenProc et poste les rapports obtenus
et prends le temps de lire cela
dans celui-ci, tesgaz t'explique les risques du P2P
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
dans celui-là, les risques du crack
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/
les dangers du crack!!!je ne vais pas t'enfoncer plus!!je pense que la leçon va servir....
suis les consignes de GenProc et poste les rapports obtenus
et prends le temps de lire cela
dans celui-ci, tesgaz t'explique les risques du P2P
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
dans celui-là, les risques du crack
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/
Salut,
merci pour ton aide.
Oui, la je crois que ça me servira de leçon. Je ne le fais pourtant pas régulièrement, mais là face à l'urgence de sauver mon disque dur, j'ai fais ça salement.
Bref, voici le rapport SmithFraud:
SmitFraudFix v2.239
Rapport fait à 23:08:49,42, 08/10/2007
Executé à partir de D:\Documents and Settings\admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Suivi du rapport PurityBat :
fix lancé en mode sans echec
Rapport Purity 0.02 lancé [1] fois! le 08/10/2007 à 22:51:45,87
Liste des éléments rencontrés au cours de la Recherche...
Aucun élément nuisible rencontré.
Fin du rapport
Suivi du rapport de ComboFix :
ComboFix 07-10-07.2 - admin 2007-10-08 23:03:41.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.369 [GMT 2:00]
Running from: D:\Documents and Settings\admin\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-08 to 2007-10-08 ))))))))))))))))))))))))))))))))))))
.
2007-10-08 22:38 51,200 --a------ D:\WINDOWS\NirCmd.exe
2007-10-08 22:28 <REP> d-------- D:\Program Files\Yahoo!
2007-10-08 22:28 <REP> d-------- D:\Program Files\CCleaner
2007-10-08 19:33 9,728 --a------ D:\Program Files\hlpsrv.exe
2007-10-08 19:32 33,792 --a------ D:\WINDOWS\system32\jkkhggh.dll
2007-10-08 19:32 15,360 --a------ D:\WINDOWS\system32\drvzazr.dll
2007-10-08 19:32 101,376 --a------ D:\WINDOWS\system32\drvzaz.dll
2007-10-08 14:25 <REP> d-a------ D:\Documents and Settings\All Users\Application Data\TEMP
2007-10-08 14:25 <REP> d-------- D:\Program Files\GetData
2007-10-07 22:40 <REP> d-------- D:\WINDOWS\system32\NtmsData
2007-10-01 19:49 1,324 --a------ D:\WINDOWS\system32\d3d9caps.dat
2007-09-17 11:01 <REP> d-------- D:\Program Files\iTunes
2007-09-17 11:01 <REP> d-------- D:\Program Files\iPod
2007-09-17 11:01 <REP> d-------- D:\Program Files\Apple Software Update
2007-09-17 11:00 <REP> d-------- D:\Program Files\Fichiers communs\Apple
2007-09-12 11:30 <REP> d-------- D:\Program Files\Lavasoft
2007-09-12 11:30 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
2007-09-12 11:29 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
2007-09-11 20:31 <REP> d--h----- D:\Program Files\Fichiers communs\Carlson
2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-08 22:55 --------- d-------- D:\Program Files\Wanadoo
2007-10-08 14:24 --------- d--h----- D:\Program Files\InstallShield Installation Information
2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
2007-09-17 11:01 --------- d-------- D:\Documents and Settings\All Users\Application Data\Apple Computer
2007-09-15 12:00 --------- d-------- D:\Program Files\eMule
2007-09-13 18:48 --------- d-------- D:\Program Files\DivX
2007-09-13 16:40 --------- d-------- D:\Program Files\Google
2007-09-13 13:04 --------- d-------- D:\Program Files\Free Audio Pack
2007-09-13 09:07 --------- d-------- D:\Program Files\Fichiers communs\Real
2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
2007-09-12 11:32 9344 --a------ D:\WINDOWS\system32\drivers\NSDriver.sys
2007-09-12 11:32 8320 --a------ D:\WINDOWS\system32\drivers\AWRTRD.sys
2007-09-12 10:25 46080 --a------ D:\WINDOWS\system32\ftp.exe
2007-09-01 18:12 --------- d-------- D:\Program Files\Beneton Movie GIF
2007-08-23 14:03 348160 --a------ D:\WINDOWS\system32\MSVCR71.DLL
2007-07-30 19:19 92504 --a------ D:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ D:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ D:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ D:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ D:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ D:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ D:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ D:\WINDOWS\system32\wups.dll
2007-07-27 01:06 200704 --a------ D:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1044480 --a------ D:\WINDOWS\system32\libdivx.dll
.
