Win32:ConHook-AW, Win32:Trojan-gen (upx)

Résolu

botcaryo -
FillPCA Messages postés 2242 Date d'inscription Statut Contributeur sécurité Dernière intervention - 29 nov. 2007 à 23:17

Win32:ConHook-AW, Win32:Trojan-gen (upx)

Bonjour,

Je suis assez neophite en matière informatique, je sollicite donc votre aide.
avast qui est mon antivirus détecte des trojans (je crois)
bref ils ont ainsi nommés : Win32:ConHook-AW, Win32:Trojan-gen (upx) .

ILs reviennent sans relache après les avoir supprimés, je dois clic sur supprimer toutes les 3 minutes.

J'ai un peu surfé et j'ai fais un test online avec kaspersky voici le rapport apres analyse du dossier System32 d'ou sont localisé les deux virus:

Wednesday, October 10, 2007 1:15:14 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 10/10/2007
Enregistrements dans la base antivirus Kaspersky : 403991
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Dossiers
C:\WINDOWS\system32\
Statistiques de l'analyse
Total d'objets analysés 7771
Nombre de virus trouvés 5
Nombre d'objets infectés 13 / 0
Nombre d'objets suspects 2
Durée de l'analyse 00:26:01

Nom de l'objet infecté Nom du virus Dernière action
C:\WINDOWS\system32\cbxwvwx.dll Infecté : Trojan.Win32.Pakes.ds ignoré
C:\WINDOWS\system32\config\ACEEvent.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\csrs.exe Infecté : Backdoor.Win32.Agent.bxz ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\ecufpx.exe Infecté : Backdoor.Win32.Rbot.ebe ignoré
C:\WINDOWS\system32\fwqygnh.exe Infecté : Backdoor.Win32.IRCBot.afm ignoré
C:\WINDOWS\system32\gebxurs.dll Infecté : Trojan.Win32.Pakes.ds ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\hzcx.exe Infecté : Backdoor.Win32.Agent.bxz ignoré
C:\WINDOWS\system32\jkkkihh.dll Infecté : Trojan.Win32.Pakes.ds ignoré
C:\WINDOWS\system32\khnobw.exe Infecté : Backdoor.Win32.Agent.bxz ignoré
C:\WINDOWS\system32\qomlmkj.dll Infecté : Trojan.Win32.Pakes.ds ignoré
C:\WINDOWS\system32\riwb.exe Infecté : Backdoor.Win32.Rbot.ebe ignoré
C:\WINDOWS\system32\ssqnkjk.dll Infecté : Trojan.Win32.Pakes.ds ignoré
C:\WINDOWS\system32\TFTP2480 Suspect : Packed.Win32.Morphine.a ignoré
C:\WINDOWS\system32\TFTP3956 Suspect : Packed.Win32.Morphine.a ignoré
C:\WINDOWS\system32\urqqrrr.dll Infecté : Trojan.Win32.Pakes.ds ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\yxtf.exe Infecté : Backdoor.Win32.Agent.bxz ignoré
Analyse terminée.

je vais faire un scan avec hijackthis et le post ci dessous

Afficher la suite

A voir également:

Win32:ConHook-AW, Win32:Trojan-gen (upx)
Puabundler win32 candyopen - Forum Virus
Win32:miscx-gen ✓ - Forum Linux / Unix
Puabundler win32 rostpay ✓ - Forum Antivirus
Puadimanager win32/installcore ✓ - Forum Virus
Trojan win32 - Forum Virus

55 réponses

Réponse 21 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

le rapport de Combofix:

ComboFix 07-10-09.3 - yoann 2007-10-10 17:16:56.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.1.1252.1.1036.18.214 [GMT 2:00]
Running from: C:\Documents and Settings\yoann\Bureau\ComboFix.exe
* Created a new restore point
.
[i] ADS - svchost.exe: deleted 228 bytes in 1 streams. [/i]
[i] ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams. [/i]

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ddcdday.dll
C:\WINDOWS\system32\dehkj.ini
C:\WINDOWS\system32\jkhed.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_NPF
-------\NPF

((((((((((((((((((((((((((((( Fichiers créés 2007-09-10 to 2007-10-10 ))))))))))))))))))))))))))))))))))))
.

