Conhook-AW

papasiam -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour, salut
j'ai un souci mon PC est infecté par des viruss genre conhook-aw win32 ou encore agent LBX et autre virus
malgré la réinstallation de windows et le formage du disque système les virus sont toujours présent que faire?
si le PC est hors connexion rien ne se produit mais dès que je suis online avast pète un plomb.
aidez moi s'ilvous plait
Configuration: Windows XP
Internet Explorer 6.0

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème principal: un PC sous Windows XP reste infecté par des virus tels que Win32/Conhook et Agent LBX malgré réinstallation et formatage du disque, et Avast réagit fortement lors de la navigation en ligne.
Plusieurs solutions ont été évoquées, notamment ComboFix, HijackThis et SDFix, avec des procédures en mode sans échec, l’analyse des services et clés de registre, et des rapports à copier dans le fil.
En cas de rémanence, le fil montre des détections multiples et des difficultés à désinfecter des archives ou sauvegardes, suggérant une approche combinée et une surveillance continue pour éviter les réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonjour,

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

    Télécharge HijackThis et poste le rapport stp

    http://pchelpbordeaux.free.fr/logiciels.html
    Tutorial
    http://pchelpbordeaux.free.fr/tuto.html
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
  2. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Bonjour

    A tout hasard, as-tu songé ou pensé à changer d'anti-virus ?
    Remplacer Avast par Antivir ??

    ANTIVIR
    https://www.avira.com/
    Tuto
    http://speedweb1.free.fr/frames2.php?page=tuto5

    télécharger la version gratuite de Avast
    Vous pouvez télécharger Avast sur le site suivant
    https://www.avast.com/free-antivirus-download
    Tuto ->
    http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/questions-avast-sujet_176199_1.htm

    Ensuite, la formatage ne supprime pas les merdouilles.

    par la même occase

    Télécharge SmitfraudFix
    Utilitaire de S!Ri: Moe et balltrap34
    http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.
    Regarde le tuto
    Exécute le en choisissant l’option 1,
    il va générer un rapport
    Copie/colle le sur le poste stp.

    Et

    F - Hijackthis - Outil de diagnostic et réparation
    télécharge HijackThis ici:
    http://telechargement.zebulon.fr/138-hijackthis-1991.html
    Dézippe le dans un dossier prévu à cet effet.
    Par exemple C:\hijackthis < Enregistre le bien dans c : !
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/Hijenr.gif
    Lance le puis:
    clique sur "do a system scan and save logfile" (cf démo)
    faire un copier coller du log entier sur le forum
    Démo : (Merci a Balltrap34 pour cette réalisation)
    http://pageperso.aol.fr/balltrap34/demohijack.htm
    http://www.tutoriaux-excalibur.com/hijackthis.htm
    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Bon courage

    A+

    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    juste un petit coucou g!rly;

    tu t'attaque encore a vundo

    beau boulot
    bonne continuation
    0
  4. g!rly Messages postés 18462 Statut Contributeur 407
     
    on va essayer;-)
    salut jlpjlp, bonne journée a toi > qu´elle soit colorée a souhait ;-)
    je salut aussi marie qui s´attaque a la bete...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    Salut vous deux
    Je me rends surtout compte qu'Avast a du plus en plus de failles, on dirait ??? Non ??
    0
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonjour marie,
    oui c´est vrai; tu fais bien de conseiller antivir, il est beaucoup plus performant; mais les utilisateurs sont souvent retissant a desinstaller leur chere antivirus avast pour le troquer contre antivir>desolant...
    je te laisse continuer, ou? comment on fait?
    en meme temps je vais bientot m´absenté pour la journée, alors si tu es la continue?
    0
  8. papasiam
     
    Bonjour,
    tou d'abord merci pour votre rapidité et votre disponibilité voici les rapports demandés
    hijackthis

    rapport

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:57:47, on 13/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\sstray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\spooIsv.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
    C:\WINDOWS\System32\explorer.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\System32\Isass.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system\NOTEPAD.exe
    C:\WINDOWS\System32\RunDll32.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\services.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\WINDOWS\system32\bfgfuxg.exe
    C:\WINDOWS\System32\Gothic.exe
    C:\WINDOWS\system32\ntvdm.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINDOWS\System32\spooIsv.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
    O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: SATARaid.lnk = ?
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O20 - AppInit_DLLs: c:\windows\system32\vturpmn.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe
    0
  9. g!rly Messages postés 18462 Statut Contributeur 407
     
    papasiam,
    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
    je me répète mais...
    0
  10. papasiam
     