((((((((((((((((((((((((((((( snapshot@2007-10-08_22.49.11.12 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 53,942 2007-10-08 20:59:51 D:\WINDOWS\system32\perfc009.dat
----a-w 64,930 2007-10-08 20:59:51 D:\WINDOWS\system32\perfc00C.dat
----a-w 383,588 2007-10-08 20:59:51 D:\WINDOWS\system32\perfh009.dat
----a-w 448,428 2007-10-08 20:59:51 D:\WINDOWS\system32\perfh00C.dat
.
----a-w 53,942 2007-10-08 20:22:46 D:\WINDOWS\system32\perfc009.dat
----a-w 64,930 2007-10-08 20:22:46 D:\WINDOWS\system32\perfc00C.dat
----a-w 383,588 2007-10-08 20:22:46 D:\WINDOWS\system32\perfh009.dat
----a-w 448,428 2007-10-08 20:22:47 D:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="D:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="D:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2007-09-07 16:55]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="D:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"WMPNSCFG"="D:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59]
"Cciidrcr"="D:\WINDOWS\??curity\?ti2evxx.exe" []
"Surr"="D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll 2006-07-14 13:46 45056 D:\WINDOWS\system32\avldr.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DVD Check.lnk]
path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DVD Check.lnk
backup=D:\WINDOWS\pss\DVD Check.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]
"D:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
D:\Program Files\HPQ\Default Settings\cpqset.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
D:\WINDOWS\system32\dla\tfswctrl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eabconfg.cpl]
D:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
D:\WINDOWS\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
D:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
D:\WINDOWS\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
D:\WINDOWS\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR]
D:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
D:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
D:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
D:\Program Files\Java\jre1.5.0\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
"D:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
D:\Program Files\InterVideo\DVD Check\DVDCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
D:\PROGRA~1\Wanadoo\Watch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SoundMAX Agent Service (default)"=2 (0x2)
"PSIMSVC"=2 (0x2)
"PAVSRV"=2 (0x2)
"Panda Software Controller"=2 (0x2)
"ose"=3 (0x3)
"MDM"=2 (0x2)
"hpqwmi"=3 (0x3)
"FTRTSVC"=2 (0x2)
S1 ClntMgmt.sys;ClntMgmt.sys;D:\WINDOWS\system32\Drivers\ClntMgmt.sys
S3 LcdMini;Digital Audio Player(Model : PA30B);D:\WINDOWS\system32\DRIVERS\LcdMini.sys
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-10-03 21:50:04 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************
catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-08 23:06:25
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
.
Completion time: 2007-10-08 23:07:50
D:\ComboFix-quarantined-files.txt ... 2007-10-08 23:07
D:\ComboFix2.txt ... 2007-10-08 22:50
.
--- E O F ---
Suivi du rapport de SDFix :
SDFix: Version 1.107
Run by admin on 08/10/2007 at 23:11
Microsoft Windows XP [version 5.1.2600]
Running From: D:\DOCUME~1\admin\Bureau\SDFIX\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
D:\Program Files\Fichiers communs\Carlson\carlton - Deleted
Folder D:\Program Files\Fichiers communs\Carlson - Removed
Removing Temp Files...
ADS Check:
D:\WINDOWS
No streams found.
D:\WINDOWS\system32
No streams found.
D:\WINDOWS\system32\svchost.exe
No streams found.
D:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
File Backups: - D:\DOCUME~1\admin\Bureau\SDFIX\SDFix\backups\backups.zip
Files with Hidden Attributes:
Mon 30 Apr 2007 4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 22 Dec 2004 76,568 ..SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
Wed 22 Dec 2004 16,384 A.SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\_Setup.dll"
Thu 20 Jan 2005 11,344 A.SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Sat 28 Apr 2007 0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Finished!
Je n'ai pas réussi à télécharger VundoFix, je n'ai donc pas de rapport...
Merci beaucoup de cette aide,
bon courage,
A+
merci pour ton aide.
Oui, la je crois que ça me servira de leçon. Je ne le fais pourtant pas régulièrement, mais là face à l'urgence de sauver mon disque dur, j'ai fais ça salement.
Bref, voici le rapport SmithFraud:
SmitFraudFix v2.239
Rapport fait à 23:08:49,42, 08/10/2007
Executé à partir de D:\Documents and Settings\admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{112B543B-CF62-49B7-A101-ED7021A4B405}: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 0.0.0.0
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Suivi du rapport PurityBat :
fix lancé en mode sans echec
Rapport Purity 0.02 lancé [1] fois! le 08/10/2007 à 22:51:45,87
Liste des éléments rencontrés au cours de la Recherche...
Aucun élément nuisible rencontré.
Fin du rapport
Suivi du rapport de ComboFix :
ComboFix 07-10-07.2 - admin 2007-10-08 23:03:41.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.369 [GMT 2:00]
Running from: D:\Documents and Settings\admin\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-08 to 2007-10-08 ))))))))))))))))))))))))))))))))))))
.
2007-10-08 22:38 51,200 --a------ D:\WINDOWS\NirCmd.exe
2007-10-08 22:28 <REP> d-------- D:\Program Files\Yahoo!