2007-10-10 17:07 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-10 16:44 <REP> d-------- C:\VundoFix Backups
2007-10-10 16:23 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-10 16:13 1,635 --a------ C:\WINDOWS\system32\srnqxtat.exe
2007-10-10 16:13 1,635 --a------ C:\WINDOWS\system32\gcqeeu.exe
2007-10-10 16:05 11,148 --a------ C:\WINDOWS\system32\mabecaqr.exe
2007-10-10 14:16 <REP> d-------- C:\hijackthis
2007-10-10 12:50 1,635 --a------ C:\WINDOWS\system32\yuwm.exe
2007-10-10 12:50 1,635 --a------ C:\WINDOWS\system32\jiyzcgs.exe
2007-10-10 12:36 1,635 --a------ C:\WINDOWS\system32\wplqqym.exe
2007-10-10 12:21 1,635 --a------ C:\WINDOWS\system32\julzb.exe
2007-10-10 12:21 1,635 --a------ C:\WINDOWS\system32\cmrjsp.exe
2007-10-10 12:07 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-10 02:37 1,635 --a------ C:\WINDOWS\system32\lbcvcrn.exe
2007-10-10 02:37 1,635 --a------ C:\WINDOWS\system32\hehvv.exe
2007-10-10 02:34 1,635 --a------ C:\WINDOWS\system32\papisn.exe
2007-10-10 02:04 1,635 --a------ C:\WINDOWS\system32\urpuxm.exe
2007-10-10 01:24 1,635 --a------ C:\WINDOWS\system32\msjdxy.exe
2007-10-10 01:24 1,635 --a------ C:\WINDOWS\system32\iuojr.exe
2007-10-10 00:15 35,328 --a------ C:\WINDOWS\system32\jkkkihh.dll
2007-10-09 23:54 35,328 --a------ C:\WINDOWS\system32\cbxwvwx.dll
2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\pzwb.exe
2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\kpsfatz.exe
2007-10-09 23:47 35,328 --a------ C:\WINDOWS\system32\gebxurs.dll
2007-10-09 23:47 1,635 --a------ C:\WINDOWS\system32\qcnwoehq.exe
2007-10-09 23:47 1,635 --a------ C:\WINDOWS\system32\enik.exe
2007-10-09 23:39 35,328 --a------ C:\WINDOWS\system32\ssqnkjk.dll
2007-10-09 23:39 1,635 --a------ C:\WINDOWS\system32\jbbtmc.exe
2007-10-09 23:39 1,635 --a------ C:\WINDOWS\system32\fbipiq.exe
2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\qjreldwp.exe
2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\ingf.exe
2007-10-09 23:16 4,096 --ah----- C:\WINDOWS\system32\julrfxp.exe
2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\mcmllro.exe
2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\aqlupp.exe
2007-10-09 23:10 38,912 --ah----- C:\WINDOWS\system32\yxtf.exe
2007-10-09 23:10 117 --a------ C:\WINDOWS\system32\vvcfska.bat
2007-10-09 23:09 38,912 --ah----- C:\WINDOWS\system32\hzcx.exe
2007-10-09 23:09 117 --a------ C:\WINDOWS\system32\bbzcbxl.bat
2007-10-09 23:03 35,328 --a------ C:\WINDOWS\system32\urqqrrr.dll
2007-10-09 22:51 128 --a------ C:\WINDOWS\system32\wfmyaj.bat
2007-10-09 22:50 128 --a------ C:\WINDOWS\system32\wfqoiu.bat
2007-10-09 22:50 128 --a------ C:\WINDOWS\system32\slvulw.bat
2007-10-09 22:28 5,120 --ah----- C:\WINDOWS\system32\acidhv.exe
2007-10-09 22:27 35,328 --a------ C:\WINDOWS\system32\qomlmkj.dll
2007-10-09 22:27 1,635 --a------ C:\WINDOWS\system32\owjrj.exe
2007-10-09 22:27 1,635 --a------ C:\WINDOWS\system32\cwvl.exe
2007-10-09 22:23 27,136 --ah----- C:\WINDOWS\system32\xrzsa.exe
2007-10-09 22:19 1,635 --a------ C:\WINDOWS\system32\rzweypk.exe
2007-10-09 22:19 1,635 --a------ C:\WINDOWS\system32\mlwk.exe
2007-10-09 21:45 1,635 --a------ C:\WINDOWS\system32\qnqn.exe
2007-10-09 21:45 1,635 --a------ C:\WINDOWS\system32\fnnqfval.exe
2007-10-09 21:41 1,972 --ah----- C:\WINDOWS\system32\dmnrgro.exe
2007-10-09 21:40 38,912 --ah----- C:\WINDOWS\system32\khnobw.exe
2007-10-09 21:40 34,816 --ah----- C:\WINDOWS\system32\ecufpx.exe
2007-10-09 21:40 122 --a------ C:\WINDOWS\system32\tisssw.bat
2007-10-09 21:40 120 --a------ C:\WINDOWS\system32\vwha.bat
2007-10-09 21:38 26,112 --ah----- C:\WINDOWS\system32\lgyzx.exe
2007-10-09 21:36 53,773 --a------ C:\WINDOWS\system32\dsctnfsw.exe
2007-10-09 21:36 1,635 --a------ C:\WINDOWS\system32\zxaizu.exe
2007-10-09 21:36 1,635 --a------ C:\WINDOWS\system32\ucoug.exe
2007-10-09 21:34 3,584 --ah----- C:\WINDOWS\system32\cpybnljt.exe
2007-10-09 21:32 34,816 --ah----- C:\WINDOWS\system32\fwqygnh.exe
2007-10-09 20:45 <REP> d-------- C:\Program Files\Free
2007-10-04 19:16 <REP> d-------- C:\Program Files\CD_rugby
2007-09-21 16:40 <REP> d-------- C:\Documents and Settings\yoann\Application Data\U3
2007-09-13 20:03 134,272 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-09-13 20:03 134,272 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys
2007-09-13 20:03 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2007-09-13 20:03 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2007-09-13 20:03 50,688 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll
2007-09-13 20:03 45,568 --a------ C:\WINDOWS\system32\iyuv_32.dll
2007-09-13 20:03 45,568 --a--c--- C:\WINDOWS\system32\dllcache\iyuv_32.dll
2007-09-13 20:03 8,192 --a------ C:\WINDOWS\system32\tsbyuv.dll
2007-09-13 20:03 8,192 --a--c--- C:\WINDOWS\system32\dllcache\tsbyuv.dll
2007-09-13 20:02 61,312 --a------ C:\WINDOWS\system32\drivers\VComm.sys
2007-09-13 20:02 28,207 --a------ C:\WINDOWS\system32\drivers\BTHidMgr.sys
2007-09-13 20:02 20,096 --a------ C:\WINDOWS\system32\drivers\blueletaudio.sys
2007-09-13 20:02 11,604 --a------ C:\WINDOWS\system32\drivers\vbtenum.sys
2007-09-13 19:23 82,148 --a------ C:\WINDOWS\system32\drivers\VcommMgr.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-10 14:00 --------- d-----w C:\Program Files\eMule
2007-10-09 21:20 --------- d-----w C:\Program Files\MSN Messenger
2007-10-09 20:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-09-20 16:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-12 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2007-09-07 09:36 --------- d-----w C:\Program Files\deluxe
2007-08-21 18:57 --------- d-----w C:\Program Files\adslTV
2006-05-03 08:06 805 ---ha-w C:\Documents and Settings\yoann\hpothb07.dat
2006-01-25 20:55 0 -c--a-w C:\Documents and Settings\yoann\iphist.dat
2004-02-13 19:34 1,218,205 ----a-w C:\WINDOWS\Fonts\DVRK12DVA_FW110.EXE
2000-11-29 10:57 390,867 ----a-w C:\WINDOWS\Fonts\RunMe.exe
1997-06-18 21:34 39,666 ----a-w C:\WINDOWS\Fonts\français.EXE
1995-12-16 13:01 165,824 ----a-r C:\WINDOWS\Cursors\curseurs\WIN95I~1.DLL
2005-03-14 23:46:54 56 --sh--r C:\WINDOWS\system32\A4C925D6C1.sys
2006-05-14 18:06:22 5 --sha-w C:\WINDOWS\system32\cdfafdafb4_s.dll
2006-01-03 23:50:21 10,074 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 04:49]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 04:49]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 18:52]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"<NO NAME>"=
"*Wssock"=wssock.exe
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk.disabled]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk.disabled
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^yoann^Menu Démarrer^Programmes^Démarrage^Club Internet.lnk]
path=C:\Documents and Settings\yoann\Bureau\non utilisés\Club Internet.lnk
backup=C:\WINDOWS\pss\Club Internet.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^yoann^Menu Démarrer^Programmes^Démarrage^TribalWeb.net.lnk]
path=C:\Documents and Settings\yoann\Menu Démarrer\Programmes\Démarrage\TribalWeb.net.lnk
backup=C:\WINDOWS\pss\TribalWeb.net.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la neuf Box]
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gcasServ]
"C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\System32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]
C:\Program Files\neuf telecom\neuf Box\Wizard\Agent_WiFi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
"Logitech Utility"=Logi_MwX.Exe
"EPSON Stylus DX4200 Series (Copie 1)"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Copie 1)" /O6 "USB002" /M "Stylus DX4200"

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 CONAN;CONAN;C:\WINDOWS\System32\drivers\o2mmb.sys
R3 MbxStby;MbxStby;C:\WINDOWS\System32\drivers\MbxStby.sys
S3 DSDrv4;DSDrv4;\??\C:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys
S3 ovt519;D-Link VGA Webcam;C:\WINDOWS\System32\Drivers\ov519vid.sys
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\WlanUIG.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-08-23 23:28:33 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-10 17:24:50
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-10-10 17:28:55 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-10 17:28
.
--- E O F ---

Réponse 22 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

et enfin hijackthis::

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:32:18, on 10/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/017d80bbeeb74ab76b23/netzip/RdxIE601_fr.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Réponse 23 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

Tout d'abord merci pour ton aide.
voila j'attends des instructions pour la suite....