    Bonjour,
    je suis pas chez moi mais merci g!rly pour tes conseils j' essaierais tout ca demain apres le boulot merci encore
    0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    de rien, bonne soirée ;-)
    0
  12. papasiam
     
    Bonjour,
    voici le rapport SDFix

    SDFix: Version 1.109

    Run by Zit”uN on 14/10/2007 at 19:26

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\DOCUME~1\ZITUN~1\Bureau\sss\SDFix

    Safe Mode:
    Checking Services:

    Name:
    Microsoft Agent

    ImagePath:
    "C:\WINDOWS\System32\dllcache\frehost.exe"

    Microsoft Agent - Deleted

    Restoring Windows Registry Values
    Restoring Windows Default Hosts File
    Resetting AppInit_DLLs value

    Rebooting...

    Normal Mode:
    Checking Files:

    Trojan Files Found:

    C:\WINDOWS\SYSTEM32\AWTQNNK.DLL - Deleted
    C:\WINDOWS\SYSTEM32\AWVTQRR.DLL - Deleted
    C:\WINDOWS\SYSTEM32\DDABBAY.DLL - Deleted
    C:\WINDOWS\SYSTEM32\JKHFGFE.DLL - Deleted
    C:\WINDOWS\SYSTEM32\MLJJGGD.DLL - Deleted
    C:\WINDOWS\SYSTEM32\PMNLJKK.DLL - Deleted
    C:\WINDOWS\SYSTEM32\VTSQPMN.DLL - Deleted
    C:\WINDOWS\SYSTEM32\VTURPMN.DLL - Deleted
    C:\WINDOWS\SYSTEM32\DWXWXT.EXE - Deleted
    C:\WINDOWS\SYSTEM32\MJLDSTIF.EXE - Deleted
    C:\WINDOWS\SYSTEM32\MOFVX.EXE - Deleted
    C:\WINDOWS\SYSTEM32\QQJPTKZT.EXE - Deleted
    C:\WINDOWS\SYSTEM32\WGESKMFA.EXE - Deleted
    C:\WINDOWS\myphotos.zip - Deleted
    C:\WINDOWS\services.exe - Deleted
    C:\WINDOWS\system\NOTEPAD.exe - Deleted
    C:\WINDOWS\system32\explorer.exe - Deleted
    C:\WINDOWS\system32\Isass.exe - Deleted
    C:\WINDOWS\system32\o - Deleted
    C:\WINDOWS\system32\spooIsv.exe - Deleted
    C:\WINDOWS\Temp\removalfile.bat - Deleted

    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.

    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    Remaining Files:
    ---------------

    File Backups: - C:\DOCUME~1\ZITUN~1\Bureau\sss\SDFix\backups\backups.zip

    Files with Hidden Attributes:

    Sat 13 Oct 2007 34,816 A..H. --- "C:\WINDOWS\system32\bfgfuxg.exe"
    Sun 14 Oct 2007 490 ..SH. --- "C:\WINDOWS\system32\iymtmrdm.dllbox"
    Sat 13 Oct 2007 36,560 A..H. --- "C:\WINDOWS\system32\lrzwr.exe"
    Sat 13 Oct 2007 6,465 ..SH. --- "C:\WINDOWS\system32\svvwa.bak1"
    Sun 14 Oct 2007 306,151 ..SH. --- "C:\WINDOWS\system32\svvwa.bak2"
    Sat 13 Oct 2007 54,450 A..H. --- "C:\WINDOWS\system32\wfcjy.exe"
    Sat 13 Oct 2007 32,256 A..H. --- "C:\WINDOWS\system32\yfoy.exe"
    Sat 13 Oct 2007 148,480 ..SHR --- "C:\WINDOWS\system32\dllcache\frehost.exe"