2007-10-08 22:28 <REP> d-------- D:\Program Files\CCleaner
2007-10-08 19:33 9,728 --a------ D:\Program Files\hlpsrv.exe
2007-10-08 19:32 33,792 --a------ D:\WINDOWS\system32\jkkhggh.dll
2007-10-08 19:32 15,360 --a------ D:\WINDOWS\system32\drvzazr.dll
2007-10-08 19:32 101,376 --a------ D:\WINDOWS\system32\drvzaz.dll
2007-10-08 14:25 <REP> d-a------ D:\Documents and Settings\All Users\Application Data\TEMP
2007-10-08 14:25 <REP> d-------- D:\Program Files\GetData
2007-10-07 22:40 <REP> d-------- D:\WINDOWS\system32\NtmsData
2007-10-01 19:49 1,324 --a------ D:\WINDOWS\system32\d3d9caps.dat
2007-09-17 11:01 <REP> d-------- D:\Program Files\iTunes
2007-09-17 11:01 <REP> d-------- D:\Program Files\iPod
2007-09-17 11:01 <REP> d-------- D:\Program Files\Apple Software Update
2007-09-17 11:00 <REP> d-------- D:\Program Files\Fichiers communs\Apple
2007-09-12 11:30 <REP> d-------- D:\Program Files\Lavasoft
2007-09-12 11:30 <REP> d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft
2007-09-12 11:29 <REP> d-------- D:\Program Files\Fichiers communs\Wise Installation Wizard
2007-09-11 20:31 <REP> d--h----- D:\Program Files\Fichiers communs\Carlson
2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
2007-09-08 14:29 <REP> d-------- D:\Documents and Settings\admin\Application Data\WinRAR
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-08 22:55 --------- d-------- D:\Program Files\Wanadoo
2007-10-08 14:24 --------- d--h----- D:\Program Files\InstallShield Installation Information
2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
2007-10-05 00:30 --------- d-------- D:\Documents and Settings\admin\Application Data\LimeWire
2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
2007-09-17 11:02 --------- d-------- D:\Documents and Settings\admin\Application Data\Apple Computer
2007-09-17 11:01 --------- d-------- D:\Documents and Settings\All Users\Application Data\Apple Computer
2007-09-15 12:00 --------- d-------- D:\Program Files\eMule
2007-09-13 18:48 --------- d-------- D:\Program Files\DivX
2007-09-13 16:40 --------- d-------- D:\Program Files\Google
2007-09-13 13:04 --------- d-------- D:\Program Files\Free Audio Pack
2007-09-13 09:07 --------- d-------- D:\Program Files\Fichiers communs\Real
2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
2007-09-13 09:07 --------- d-------- D:\Documents and Settings\admin\Application Data\Real
2007-09-12 11:32 9344 --a------ D:\WINDOWS\system32\drivers\NSDriver.sys
2007-09-12 11:32 8320 --a------ D:\WINDOWS\system32\drivers\AWRTRD.sys
2007-09-12 10:25 46080 --a------ D:\WINDOWS\system32\ftp.exe
2007-09-01 18:12 --------- d-------- D:\Program Files\Beneton Movie GIF
2007-08-23 14:03 348160 --a------ D:\WINDOWS\system32\MSVCR71.DLL
2007-07-30 19:19 92504 --a------ D:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ D:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ D:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ D:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ D:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ D:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ D:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ D:\WINDOWS\system32\wups.dll
2007-07-27 01:06 200704 --a------ D:\WINDOWS\system32\ssldivx.dll
2007-07-27 01:06 1044480 --a------ D:\WINDOWS\system32\libdivx.dll
.
((((((((((((((((((((((((((((( snapshot@2007-10-08_22.49.11.12 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 53,942 2007-10-08 20:59:51 D:\WINDOWS\system32\perfc009.dat
----a-w 64,930 2007-10-08 20:59:51 D:\WINDOWS\system32\perfc00C.dat
----a-w 383,588 2007-10-08 20:59:51 D:\WINDOWS\system32\perfh009.dat
----a-w 448,428 2007-10-08 20:59:51 D:\WINDOWS\system32\perfh00C.dat
.