Réponse 24 / 55

FillPCA Messages postés 2242 Date d'inscription Statut Contributeur sécurité Dernière intervention 123

Re,

* Télécharge navilog1 (Merci il.mafioso!)

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.

* Une fois l'installation terminée, le fix s'exécutera automatiquement.

* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

* Laisse-toi guider. Au menu principal, choisis 1 et valides.

/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

* Patiente jusqu'au message : *** Analyse terminée le ..... ***

* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

FillPCA

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

merci je le fais de suite

au fait comment se porte mon pc? est ce récupérable?

Réponse 26 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

voici le rapport :

Search Navipromo version 3.2.1 commencé le 10/10/2007 à 18:21:38.16

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 09.10.2007 a 18h00 by IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106

*** Recherche Programmes installes ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***

*** Recherche dossiers dans C:\Documents and Settings\yoann\Application Data ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector by gmer ***
pour + d'infos : http://www.gmer.net

Aucun fichier trouvé dans :

- C:\WINDOWS\system32
- C:\DOCUME~1\yoann\LOCALS~1\APPLIC~1

*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!

* Scan C:\WINDOWS\system32 *

* Scan C:\DOCUME~1\yoann\LOCALS~1\APPLIC~1 *

*** Recherche fichiers ***

*** Recherche cles registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:

2)Recherche Heuristique :

C:\WINDOWS\system32\dsctnfsw.exe trouvé !

3)Recherche Certificats :

Certificat Egroup absent !

*** Analyse Terminé le 10/10/2007 à 18:24:00.01 ***

Réponse 27 / 55

FillPCA Messages postés 2242 Date d'inscription Statut Contributeur sécurité Dernière intervention 123

Re,

1/ * Sélectionne le texte suivant :

* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-note (programme>Accessoire>bloc-note).
* Colle le texte copié dans ce bloc-note (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

C:\WINDOWS\system32\srnqxtat.exe
C:\WINDOWS\system32\gcqeeu.exe
C:\WINDOWS\system32\mabecaqr.exe
C:\WINDOWS\system32\yuwm.exe
C:\WINDOWS\system32\jiyzcgs.exe
C:\WINDOWS\system32\wplqqym.exe
C:\WINDOWS\system32\julzb.exe
C:\WINDOWS\system32\cmrjsp.exe
C:\WINDOWS\system32\lbcvcrn.exe
C:\WINDOWS\system32\hehvv.exe
C:\WINDOWS\system32\papisn.exe
C:\WINDOWS\system32\urpuxm.exe
C:\WINDOWS\system32\msjdxy.exe
C:\WINDOWS\system32\iuojr.exe
C:\WINDOWS\system32\jkkkihh.dll
C:\WINDOWS\system32\cbxwvwx.dll
C:\WINDOWS\system32\pzwb.exe
C:\WINDOWS\system32\kpsfatz.exe
C:\WINDOWS\system32\gebxurs.dll
C:\WINDOWS\system32\qcnwoehq.exe
C:\WINDOWS\system32\enik.exe
C:\WINDOWS\system32\ssqnkjk.dll
C:\WINDOWS\system32\jbbtmc.exe
C:\WINDOWS\system32\fbipiq.exe
C:\WINDOWS\system32\qjreldwp.exe
C:\WINDOWS\system32\ingf.exe
C:\WINDOWS\system32\julrfxp.exe
C:\WINDOWS\system32\mcmllro.exe
C:\WINDOWS\system32\aqlupp.exe
C:\WINDOWS\system32\yxtf.exe
C:\WINDOWS\system32\vvcfska.bat
C:\WINDOWS\system32\hzcx.exe
C:\WINDOWS\system32\bbzcbxl.bat
C:\WINDOWS\system32\urqqrrr.dll
C:\WINDOWS\system32\wfmyaj.bat
C:\WINDOWS\system32\wfqoiu.bat
C:\WINDOWS\system32\slvulw.bat
C:\WINDOWS\system32\acidhv.exe
C:\WINDOWS\system32\qomlmkj.dll
C:\WINDOWS\system32\owjrj.exe
C:\WINDOWS\system32\cwvl.exe
C:\WINDOWS\system32\xrzsa.exe
C:\WINDOWS\system32\rzweypk.exe
C:\WINDOWS\system32\mlwk.exe
C:\WINDOWS\system32\qnqn.exe
C:\WINDOWS\system32\fnnqfval.exe
C:\WINDOWS\system32\dmnrgro.exe
C:\WINDOWS\system32\khnobw.exe
C:\WINDOWS\system32\ecufpx.exe
C:\WINDOWS\system32\tisssw.bat
C:\WINDOWS\system32\vwha.bat
C:\WINDOWS\system32\lgyzx.exe
C:\WINDOWS\system32\dsctnfsw.exe
C:\WINDOWS\system32\zxaizu.exe
C:\WINDOWS\system32\ucoug.exe
C:\WINDOWS\system32\cpybnljt.exe
C:\WINDOWS\system32\fwqygnh.exe

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

2/ * Fais un scan en ligne en cliquant ici : https://www.bitdefender.com/toolbox/
* Tu dois réaliser le scan en utilisant Internet explorer. Une information apparait en haut, près de la barre d'état. Tu dois accepter et installer l'activeX proposé. La mise à jour de l'antivirus se lance.
* Réalise un scan complet du système.
* Sauvegarde le rapport en mode texte à l'issue du scan.

3/ Edite les rapports suivants : Combofix, Bit defender et Hijackthis.

FillPCA

Réponse 28 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

rapport de combofix

ComboFix 07-10-09.3 - yoann 2007-10-10 18:49:16.2 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.1.1252.1.1036.18.92 [GMT 2:00]
Running from: C:\Documents and Settings\yoann\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\yoann\Bureau\CFScript.txt
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-09-10 to 2007-10-10 ))))))))))))))))))))))))))))))))))))
.