    Finished!

    jai fait cela en etant hors connexion
    cela dit une fois remis online mon pc recoit de nouvelles attaques
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonsoir papasiam,

    ok pour sdfix.

    fais ceci maintenant:

    * Télécharge combofix.exe (par sUBs) sur ton Bureau.

    http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe

    * Double clique combofix.exe.
    * Tape sur la touche 1 (Yes) pour démarrer le scan.
    * Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    et post un nouveau rapport hijack this
    0
  14. papasiam
     
    Bonjour,

    ComboFix 07-10-14.4 - Zit”uN 2007-10-14 21:03:27.1 - NTFSx86
    Running from: D:\install\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Program Files\Hammer.dll
    C:\WINDOWS\system32\awvvs.dll
    C:\WINDOWS\system32\ojwjqywd.exe
    C:\WINDOWS\system32\svvwa.bak1
    C:\WINDOWS\system32\svvwa.bak1
    C:\WINDOWS\system32\svvwa.bak2
    C:\WINDOWS\system32\svvwa.bak2
    C:\WINDOWS\system32\svvwa.ini
    C:\WINDOWS\system32\svvwa.ini
    C:\WINDOWS\system32\vtsqr.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\rdriv

    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-14 to 2007-10-14 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-14 21:08 <REP> d---s---- C:\WINDOWS\system32\Microsoft
    2007-10-14 21:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-10-14 19:31 430,592 -r-hs---- C:\WINDOWS\windowsys.com
    2007-10-14 19:31 7,168 --a------ C:\WINDOWS\system32\rdriv.sys
    2007-10-14 19:26 <REP> d-------- C:\WINDOWS\ERUNT
    2007-10-14 05:30 389,184 --a------ C:\WINDOWS\system32\vwjpydfd.exe
    2007-10-14 05:30 339,968 --a------ C:\WINDOWS\system32\iymtmrdm.dll
    2007-10-13 16:25 <REP> d-------- C:\Program Files\K-Lite Codec Pack
    2007-10-13 16:25 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
    2007-10-13 16:25 1,415,680 --a------ C:\WINDOWS\system32\WMV9VCM.dll
    2007-10-13 16:25 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
    2007-10-13 16:25 635,486 --a------ C:\WINDOWS\system32\divx.dll
    2007-10-13 16:25 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
    2007-10-13 16:25 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
    2007-10-13 16:25 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
    2007-10-13 16:25 5,120 --a------ C:\WINDOWS\system32\ff_vfw.dll
    2007-10-13 16:23 <REP> d-------- C:\Program Files\SLD Codec Pack
    2007-10-13 16:13 37,504 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
    2007-10-13 16:13 37,504 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
    2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\SpeechEngines
    2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
    2007-10-13 16:06 <REP> dr------- C:\Program Files
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
    2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Favoris
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Bureau
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
    2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Favoris
    2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Documents
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Bureau
    2007-10-13 16:00 32,256 --ah----- C:\WINDOWS\system32\yfoy.exe
    2007-10-12 16:46 9,600 --a------ C:\WINDOWS\system32\drivers\SiWinAcc.sys
    2007-10-12 16:45 89,610 --a------ C:\WINDOWS\system32\drivers\SI3112r.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-14 19:09 786,432 ---ha-w C:\Documents and Settings\ZitöuN\NTUSER.DAT
    2007-10-14 17:31 38,912 ----a-w C:\WINDOWS\system32\re1.exe
    2007-10-13 14:01 36,560 ---ha-w C:\WINDOWS\system32\lrzwr.exe
    2007-10-13 14:00 54,450 ---ha-w C:\WINDOWS\system32\wfcjy.exe
    2007-10-13 13:52 34,304 ----a-w C:\WINDOWS\system32\tuvutuv.dll
    2007-10-13 13:51 540,672 ----a-w C:\WINDOWS\system32\Gothic.exe
    2007-10-13 13:51 34,816 ---ha-w C:\WINDOWS\system32\bfgfuxg.exe
    2007-10-13 13:48 38,232 ----a-w C:\WINDOWS\system32\c_1tat.dll
    2007-10-13 13:47 34,304 ----a-w C:\WINDOWS\system32\pmnoljj.dll
    2007-10-13 13:46 34,304 ----a-w C:\WINDOWS\system32\tuvvsst.dll
    2007-10-13 13:43 34,304 ----a-w C:\WINDOWS\system32\gebcyxx.dll
    2007-10-13 13:36 --------- d-----w C:\Program Files\QuickTime
    2007-10-13 13:36 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-10-13 13:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2007-10-13 13:35 --------- d-----w C:\Program Files\Alwil Software
    2007-10-13 13:34 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2007-10-13 13:33 --------- d-----w C:\Program Files\Free
    2007-10-13 13:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-10-13 13:30 --------- d-----w C:\Program Files\Silicon Image
    2007-10-13 13:23 --------- d-----w C:\Program Files\ATI Technologies
    2007-10-13 13:12 --------- d-----w C:\Program Files\microsoft frontpage
    2007-10-13 13:11 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
    2007-10-13 13:10 --------- d-----w C:\Program Files\Services en ligne
    2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
    2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
    2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
    2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
    2007-10-14 05:30 339968 --a------ C:\WINDOWS\system32\iymtmrdm.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}]
    2007-10-13 15:43 34304 --a------ C:\WINDOWS\System32\gebcyxx.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df0579c0-5f69-42a7-bde0-49643332a697}]
    2007-10-13 15:48 38232 --a------ C:\WINDOWS\system32\c_1tat.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