----a-w 53,942 2007-10-08 20:22:46 D:\WINDOWS\system32\perfc009.dat
----a-w 64,930 2007-10-08 20:22:46 D:\WINDOWS\system32\perfc00C.dat
----a-w 383,588 2007-10-08 20:22:46 D:\WINDOWS\system32\perfh009.dat
----a-w 448,428 2007-10-08 20:22:47 D:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="D:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49]
"WOOTASKBARICON"="D:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55]
"Adobe Reader Speed Launcher"="D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"QuickTime Task"="D:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2007-09-07 16:55]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="D:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00]
"WMPNSCFG"="D:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59]
"Cciidrcr"="D:\WINDOWS\??curity\?ti2evxx.exe" []
"Surr"="D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" []
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]
avldr.dll 2006-07-14 13:46 45056 D:\WINDOWS\system32\avldr.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DVD Check.lnk]
path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DVD Check.lnk
backup=D:\WINDOWS\pss\DVD Check.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APVXDWIN]
"D:\Program Files\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset]
D:\Program Files\HPQ\Default Settings\cpqset.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
D:\WINDOWS\system32\dla\tfswctrl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eabconfg.cpl]
D:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
D:\WINDOWS\system32\hkcmd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
D:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
D:\WINDOWS\system32\igfxtray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
"D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
D:\WINDOWS\system32\igfxpers.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR]
D:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
D:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
D:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
D:\Program Files\Java\jre1.5.0\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
D:\Program Files\Synaptics\SynTP\SynTPEnh.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
"D:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
D:\Program Files\InterVideo\DVD Check\DVDCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]
D:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
D:\PROGRA~1\Wanadoo\Watch.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SoundMAX Agent Service (default)"=2 (0x2)
"PSIMSVC"=2 (0x2)
"PAVSRV"=2 (0x2)
"Panda Software Controller"=2 (0x2)
"ose"=3 (0x3)
"MDM"=2 (0x2)
"hpqwmi"=3 (0x3)
"FTRTSVC"=2 (0x2)
S1 ClntMgmt.sys;ClntMgmt.sys;D:\WINDOWS\system32\Drivers\ClntMgmt.sys
S3 LcdMini;Digital Audio Player(Model : PA30B);D:\WINDOWS\system32\DRIVERS\LcdMini.sys
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-10-03 21:50:04 D:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
**************************************************************************
catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-08 23:06:25
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
**************************************************************************
.
Completion time: 2007-10-08 23:07:50
D:\ComboFix-quarantined-files.txt ... 2007-10-08 23:07
D:\ComboFix2.txt ... 2007-10-08 22:50
.
--- E O F ---
Suivi du rapport de SDFix :
SDFix: Version 1.107
Run by admin on 08/10/2007 at 23:11
Microsoft Windows XP [version 5.1.2600]
Running From: D:\DOCUME~1\admin\Bureau\SDFIX\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
D:\Program Files\Fichiers communs\Carlson\carlton - Deleted
Folder D:\Program Files\Fichiers communs\Carlson - Removed
Removing Temp Files...
ADS Check:
D:\WINDOWS
No streams found.
D:\WINDOWS\system32
No streams found.
D:\WINDOWS\system32\svchost.exe
No streams found.
D:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
File Backups: - D:\DOCUME~1\admin\Bureau\SDFIX\SDFix\backups\backups.zip
Files with Hidden Attributes:
Mon 30 Apr 2007 4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 22 Dec 2004 76,568 ..SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
Wed 22 Dec 2004 16,384 A.SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\_Setup.dll"
Thu 20 Jan 2005 11,344 A.SHR --- "D:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Sat 28 Apr 2007 0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Finished!
Je n'ai pas réussi à télécharger VundoFix, je n'ai donc pas de rapport...
Merci beaucoup de cette aide,
bon courage,
A+
Salut,
excuse je croyais l'avoir posté...
Le voici donc :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:19, on 09/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Windows Media Player\WMPNSCFG.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\iTunes\iTunes.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\admin\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] D:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Cciidrcr] D:\WINDOWS\??curity\?ti2evxx.exe
O4 - HKCU\..\Run: [Surr] "D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" -vt ndrv
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = D:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
excuse je croyais l'avoir posté...
Le voici donc :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:19, on 09/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\Wanadoo\TaskBarIcon.exe
D:\Program Files\iTunes\iTunesHelper.exe
D:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Windows Media Player\WMPNSCFG.exe
D:\Program Files\iPod\bin\iPodService.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\iTunes\iTunes.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\admin\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] D:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Cciidrcr] D:\WINDOWS\??curity\?ti2evxx.exe
O4 - HKCU\..\Run: [Surr] "D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" -vt ndrv
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = D:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lance hijack this pour un scan et coche les lignes suivantes
O4 - HKCU\..\Run: [Cciidrcr] D:\WINDOWS\??curity\?ti2evxx.exe
O4 - HKCU\..\Run: [Surr] "D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" -vt ndrv
ferme toutes tes applications y compis internet sauf hijack this et clique sur fixer objet (fix checked)
tu n'as pas d'antivirus!!!
installe en un très vite, c'est la priorité ainsi qu'un pare feu!!