2007-10-10 18:19 <REP> d-------- C:\Program Files\Navilog1
2007-10-10 17:07 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-10 16:44 <REP> d-------- C:\VundoFix Backups
2007-10-10 16:23 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-10 16:13 1,635 --a------ C:\WINDOWS\system32\srnqxtat.exe
2007-10-10 16:13 1,635 --a------ C:\WINDOWS\system32\gcqeeu.exe
2007-10-10 16:05 11,148 --a------ C:\WINDOWS\system32\mabecaqr.exe
2007-10-10 14:16 <REP> d-------- C:\hijackthis
2007-10-10 12:50 1,635 --a------ C:\WINDOWS\system32\yuwm.exe
2007-10-10 12:50 1,635 --a------ C:\WINDOWS\system32\jiyzcgs.exe
2007-10-10 12:36 1,635 --a------ C:\WINDOWS\system32\wplqqym.exe
2007-10-10 12:21 1,635 --a------ C:\WINDOWS\system32\julzb.exe
2007-10-10 12:21 1,635 --a------ C:\WINDOWS\system32\cmrjsp.exe
2007-10-10 12:07 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-10 02:37 1,635 --a------ C:\WINDOWS\system32\lbcvcrn.exe
2007-10-10 02:37 1,635 --a------ C:\WINDOWS\system32\hehvv.exe
2007-10-10 02:34 1,635 --a------ C:\WINDOWS\system32\papisn.exe
2007-10-10 02:04 1,635 --a------ C:\WINDOWS\system32\urpuxm.exe
2007-10-10 01:24 1,635 --a------ C:\WINDOWS\system32\msjdxy.exe
2007-10-10 01:24 1,635 --a------ C:\WINDOWS\system32\iuojr.exe
2007-10-10 00:15 35,328 --a------ C:\WINDOWS\system32\jkkkihh.dll
2007-10-09 23:54 35,328 --a------ C:\WINDOWS\system32\cbxwvwx.dll
2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\pzwb.exe
2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\kpsfatz.exe
2007-10-09 23:47 35,328 --a------ C:\WINDOWS\system32\gebxurs.dll
2007-10-09 23:47 1,635 --a------ C:\WINDOWS\system32\qcnwoehq.exe
2007-10-09 23:47 1,635 --a------ C:\WINDOWS\system32\enik.exe
2007-10-09 23:39 35,328 --a------ C:\WINDOWS\system32\ssqnkjk.dll
2007-10-09 23:39 1,635 --a------ C:\WINDOWS\system32\jbbtmc.exe
2007-10-09 23:39 1,635 --a------ C:\WINDOWS\system32\fbipiq.exe
2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\qjreldwp.exe
2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\ingf.exe
2007-10-09 23:16 4,096 --ah----- C:\WINDOWS\system32\julrfxp.exe
2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\mcmllro.exe
2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\aqlupp.exe
2007-10-09 23:10 38,912 --ah----- C:\WINDOWS\system32\yxtf.exe
2007-10-09 23:10 117 --a------ C:\WINDOWS\system32\vvcfska.bat
2007-10-09 23:09 38,912 --ah----- C:\WINDOWS\system32\hzcx.exe
2007-10-09 23:09 117 --a------ C:\WINDOWS\system32\bbzcbxl.bat
2007-10-09 23:03 35,328 --a------ C:\WINDOWS\system32\urqqrrr.dll
2007-10-09 22:51 128 --a------ C:\WINDOWS\system32\wfmyaj.bat
2007-10-09 22:50 128 --a------ C:\WINDOWS\system32\wfqoiu.bat
2007-10-09 22:50 128 --a------ C:\WINDOWS\system32\slvulw.bat
2007-10-09 22:28 5,120 --ah----- C:\WINDOWS\system32\acidhv.exe
2007-10-09 22:27 35,328 --a------ C:\WINDOWS\system32\qomlmkj.dll
2007-10-09 22:27 1,635 --a------ C:\WINDOWS\system32\owjrj.exe
2007-10-09 22:27 1,635 --a------ C:\WINDOWS\system32\cwvl.exe
2007-10-09 22:23 27,136 --ah----- C:\WINDOWS\system32\xrzsa.exe
2007-10-09 22:19 1,635 --a------ C:\WINDOWS\system32\rzweypk.exe
2007-10-09 22:19 1,635 --a------ C:\WINDOWS\system32\mlwk.exe
2007-10-09 21:45 1,635 --a------ C:\WINDOWS\system32\qnqn.exe
2007-10-09 21:45 1,635 --a------ C:\WINDOWS\system32\fnnqfval.exe
2007-10-09 21:41 1,972 --ah----- C:\WINDOWS\system32\dmnrgro.exe
2007-10-09 21:40 38,912 --ah----- C:\WINDOWS\system32\khnobw.exe
2007-10-09 21:40 34,816 --ah----- C:\WINDOWS\system32\ecufpx.exe
2007-10-09 21:40 122 --a------ C:\WINDOWS\system32\tisssw.bat
2007-10-09 21:40 120 --a------ C:\WINDOWS\system32\vwha.bat
2007-10-09 21:38 26,112 --ah----- C:\WINDOWS\system32\lgyzx.exe
2007-10-09 21:36 53,773 --a------ C:\WINDOWS\system32\dsctnfsw.exe
2007-10-09 21:36 1,635 --a------ C:\WINDOWS\system32\zxaizu.exe
2007-10-09 21:36 1,635 --a------ C:\WINDOWS\system32\ucoug.exe
2007-10-09 21:34 3,584 --ah----- C:\WINDOWS\system32\cpybnljt.exe
2007-10-09 21:32 34,816 --ah----- C:\WINDOWS\system32\fwqygnh.exe
2007-10-09 20:45 <REP> d-------- C:\Program Files\Free
2007-10-04 19:16 <REP> d-------- C:\Program Files\CD_rugby
2007-09-21 16:40 <REP> d-------- C:\Documents and Settings\yoann\Application Data\U3
2007-09-13 20:03 134,272 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-09-13 20:03 134,272 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys
2007-09-13 20:03 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2007-09-13 20:03 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2007-09-13 20:03 50,688 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll
2007-09-13 20:03 45,568 --a------ C:\WINDOWS\system32\iyuv_32.dll
2007-09-13 20:03 45,568 --a--c--- C:\WINDOWS\system32\dllcache\iyuv_32.dll
2007-09-13 20:03 8,192 --a------ C:\WINDOWS\system32\tsbyuv.dll
2007-09-13 20:03 8,192 --a--c--- C:\WINDOWS\system32\dllcache\tsbyuv.dll
2007-09-13 20:02 61,312 --a------ C:\WINDOWS\system32\drivers\VComm.sys
2007-09-13 20:02 28,207 --a------ C:\WINDOWS\system32\drivers\BTHidMgr.sys
2007-09-13 20:02 20,096 --a------ C:\WINDOWS\system32\drivers\blueletaudio.sys
2007-09-13 20:02 11,604 --a------ C:\WINDOWS\system32\drivers\vbtenum.sys
2007-09-13 19:23 82,148 --a------ C:\WINDOWS\system32\drivers\VcommMgr.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-10 15:43 --------- d-----w C:\Program Files\eMule
2007-10-09 21:20 --------- d-----w C:\Program Files\MSN Messenger
2007-10-09 20:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-09-20 16:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-12 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2007-09-07 09:36 --------- d-----w C:\Program Files\deluxe
2007-08-21 18:57 --------- d-----w C:\Program Files\adslTV
2006-05-03 08:06 805 ---ha-w C:\Documents and Settings\yoann\hpothb07.dat
2006-01-25 20:55 0 -c--a-w C:\Documents and Settings\yoann\iphist.dat
2004-02-13 19:34 1,218,205 ----a-w C:\WINDOWS\Fonts\DVRK12DVA_FW110.EXE
2000-11-29 10:57 390,867 ----a-w C:\WINDOWS\Fonts\RunMe.exe
1997-06-18 21:34 39,666 ----a-w C:\WINDOWS\Fonts\français.EXE
1995-12-16 13:01 165,824 ----a-r C:\WINDOWS\Cursors\curseurs\WIN95I~1.DLL
2005-03-14 23:46:54 56 --sh--r C:\WINDOWS\system32\A4C925D6C1.sys
2006-05-14 18:06:22 5 --sha-w C:\WINDOWS\system32\cdfafdafb4_s.dll
2006-01-03 23:50:21 10,074 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2007-10-10_17.27.21.94 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 278,528 2007-10-10 16:48:51 C:\WINDOWS\system32\config\systemprofile\ntuser.dat
.
----a-w 278,528 2007-10-10 15:08:56 C:\WINDOWS\system32\config\systemprofile\ntuser.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 04:49]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 04:49]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 18:52]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"*Wssock"=wssock.exe
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk.disabled]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk.disabled
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^yoann^Menu Démarrer^Programmes^Démarrage^Club Internet.lnk]
path=C:\Documents and Settings\yoann\Bureau\non utilisés\Club Internet.lnk
backup=C:\WINDOWS\pss\Club Internet.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^yoann^Menu Démarrer^Programmes^Démarrage^TribalWeb.net.lnk]
path=C:\Documents and Settings\yoann\Menu Démarrer\Programmes\Démarrage\TribalWeb.net.lnk
backup=C:\WINDOWS\pss\TribalWeb.net.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la neuf Box]
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gcasServ]
"C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\System32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]
C:\Program Files\neuf telecom\neuf Box\Wizard\Agent_WiFi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
"Logitech Utility"=Logi_MwX.Exe
"EPSON Stylus DX4200 Series (Copie 1)"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Copie 1)" /O6 "USB002" /M "Stylus DX4200"

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 CONAN;CONAN;C:\WINDOWS\System32\drivers\o2mmb.sys
R3 MbxStby;MbxStby;C:\WINDOWS\System32\drivers\MbxStby.sys
S3 DSDrv4;DSDrv4;\??\C:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys
S3 ovt519;D-Link VGA Webcam;C:\WINDOWS\System32\Drivers\ov519vid.sys
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\WlanUIG.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-08-23 23:28:33 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-10 18:53:49
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-10-10 18:56:24
C:\ComboFix-quarantined-files.txt ... 2007-10-10 18:55
C:\ComboFix2.txt ... 2007-10-10 17:28
.
--- E O F ---

Réponse 29 / 55

FillPCA Messages postés 2242 Date d'inscription Statut Contributeur sécurité Dernière intervention 123

Re,

Ca n'a pas marché. As-tu suivi le point 1 ?

As-tu rencontré des difficultés ?

Il faut le reprendre.

FillPCA

Réponse 30 / 55

Utilisateur anonyme

franchement, faut être maso pour se taper ce truc ! ! ! une bonne réinstalle, ça prend, allez je compte très très large, on va dire 2 heures, si on compte le temps de réinstaller quelques logiciels, le temps de retrouver quelques drivers, même si de nos jours, tout ça est devenu inutile ( je me comprends ), et au moins, tu repars sur une installe propre, et ton ordi prend une cure de jouvence, ainsi que tout tes logiciels, puisqu'en les réinstallant, tu va choper les dernières versions, brefs , que des avantages... mais surtout, c'est plus simple !

en plus tu as surement un tas de choses inutiles sur ton ordi, qui disparaîtrons par la même occasion...

Réponse 31 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

SECONDE TENTATIVE

Réponse 32 / 55

FillPCA Messages postés 2242 Date d'inscription Statut Contributeur sécurité Dernière intervention 123

Re,

Je ne suis pas d'acord.
Et que fais-tu des éventuelles photos, des divers doc importants ?
Sans compter qu'une réinstallation signifie qu'on va aller sur le net avec une machine non protégée et non à jour.
C'est un ver en 1 minute.

FillPCA

thelordedu

Bjr FillPCA,

Le contexte : j'ai réinstallé mon ordi parce qu'il était devenu trop lent et il avait trop de logiciels obsolètes.

Le problème : quand je réinstalle mon ordi, j'installe le setup d'avast 4.7 et le temps de mettre à jour avast et windows pack 2, je choppe au moins 6 vers dont ConHookAW, Small-EPJ, Irebot-BYB, Rizo-E, Agent-KIR, SDBot-4142. C'est la fête !

La mauvaise solution : j'ai déjà réinstallé 3 fois de suite et à chaque fois mon PC est infecté !

La question principale : comment je fais pour réinstaller mon PC et ne pas être infecté ?

Autres questions : quand je réinstalle, tous ces virus seront-ils effacés ? Est-il possible de chopper les mises à jour d'avast et windows avant de réinstaller mon PC et ne prendre le risque d'aller sur le net non protégé ?

Merci d'avance !

Eduardo

FillPCA Messages postés 2242 Date d'inscription Statut Contributeur sécurité Dernière intervention 123 > thelordedu

Salut,

Les vers exploitent généralement des systèmes dont les failles ne sont pas colmatées et où il n'y a pas de pare-feu. C'est typiquement le cas quand on ré-installe XP sans sp2.
Dans ce cas, il faut télécharger un pare-feu et le sauver sur un support (clé, CD).
On réinstalle (hors connexion), on installe le pare-feu et on peut se connecter pour procéder aux mises à jour.

FillPCA

Réponse 33 / 55

Utilisateur anonyme

Et que fais-tu des éventuelles photos, des divers doc importants ? --> une sauvegarde tout simplement ( en général, si c'est si important on en a toujours un copie, et si on en a pas, on en fait une ! )

Sans compter qu'une réinstallation signifie qu'on va aller sur le net avec une machine non protégée et non à jour. -> rien ne t'empêche de télécharger tout ce qu'il te faut avant de réinstaller, et de mettre ça au chaud sur une USB... par exemple, il y a bien d'autres solutions...

faut pas dramatiser comme ça, voyons... ^^

Réponse 34 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

voici si c'est le même c'est peut etre car pendant l'operation il me dit qu'il n'a pas acces a un fichier car il est occupé mais je n'ai rien en route

voici le rapport: (different?)

ComboFix 07-10-09.3 - yoann 2007-10-10 19:26:40.4 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.1.1252.1.1036.18.106 [GMT 2:00]
Running from: C:\Documents and Settings\yoann\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\yoann\Bureau\CFScript.txt
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\check_LSA7.txt

.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-10 to 2007-10-10 ))))))))))))))))))))))))))))))))))))
.