voici un lien pour antivir
https://www.pcastuces.com/logitheque/antivir.htm
et un tuto pour la paramétrer
http://mr.dodo.perso.cegetel.net/tuto21.htm
et un lien pour un pare feu
https://www.pcastuces.com/logitheque/zonealarm.htm
et un tuto pour le paramétrer
http://securite-facile.ovh.org/zonealarm.php
dès que c'est fait tu redémarres en mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
et tu scannes ton Pc (poste de travil complet, avec périfériques externes branchés) avec antivir
tu me copies colles le rapport obtenu avec un rapport hijack this
O4 - HKCU\..\Run: [Cciidrcr] D:\WINDOWS\??curity\?ti2evxx.exe
O4 - HKCU\..\Run: [Surr] "D:\DOCUME~1\admin\APPLIC~1\FNTS~1\wucrtupd.exe" -vt ndrv
ferme toutes tes applications y compis internet sauf hijack this et clique sur fixer objet (fix checked)
tu n'as pas d'antivirus!!!
installe en un très vite, c'est la priorité ainsi qu'un pare feu!!
voici un lien pour antivir
https://www.pcastuces.com/logitheque/antivir.htm
et un tuto pour la paramétrer
http://mr.dodo.perso.cegetel.net/tuto21.htm
et un lien pour un pare feu
https://www.pcastuces.com/logitheque/zonealarm.htm
et un tuto pour le paramétrer
http://securite-facile.ovh.org/zonealarm.php
dès que c'est fait tu redémarres en mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur
et tu scannes ton Pc (poste de travil complet, avec périfériques externes branchés) avec antivir
tu me copies colles le rapport obtenu avec un rapport hijack this
Bonjour,
voici le rapport d'Antivir :
AntiVir PersonalEdition Classic
Report file date: mercredi 10 octobre 2007 09:40
Scanning for 870686 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: admin
Computer name: PROJIXI-DA144A6
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.57 446464 Bytes 07/10/2007 07:26:21
ANTIVIR3.VDF : 7.0.0.69 43520 Bytes 10/10/2007 07:26:21
AVEWIN32.DLL : 7.6.0.20 2753024 Bytes 10/10/2007 07:26:21
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: D:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: H:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: mercredi 10 octobre 2007 09:40
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'G:\'
[NOTE] No virus was found!
Boot sector 'H:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '31' files ).
Starting the file scan:
Begin scan in 'C:\' <DOS>
C:\g7n4l2o4i4v4.exe
[DETECTION] Is the Trojan horse TR/Dialer.US.1
[INFO] The file was moved to '477a824e.qua'!
C:\System Volume Information\_restore{ABF29095-C6DB-40C1-925C-0465392F502E}\RP138\A0012506.exe
[DETECTION] Is the Trojan horse TR/Dialer.US.1
[INFO] The file was moved to '473c85c4.qua'!
Begin scan in 'D:\'
D:\pagefile.sys
[WARNING] The file could not be opened!
D:\Documents and Settings\admin\Bureau\ComboFix.exe
[0] Archive type: RAR SFX (self extracting)
--> setpath.cfexe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '4779863d.qua'!
D:\Documents and Settings\admin\Bureau\MSNFix\13092007_13330273.zip
[0] Archive type: ZIP
--> backup/services.exe
[DETECTION] Contains detection pattern of the worm WORM/SdBot.563712.1
--> backup/W139_jpg.zip
[1] Archive type: ZIP
--> www.W139_jpg-msn.com
[DETECTION] Contains detection pattern of the worm WORM/SdBot.563712.1
[INFO] The file was moved to '473c860e.qua'!
D:\Documents and Settings\admin\Bureau\SDFIX\SDFix\backups\backups.zip
[0] Archive type: ZIP
--> backups/carlton
[DETECTION] Is the Trojan horse TR/Dialer.US.1
[INFO] The file was moved to '476f8642.qua'!
D:\Program Files\hlpsrv.exe
[DETECTION] Is the Trojan horse TR/Dldr.Nonaco.A.1
[INFO] The file was moved to '477c8908.qua'!
D:\Program Files\Panda Software\Panda Antivirus 2007\Pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '47778ea9.qua'!
D:\qoobox\Quarantine\catchme2007-10-08_224754.98.zip
[0] Archive type: ZIP
--> jkkli.dll
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
--> jkkli.dll.1
[DETECTION] Is the Trojan horse TR/Trash.Gen
--> urqqpqo.dll
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[INFO] The file was moved to '47808f28.qua'!
D:\qoobox\Quarantine\D\Documents and Settings\admin\Application Data\FNTS~1\wucrtupd.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.PuritySca.A
[INFO] The file was moved to '476f8f3c.qua'!
D:\qoobox\Quarantine\D\Program Files\Fichiers communs\Yazzle1162OinAdmin.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.PurityScan.EG.8
[INFO] The file was moved to '47868f29.qua'!
D:\qoobox\Quarantine\D\WINDOWS\avp.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.Alphabet.LH1
[INFO] The file was moved to '477c8f3e.qua'!
D:\qoobox\Quarantine\D\WINDOWS\mgrs.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.Alphabet.11776.68
[INFO] The file was moved to '477e8f30.qua'!