2007-10-10 19:00 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-10-10 18:19 <REP> d-------- C:\Program Files\Navilog1
2007-10-10 17:07 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-10 16:44 <REP> d-------- C:\VundoFix Backups
2007-10-10 16:23 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-10 16:13 1,635 --a------ C:\WINDOWS\system32\srnqxtat.exe
2007-10-10 16:13 1,635 --a------ C:\WINDOWS\system32\gcqeeu.exe
2007-10-10 16:05 11,148 --a------ C:\WINDOWS\system32\mabecaqr.exe
2007-10-10 14:16 <REP> d-------- C:\hijackthis
2007-10-10 12:50 1,635 --a------ C:\WINDOWS\system32\yuwm.exe
2007-10-10 12:50 1,635 --a------ C:\WINDOWS\system32\jiyzcgs.exe
2007-10-10 12:36 1,635 --a------ C:\WINDOWS\system32\wplqqym.exe
2007-10-10 12:21 1,635 --a------ C:\WINDOWS\system32\julzb.exe
2007-10-10 12:21 1,635 --a------ C:\WINDOWS\system32\cmrjsp.exe
2007-10-10 12:07 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-10 02:37 1,635 --a------ C:\WINDOWS\system32\lbcvcrn.exe
2007-10-10 02:37 1,635 --a------ C:\WINDOWS\system32\hehvv.exe
2007-10-10 02:34 1,635 --a------ C:\WINDOWS\system32\papisn.exe
2007-10-10 02:04 1,635 --a------ C:\WINDOWS\system32\urpuxm.exe
2007-10-10 01:24 1,635 --a------ C:\WINDOWS\system32\msjdxy.exe
2007-10-10 01:24 1,635 --a------ C:\WINDOWS\system32\iuojr.exe
2007-10-10 00:15 35,328 --a------ C:\WINDOWS\system32\jkkkihh.dll
2007-10-09 23:54 35,328 --a------ C:\WINDOWS\system32\cbxwvwx.dll
2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\pzwb.exe
2007-10-09 23:54 1,635 --a------ C:\WINDOWS\system32\kpsfatz.exe
2007-10-09 23:47 35,328 --a------ C:\WINDOWS\system32\gebxurs.dll
2007-10-09 23:47 1,635 --a------ C:\WINDOWS\system32\qcnwoehq.exe
2007-10-09 23:47 1,635 --a------ C:\WINDOWS\system32\enik.exe
2007-10-09 23:39 35,328 --a------ C:\WINDOWS\system32\ssqnkjk.dll
2007-10-09 23:39 1,635 --a------ C:\WINDOWS\system32\jbbtmc.exe
2007-10-09 23:39 1,635 --a------ C:\WINDOWS\system32\fbipiq.exe
2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\qjreldwp.exe
2007-10-09 23:19 1,635 --a------ C:\WINDOWS\system32\ingf.exe
2007-10-09 23:16 4,096 --ah----- C:\WINDOWS\system32\julrfxp.exe
2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\mcmllro.exe
2007-10-09 23:11 1,635 --a------ C:\WINDOWS\system32\aqlupp.exe
2007-10-09 23:10 38,912 --ah----- C:\WINDOWS\system32\yxtf.exe
2007-10-09 23:10 117 --a------ C:\WINDOWS\system32\vvcfska.bat
2007-10-09 23:09 38,912 --ah----- C:\WINDOWS\system32\hzcx.exe
2007-10-09 23:09 117 --a------ C:\WINDOWS\system32\bbzcbxl.bat
2007-10-09 23:03 35,328 --a------ C:\WINDOWS\system32\urqqrrr.dll
2007-10-09 22:51 128 --a------ C:\WINDOWS\system32\wfmyaj.bat
2007-10-09 22:50 128 --a------ C:\WINDOWS\system32\wfqoiu.bat
2007-10-09 22:50 128 --a------ C:\WINDOWS\system32\slvulw.bat
2007-10-09 22:28 5,120 --ah----- C:\WINDOWS\system32\acidhv.exe
2007-10-09 22:27 35,328 --a------ C:\WINDOWS\system32\qomlmkj.dll
2007-10-09 22:27 1,635 --a------ C:\WINDOWS\system32\owjrj.exe
2007-10-09 22:27 1,635 --a------ C:\WINDOWS\system32\cwvl.exe
2007-10-09 22:23 27,136 --ah----- C:\WINDOWS\system32\xrzsa.exe
2007-10-09 22:19 1,635 --a------ C:\WINDOWS\system32\rzweypk.exe
2007-10-09 22:19 1,635 --a------ C:\WINDOWS\system32\mlwk.exe
2007-10-09 21:45 1,635 --a------ C:\WINDOWS\system32\qnqn.exe
2007-10-09 21:45 1,635 --a------ C:\WINDOWS\system32\fnnqfval.exe
2007-10-09 21:41 1,972 --ah----- C:\WINDOWS\system32\dmnrgro.exe
2007-10-09 21:40 38,912 --ah----- C:\WINDOWS\system32\khnobw.exe
2007-10-09 21:40 34,816 --ah----- C:\WINDOWS\system32\ecufpx.exe
2007-10-09 21:40 122 --a------ C:\WINDOWS\system32\tisssw.bat
2007-10-09 21:40 120 --a------ C:\WINDOWS\system32\vwha.bat
2007-10-09 21:38 26,112 --ah----- C:\WINDOWS\system32\lgyzx.exe
2007-10-09 21:36 53,773 --a------ C:\WINDOWS\system32\dsctnfsw.exe
2007-10-09 21:36 1,635 --a------ C:\WINDOWS\system32\zxaizu.exe
2007-10-09 21:36 1,635 --a------ C:\WINDOWS\system32\ucoug.exe
2007-10-09 21:34 3,584 --ah----- C:\WINDOWS\system32\cpybnljt.exe
2007-10-09 21:32 34,816 --ah----- C:\WINDOWS\system32\fwqygnh.exe
2007-10-09 20:45 <REP> d-------- C:\Program Files\Free
2007-10-04 19:16 <REP> d-------- C:\Program Files\CD_rugby
2007-09-21 16:40 <REP> d-------- C:\Documents and Settings\yoann\Application Data\U3
2007-09-13 20:03 134,272 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-09-13 20:03 134,272 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys
2007-09-13 20:03 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2007-09-13 20:03 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2007-09-13 20:03 50,688 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll
2007-09-13 20:03 45,568 --a------ C:\WINDOWS\system32\iyuv_32.dll
2007-09-13 20:03 45,568 --a--c--- C:\WINDOWS\system32\dllcache\iyuv_32.dll
2007-09-13 20:03 8,192 --a------ C:\WINDOWS\system32\tsbyuv.dll
2007-09-13 20:03 8,192 --a--c--- C:\WINDOWS\system32\dllcache\tsbyuv.dll
2007-09-13 20:02 61,312 --a------ C:\WINDOWS\system32\drivers\VComm.sys
2007-09-13 20:02 28,207 --a------ C:\WINDOWS\system32\drivers\BTHidMgr.sys
2007-09-13 20:02 20,096 --a------ C:\WINDOWS\system32\drivers\blueletaudio.sys
2007-09-13 20:02 11,604 --a------ C:\WINDOWS\system32\drivers\vbtenum.sys
2007-09-13 19:23 82,148 --a------ C:\WINDOWS\system32\drivers\VcommMgr.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-10 15:43 --------- d-----w C:\Program Files\eMule
2007-10-09 21:20 --------- d-----w C:\Program Files\MSN Messenger
2007-10-09 20:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-09-20 16:17 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-09-12 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software
2007-09-07 09:36 --------- d-----w C:\Program Files\deluxe
2007-08-21 18:57 --------- d-----w C:\Program Files\adslTV
2006-05-03 08:06 805 ---ha-w C:\Documents and Settings\yoann\hpothb07.dat
2006-01-25 20:55 0 -c--a-w C:\Documents and Settings\yoann\iphist.dat
2004-02-13 19:34 1,218,205 ----a-w C:\WINDOWS\Fonts\DVRK12DVA_FW110.EXE
2000-11-29 10:57 390,867 ----a-w C:\WINDOWS\Fonts\RunMe.exe
1997-06-18 21:34 39,666 ----a-w C:\WINDOWS\Fonts\français.EXE
1995-12-16 13:01 165,824 ----a-r C:\WINDOWS\Cursors\curseurs\WIN95I~1.DLL
2005-03-14 23:46:54 56 --sh--r C:\WINDOWS\system32\A4C925D6C1.sys
2006-05-14 18:06:22 5 --sha-w C:\WINDOWS\system32\cdfafdafb4_s.dll
2006-01-03 23:50:21 10,074 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2007-10-10_17.27.21.94 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 53,248 2006-05-24 23:22:06 C:\WINDOWS\bdoscandel.exe
----a-w 45,056 2007-10-10 17:02:36 C:\WINDOWS\BDOSCAN8\avxdisk.dll
----a-w 10,240 2007-10-10 17:02:36 C:\WINDOWS\BDOSCAN8\avxs.dll
----a-w 27,136 2007-10-10 17:02:36 C:\WINDOWS\BDOSCAN8\avxt.dll
----a-w 181,760 2007-10-10 17:02:41 C:\WINDOWS\BDOSCAN8\bdcore.dll
----a-w 118,784 2005-03-01 12:08:48 C:\WINDOWS\BDOSCAN8\bdupd.dll
----a-w 53,248 2005-03-01 12:08:52 C:\WINDOWS\BDOSCAN8\ipsupd.dll
----a-w 142,848 2007-10-10 17:02:42 C:\WINDOWS\BDOSCAN8\libfn.dll
----a-w 86,016 2007-10-10 17:02:37 C:\WINDOWS\BDOSCAN8\librtvr.dll
----a-w 118,784 2005-03-01 12:08:48 C:\WINDOWS\Downloaded Program Files\bdupd.dll
----a-w 53,248 2005-03-01 12:08:52 C:\WINDOWS\Downloaded Program Files\ipsupd.dll
----a-w 278,528 2007-10-10 17:26:14 C:\WINDOWS\system32\config\systemprofile\ntuser.dat
.
----a-w 278,528 2007-10-10 15:08:56 C:\WINDOWS\system32\config\systemprofile\ntuser.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-05-07 04:49]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-05-07 04:49]
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 18:52]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"*Wssock"=wssock.exe
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk.disabled]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk.disabled
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnk.disabledCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^yoann^Menu Démarrer^Programmes^Démarrage^Club Internet.lnk]
path=C:\Documents and Settings\yoann\Bureau\non utilisés\Club Internet.lnk
backup=C:\WINDOWS\pss\Club Internet.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^yoann^Menu Démarrer^Programmes^Démarrage^TribalWeb.net.lnk]
path=C:\Documents and Settings\yoann\Menu Démarrer\Programmes\Démarrage\TribalWeb.net.lnk
backup=C:\WINDOWS\pss\TribalWeb.net.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Configuration de la neuf Box]
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gcasServ]
"C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\System32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]
C:\Program Files\neuf telecom\neuf Box\Wizard\Agent_WiFi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" -atboottime
"EPSON Stylus DX4200 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
"Logitech Utility"=Logi_MwX.Exe
"EPSON Stylus DX4200 Series (Copie 1)"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Copie 1)" /O6 "USB002" /M "Stylus DX4200"

R2 UxTuneUp;TuneUp Design Expansion;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 CONAN;CONAN;C:\WINDOWS\System32\drivers\o2mmb.sys
R3 MbxStby;MbxStby;C:\WINDOWS\System32\drivers\MbxStby.sys
S3 DSDrv4;DSDrv4;\??\C:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys
S3 ovt519;D-Link VGA Webcam;C:\WINDOWS\System32\Drivers\ov519vid.sys
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\System32\DRIVERS\WlanUIG.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-08-23 23:28:33 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-10 19:29:44
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-10-10 19:31:24
C:\ComboFix-quarantined-files.txt ... 2007-10-10 19:30
C:\ComboFix2.txt ... 2007-10-10 19:20
C:\ComboFix3.txt ... 2007-10-10 18:56
.
--- E O F ---

Réponse 35 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

voici ce que dit le test de bit defender:

BitDefender Online Scanner - Real Time Virus Report

Generated at: Wed, Oct 10, 2007 - 19:05:20

Scan Info

Scanned Files

2

Infected Files

0

Virus Detected

No virus found.

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

Réponse 36 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

et hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:21, on 10/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Program Files\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.7.4.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/017d80bbeeb74ab76b23/netzip/RdxIE601_fr.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Fichiers communs\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Réponse 37 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

A savoir que dans mon dossier quarantaine de avast j'ai pas mal de fichier que j'ai laissé

si c'est important?
et que maintenant avast m'annonce un virus nouveau:

C:/combofix virus nommé Win32:Dadobra-EY

normal doc?

Réponse 38 / 55

FillPCA Messages postés 2242 Date d'inscription Statut Contributeur sécurité Dernière intervention 123

Re,

1/ * Télécharge OTMoveIt (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste List Of Files/Folders to be moved" :

C:\WINDOWS\system32\srnqxtat.exe
C:\WINDOWS\system32\gcqeeu.exe
C:\WINDOWS\system32\mabecaqr.exe
C:\WINDOWS\system32\yuwm.exe
C:\WINDOWS\system32\jiyzcgs.exe
C:\WINDOWS\system32\wplqqym.exe
C:\WINDOWS\system32\julzb.exe
C:\WINDOWS\system32\cmrjsp.exe
C:\WINDOWS\system32\lbcvcrn.exe
C:\WINDOWS\system32\hehvv.exe
C:\WINDOWS\system32\papisn.exe
C:\WINDOWS\system32\urpuxm.exe
C:\WINDOWS\system32\msjdxy.exe
C:\WINDOWS\system32\iuojr.exe
C:\WINDOWS\system32\jkkkihh.dll
C:\WINDOWS\system32\cbxwvwx.dll
C:\WINDOWS\system32\pzwb.exe
C:\WINDOWS\system32\kpsfatz.exe
C:\WINDOWS\system32\gebxurs.dll
C:\WINDOWS\system32\qcnwoehq.exe
C:\WINDOWS\system32\enik.exe
C:\WINDOWS\system32\ssqnkjk.dll
C:\WINDOWS\system32\jbbtmc.exe
C:\WINDOWS\system32\fbipiq.exe
C:\WINDOWS\system32\qjreldwp.exe
C:\WINDOWS\system32\ingf.exe
C:\WINDOWS\system32\julrfxp.exe
C:\WINDOWS\system32\mcmllro.exe
C:\WINDOWS\system32\aqlupp.exe
C:\WINDOWS\system32\yxtf.exe
C:\WINDOWS\system32\vvcfska.bat
C:\WINDOWS\system32\hzcx.exe
C:\WINDOWS\system32\bbzcbxl.bat
C:\WINDOWS\system32\urqqrrr.dll
C:\WINDOWS\system32\wfmyaj.bat
C:\WINDOWS\system32\wfqoiu.bat
C:\WINDOWS\system32\slvulw.bat
C:\WINDOWS\system32\acidhv.exe
C:\WINDOWS\system32\qomlmkj.dll
C:\WINDOWS\system32\owjrj.exe
C:\WINDOWS\system32\cwvl.exe
C:\WINDOWS\system32\xrzsa.exe
C:\WINDOWS\system32\rzweypk.exe
C:\WINDOWS\system32\mlwk.exe
C:\WINDOWS\system32\qnqn.exe
C:\WINDOWS\system32\fnnqfval.exe
C:\WINDOWS\system32\dmnrgro.exe
C:\WINDOWS\system32\khnobw.exe
C:\WINDOWS\system32\ecufpx.exe
C:\WINDOWS\system32\tisssw.bat
C:\WINDOWS\system32\vwha.bat
C:\WINDOWS\system32\lgyzx.exe
C:\WINDOWS\system32\dsctnfsw.exe
C:\WINDOWS\system32\zxaizu.exe
C:\WINDOWS\system32\ucoug.exe
C:\WINDOWS\system32\cpybnljt.exe
C:\WINDOWS\system32\fwqygnh.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