D:\qoobox\Quarantine\D\WINDOWS\system32\jkkli.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47778f35.qua'!
D:\qoobox\Quarantine\D\WINDOWS\system32\urqqpqo.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '477d8f3c.qua'!
D:\qoobox\Quarantine\D\WINDOWS\system32\winzwr32.dll.vir
[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
[INFO] The file was moved to '477a8f34.qua'!
D:\WINDOWS\system32\drvzaz.dll
[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
[INFO] The file was moved to '47829323.qua'!
Begin scan in 'E:\' <SDV>
Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'G:\'
Search path G:\ could not be opened!
Le volume ne contient pas de système de fichiers connu. Vérifiez si tous les pilotes de système
de fichiers nécessaires sont chargés et si le volume n'est pas endommagé.
Begin scan in 'H:\' <Tomatous'>
End of the scan: mercredi 10 octobre 2007 11:37
Used time: 1:57:01 min
The scan has been done completely.
8426 Scanning directories
277076 Files were scanned
18 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
16 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
277058 Files not concerned
1181 Archives were scanned
1 Warnings
0 Notes
Et celui d'HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Documents and Settings\admin\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] D:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = D:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
voici le rapport d'Antivir :
AntiVir PersonalEdition Classic
Report file date: mercredi 10 octobre 2007 09:40
Scanning for 870686 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: admin
Computer name: PROJIXI-DA144A6
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.57 446464 Bytes 07/10/2007 07:26:21
ANTIVIR3.VDF : 7.0.0.69 43520 Bytes 10/10/2007 07:26:21
AVEWIN32.DLL : 7.6.0.20 2753024 Bytes 10/10/2007 07:26:21
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 07:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: D:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: H:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: mercredi 10 octobre 2007 09:40
The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'aawservice.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned
Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'G:\'
[NOTE] No virus was found!
Boot sector 'H:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '31' files ).
Starting the file scan:
Begin scan in 'C:\' <DOS>
C:\g7n4l2o4i4v4.exe
[DETECTION] Is the Trojan horse TR/Dialer.US.1
[INFO] The file was moved to '477a824e.qua'!
C:\System Volume Information\_restore{ABF29095-C6DB-40C1-925C-0465392F502E}\RP138\A0012506.exe
[DETECTION] Is the Trojan horse TR/Dialer.US.1
[INFO] The file was moved to '473c85c4.qua'!
Begin scan in 'D:\'
D:\pagefile.sys
[WARNING] The file could not be opened!
D:\Documents and Settings\admin\Bureau\ComboFix.exe
[0] Archive type: RAR SFX (self extracting)
--> setpath.cfexe
[DETECTION] Contains suspicious code HEUR/Malware
[INFO] The file was moved to '4779863d.qua'!
D:\Documents and Settings\admin\Bureau\MSNFix\13092007_13330273.zip
[0] Archive type: ZIP
--> backup/services.exe
[DETECTION] Contains detection pattern of the worm WORM/SdBot.563712.1
--> backup/W139_jpg.zip
[1] Archive type: ZIP
--> www.W139_jpg-msn.com
[DETECTION] Contains detection pattern of the worm WORM/SdBot.563712.1
[INFO] The file was moved to '473c860e.qua'!
D:\Documents and Settings\admin\Bureau\SDFIX\SDFix\backups\backups.zip
[0] Archive type: ZIP
--> backups/carlton
[DETECTION] Is the Trojan horse TR/Dialer.US.1
[INFO] The file was moved to '476f8642.qua'!
D:\Program Files\hlpsrv.exe
[DETECTION] Is the Trojan horse TR/Dldr.Nonaco.A.1
[INFO] The file was moved to '477c8908.qua'!
D:\Program Files\Panda Software\Panda Antivirus 2007\Pskavs.dll
[DETECTION] Contains detection pattern of the Windows virus W95/Blumblebee.1738
[INFO] The file was moved to '47778ea9.qua'!
D:\qoobox\Quarantine\catchme2007-10-08_224754.98.zip
[0] Archive type: ZIP
--> jkkli.dll
[DETECTION] Is the Trojan horse TR/Dldr.ConHook.Gen
--> jkkli.dll.1
[DETECTION] Is the Trojan horse TR/Trash.Gen
--> urqqpqo.dll
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[INFO] The file was moved to '47808f28.qua'!
D:\qoobox\Quarantine\D\Documents and Settings\admin\Application Data\FNTS~1\wucrtupd.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.PuritySca.A
[INFO] The file was moved to '476f8f3c.qua'!
D:\qoobox\Quarantine\D\Program Files\Fichiers communs\Yazzle1162OinAdmin.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.PurityScan.EG.8
[INFO] The file was moved to '47868f29.qua'!
D:\qoobox\Quarantine\D\WINDOWS\avp.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.Alphabet.LH1
[INFO] The file was moved to '477c8f3e.qua'!
D:\qoobox\Quarantine\D\WINDOWS\mgrs.exe.vir
[DETECTION] Is the Trojan horse TR/Dldr.Alphabet.11776.68
[INFO] The file was moved to '477e8f30.qua'!
D:\qoobox\Quarantine\D\WINDOWS\system32\jkkli.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '47778f35.qua'!
D:\qoobox\Quarantine\D\WINDOWS\system32\urqqpqo.dll.vir
[DETECTION] Is the Trojan horse TR/Trash.Gen
[INFO] The file was moved to '477d8f3c.qua'!
D:\qoobox\Quarantine\D\WINDOWS\system32\winzwr32.dll.vir
[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
[INFO] The file was moved to '477a8f34.qua'!
D:\WINDOWS\system32\drvzaz.dll
[DETECTION] Is the Trojan horse TR/Crypt.PEC2X.Gen
[INFO] The file was moved to '47829323.qua'!
Begin scan in 'E:\' <SDV>
Begin scan in 'F:\'
Search path F:\ could not be opened!
Le périphérique n'est pas prêt.
Begin scan in 'G:\'
Search path G:\ could not be opened!
Le volume ne contient pas de système de fichiers connu. Vérifiez si tous les pilotes de système
de fichiers nécessaires sont chargés et si le volume n'est pas endommagé.
Begin scan in 'H:\' <Tomatous'>
End of the scan: mercredi 10 octobre 2007 11:37
Used time: 1:57:01 min
The scan has been done completely.
8426 Scanning directories
277076 Files were scanned
18 viruses and/or unwanted programs were found
1 Files were classified as suspicious:
0 files were deleted
0 files were repaired
16 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
277058 Files not concerned
1181 Archives were scanned
1 Warnings
0 Notes
Et celui d'HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Documents and Settings\admin\Bureau\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "D:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] D:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = D:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - D:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
Salut,
le pc est redevenu stable et tout a l'air dans l'ordre.
La procédure est terminée?
En tout cas merci beaucoup de cette aide,
A+
le pc est redevenu stable et tout a l'air dans l'ordre.
La procédure est terminée?
En tout cas merci beaucoup de cette aide,
A+
Maintenant il te reste ceci à effectuer
1/
Supprime tous les outils utilisés:
HijackThis, qui sont spécifiques pour des infections et ne te serviront plus!
Supprime aussi tous les rapports obtenus ainsi que les pages htm enregistrées, la suppression du fichier .htm supprime en même temps le dossier correspondant !
Tu peux néanmoins conserver Ccleaner et AVG antispyware, mis à jour régulièrement, ils te serviront, l'un, Ccleaner, pour le nettoyage quotidien de ton PC, l'autre, AVG Antispyware, pour la recherche d'éventuelles infections...
2/
Restauration système
Désactive ta restauration
Clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
Réactive ta restauration
Clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
3/
Nettoyage et Défragmentation de tes Disques
Nettoyage
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques
Vérifications des erreurs
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases
réparer automatiquement les erreurs...
rechercher et tenter une récupération...
Démarrer, ok
tu le fais pour chacun de tes disques
ensuite toujours dans le même onglet tu choisis
Défragmentation
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques
==>
Tu as été infecté, et je pense qu'au travers des différentes manoeuvres données, tu as compris que tu étais mal protégé...
Je te conseille donc de lire attentivement ce qui suit et de suivre les conseils prodigués
==>
Tu trouveras sur ce lien les différentes mises à jour de sécurité à effectuer, suivant les logiciels que tu possèdes.
https://forum.pcastuces.com/sujet.asp?f=25&s=25842
==>
La protection de ton Pc
La sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
Outre la parfaite mise à jour du système d'exploitation, désormais, pour surfer tranquillement et sans soucis sur "le Net", il faut se protéger au maximum!
Pour cela il faut :
1. en résident : Il est résident sur ton PC, c'est à dire qu'il fonctionne dès la mise en route de ton Système.
/- un bon antivirus, gratuit ou payant, mis régulièrement à jour, qui te protège en temps réel!
/- un pare feu autre que celui fourni par Windows, comme Zone Alarm ou Kerio qui te protège aussi en temps réel!
/- un anti spyware efficace, type Spybot Search and Destroy, avec sa protection résidente, Tea Timer, activée!!
Tu scannes ton PC toutes les semaines environ avec, après l'avoir mis à jour, et tu as aussi sa protection en temps réel qui te protège.
2. pour scanner régulièrement ton PC
/- un anti trojan efficace, comme AVG antispyware .A la fin d'une période d'essai du logiciel, il est proposé une version payante que tu n'es pas obligé d'acheter. Il perd alors sa fonction "résident" et tu dois faire les mises à jour manuellement. Il reste néanmoins très utile pour scanner régulièrement ton PC et le nettoyer d'éventuelles infections.