2/ Télécharge Ccleaner Basic https://www.ccleaner.com/ccleaner/download

Ouvre Ccleaner, clique sur "lancer le nettoyage".

3/ Télécharge AVGantispyware : https://www.avg.com/en-ww/free-antivirus-download
Tu l'installes.
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. Patiente.

Clique sur le bouton Analyse (de la barre d'outils)
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. Sélectionne Quarantaine.
Reviens à l'onglet Analyse. Clique sur Analyse complète du système.
A la fin du scan, choisis l'option " Appliquer toutes les actions " en bas. Ensuite.
Clique sur "Enregistrer le rapport". Ceci génère un rapport en fichier texte qui se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware.

4/ Edite le rapport OTMoveIt et un nouveau rapport Hijackthis.

FillPCA

Réponse 39 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

voici le rapport de otmoveit

a noter qu'il a refuser de supprimer certains fichiers et qu'avast considérer certains fichier de otmoveit come cheval de troie, j'ai cliqué sur "ne rien faire"

C:\WINDOWS\system32\srnqxtat.exe moved successfully.
C:\WINDOWS\system32\gcqeeu.exe moved successfully.
C:\WINDOWS\system32\mabecaqr.exe moved successfully.
C:\WINDOWS\system32\yuwm.exe moved successfully.
C:\WINDOWS\system32\jiyzcgs.exe moved successfully.
C:\WINDOWS\system32\wplqqym.exe moved successfully.
C:\WINDOWS\system32\julzb.exe moved successfully.
C:\WINDOWS\system32\cmrjsp.exe moved successfully.
C:\WINDOWS\system32\lbcvcrn.exe moved successfully.
C:\WINDOWS\system32\hehvv.exe moved successfully.
C:\WINDOWS\system32\papisn.exe moved successfully.
C:\WINDOWS\system32\urpuxm.exe moved successfully.
C:\WINDOWS\system32\msjdxy.exe moved successfully.
C:\WINDOWS\system32\iuojr.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\jkkkihh.dll
C:\WINDOWS\system32\jkkkihh.dll NOT unregistered.
C:\WINDOWS\system32\jkkkihh.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\cbxwvwx.dll
C:\WINDOWS\system32\cbxwvwx.dll NOT unregistered.
C:\WINDOWS\system32\cbxwvwx.dll moved successfully.
C:\WINDOWS\system32\pzwb.exe moved successfully.
C:\WINDOWS\system32\kpsfatz.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\gebxurs.dll
C:\WINDOWS\system32\gebxurs.dll NOT unregistered.
C:\WINDOWS\system32\gebxurs.dll moved successfully.
C:\WINDOWS\system32\qcnwoehq.exe moved successfully.
C:\WINDOWS\system32\enik.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\ssqnkjk.dll
C:\WINDOWS\system32\ssqnkjk.dll NOT unregistered.
C:\WINDOWS\system32\ssqnkjk.dll moved successfully.
C:\WINDOWS\system32\jbbtmc.exe moved successfully.
C:\WINDOWS\system32\fbipiq.exe moved successfully.
C:\WINDOWS\system32\qjreldwp.exe moved successfully.
C:\WINDOWS\system32\ingf.exe moved successfully.
C:\WINDOWS\system32\julrfxp.exe moved successfully.
C:\WINDOWS\system32\mcmllro.exe moved successfully.
C:\WINDOWS\system32\aqlupp.exe moved successfully.
C:\WINDOWS\system32\yxtf.exe moved successfully.
C:\WINDOWS\system32\vvcfska.bat moved successfully.
C:\WINDOWS\system32\hzcx.exe moved successfully.
C:\WINDOWS\system32\bbzcbxl.bat moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\urqqrrr.dll
C:\WINDOWS\system32\urqqrrr.dll NOT unregistered.
C:\WINDOWS\system32\urqqrrr.dll moved successfully.
C:\WINDOWS\system32\wfmyaj.bat moved successfully.
C:\WINDOWS\system32\wfqoiu.bat moved successfully.
C:\WINDOWS\system32\slvulw.bat moved successfully.
C:\WINDOWS\system32\acidhv.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\qomlmkj.dll
C:\WINDOWS\system32\qomlmkj.dll NOT unregistered.
C:\WINDOWS\system32\qomlmkj.dll moved successfully.
C:\WINDOWS\system32\owjrj.exe moved successfully.
C:\WINDOWS\system32\cwvl.exe moved successfully.
C:\WINDOWS\system32\xrzsa.exe moved successfully.
C:\WINDOWS\system32\rzweypk.exe moved successfully.
C:\WINDOWS\system32\mlwk.exe moved successfully.
C:\WINDOWS\system32\qnqn.exe moved successfully.
C:\WINDOWS\system32\fnnqfval.exe moved successfully.
C:\WINDOWS\system32\dmnrgro.exe moved successfully.
C:\WINDOWS\system32\khnobw.exe moved successfully.
C:\WINDOWS\system32\ecufpx.exe moved successfully.
C:\WINDOWS\system32\tisssw.bat moved successfully.
C:\WINDOWS\system32\vwha.bat moved successfully.
C:\WINDOWS\system32\lgyzx.exe moved successfully.
C:\WINDOWS\system32\dsctnfsw.exe moved successfully.
C:\WINDOWS\system32\zxaizu.exe moved successfully.
C:\WINDOWS\system32\ucoug.exe moved successfully.
C:\WINDOWS\system32\cpybnljt.exe moved successfully.
C:\WINDOWS\system32\fwqygnh.exe moved successfully.

Created on 10/10/2007 20:13:28

je fais la suite.... encore merci pour cette dispo dont tu fais preuve

Réponse 40 / 55

botcaryo Messages postés 103 Date d'inscription Statut Membre Dernière intervention 2

vu que le scan prend du temps je pense que je posterai le rapport demain

En tous les cas il me semble que l'ordi va mieux, je te remercie énormément, je reposte demain la suite en espèrant que tu puisse continuer à m'aider

Encore merci et bonne soirée

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore

Pb Windows 7, .EXE n'est pas app win32 valide

win32:malware-gen bloqué par avast

Menaces HackTool:Win32

PUADlManager:Win32/OfferCore

Votre réponse

Discussions similaires