3. un logiciel comme Spyware Blaster qui empêche l'installation d'ActiveX nuisibles.
Il faut régulièrement le mettre à jour pour inscrire les ActiveX dangereux dans sa base de données, et ainsi être protégés contre eux, puisque son rôle est d'empêcher leur installation.
4. un bon navigateur tel Firefox ou Opera pour remplacer IE, que tu ne conserves que pour effectuer les mises à jour de Windows!
Tu trouveras dans ce tuto, "Sécuriser son PC de Philae", de quoi satisfaire tous tes désirs en matière de logiciels gratuits et performants
https://forum.pcastuces.com/default.asp
dans celui-ci, tesgaz t'explique les risques du P2P
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
dans celui-là, les risques du crack
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/
Nous voulons aider avec de plus en plus d'efficacité et lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !
Avec un peu de prévention, il est possible d'être à l'abri des menaces !
S'il te plaît, fais passer le mot autour de toi !
S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !
Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier!
==>
Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"
Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
*** Ton infection : tu as le choix dans ton rappot antivir
>> https://malwarecomplaints.info/
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..)
bonne continuation
1/
Supprime tous les outils utilisés:
HijackThis, qui sont spécifiques pour des infections et ne te serviront plus!
Supprime aussi tous les rapports obtenus ainsi que les pages htm enregistrées, la suppression du fichier .htm supprime en même temps le dossier correspondant !
Tu peux néanmoins conserver Ccleaner et AVG antispyware, mis à jour régulièrement, ils te serviront, l'un, Ccleaner, pour le nettoyage quotidien de ton PC, l'autre, AVG Antispyware, pour la recherche d'éventuelles infections...
2/
Restauration système
Désactive ta restauration
Clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
Réactive ta restauration
Clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
3/
Nettoyage et Défragmentation de tes Disques
Nettoyage
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques
Vérifications des erreurs
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases
réparer automatiquement les erreurs...
rechercher et tenter une récupération...
Démarrer, ok
tu le fais pour chacun de tes disques
ensuite toujours dans le même onglet tu choisis
Défragmentation
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques
==>
Tu as été infecté, et je pense qu'au travers des différentes manoeuvres données, tu as compris que tu étais mal protégé...
Je te conseille donc de lire attentivement ce qui suit et de suivre les conseils prodigués
==>
Tu trouveras sur ce lien les différentes mises à jour de sécurité à effectuer, suivant les logiciels que tu possèdes.
https://forum.pcastuces.com/sujet.asp?f=25&s=25842
==>
La protection de ton Pc
La sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
Outre la parfaite mise à jour du système d'exploitation, désormais, pour surfer tranquillement et sans soucis sur "le Net", il faut se protéger au maximum!
Pour cela il faut :
1. en résident : Il est résident sur ton PC, c'est à dire qu'il fonctionne dès la mise en route de ton Système.
/- un bon antivirus, gratuit ou payant, mis régulièrement à jour, qui te protège en temps réel!
/- un pare feu autre que celui fourni par Windows, comme Zone Alarm ou Kerio qui te protège aussi en temps réel!
/- un anti spyware efficace, type Spybot Search and Destroy, avec sa protection résidente, Tea Timer, activée!!
Tu scannes ton PC toutes les semaines environ avec, après l'avoir mis à jour, et tu as aussi sa protection en temps réel qui te protège.
2. pour scanner régulièrement ton PC
/- un anti trojan efficace, comme AVG antispyware .A la fin d'une période d'essai du logiciel, il est proposé une version payante que tu n'es pas obligé d'acheter. Il perd alors sa fonction "résident" et tu dois faire les mises à jour manuellement. Il reste néanmoins très utile pour scanner régulièrement ton PC et le nettoyer d'éventuelles infections.
3. un logiciel comme Spyware Blaster qui empêche l'installation d'ActiveX nuisibles.
Il faut régulièrement le mettre à jour pour inscrire les ActiveX dangereux dans sa base de données, et ainsi être protégés contre eux, puisque son rôle est d'empêcher leur installation.
4. un bon navigateur tel Firefox ou Opera pour remplacer IE, que tu ne conserves que pour effectuer les mises à jour de Windows!
Tu trouveras dans ce tuto, "Sécuriser son PC de Philae", de quoi satisfaire tous tes désirs en matière de logiciels gratuits et performants
https://forum.pcastuces.com/default.asp
dans celui-ci, tesgaz t'explique les risques du P2P
https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/
dans celui-là, les risques du crack
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/
Nous voulons aider avec de plus en plus d'efficacité et lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !
Avec un peu de prévention, il est possible d'être à l'abri des menaces !
S'il te plaît, fais passer le mot autour de toi !
S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !
Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier!
==>
Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"
Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
*** Ton infection : tu as le choix dans ton rappot antivir
>> https://malwarecomplaints.info/
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..)
bonne continuation