    [HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

    [HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 12:35]
    "nForce Tray Options"="sstray.exe" [2003-08-13 06:25 C:\WINDOWS\system32\sstray.exe]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-13 15:36]
    "HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]
    "HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
    "HOT FIX"=Gothic.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
    "HOT FIX"=Gothic.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
    "HOT FIX"=Gothic.exe

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
    "HOT FIX"=Gothic.exe

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "<NO NAME>"=
    "HOT FIX"=Gothic.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\System32\gebcyxx.dll [2007-10-13 15:43 34304]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\c_1tat]
    c_1tat.dll 2007-10-13 15:48 38232 C:\WINDOWS\system32\c_1tat.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcyxx]
    gebcyxx.dll 2007-10-13 15:43 34304 C:\WINDOWS\system32\gebcyxx.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iymtmrdm]
    iymtmrdm.dll 2007-10-14 05:30 339968 C:\WINDOWS\system32\iymtmrdm.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=c:\windows\system32\vturpmn.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"= msv1_0 C:\WINDOWS\System32\awvvs.dll

    R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\System32\drivers\si3112r.sys
    R0 SiWinAcc;SiWinAcc;C:\WINDOWS\System32\drivers\SiWinAcc.sys
    R2 windowsys;system32 master;"C:\WINDOWS\windowsys.com"
    R4 hotfix.microsoft.com;HOT FIX;"C:\WINDOWS\System32\Gothic.exe" -netsvcs
    S2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
    S3 rdriv;rdriv;\??\C:\WINDOWS\system32\rdriv.sys

    .
    **************************************************************************

    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-14 21:10:42
    Windows 5.1.2600 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-10-14 21:11:00 - machine was rebooted
    .
    --- E O F ---
    0
  15. papasiam
     
    Bonjour,

    ComboFix 07-10-14.4 - Zit”uN 2007-10-14 21:03:27.1 - NTFSx86
    Running from: D:\install\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Program Files\Hammer.dll
    C:\WINDOWS\system32\awvvs.dll
    C:\WINDOWS\system32\ojwjqywd.exe
    C:\WINDOWS\system32\svvwa.bak1
    C:\WINDOWS\system32\svvwa.bak1
    C:\WINDOWS\system32\svvwa.bak2
    C:\WINDOWS\system32\svvwa.bak2
    C:\WINDOWS\system32\svvwa.ini
    C:\WINDOWS\system32\svvwa.ini
    C:\WINDOWS\system32\vtsqr.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\rdriv

    ((((((((((((((((((((((((((((( Fichiers créés 2007-09-14 to 2007-10-14 ))))))))))))))))))))))))))))))))))))
    .

    2007-10-14 21:08 <REP> d---s---- C:\WINDOWS\system32\Microsoft
    2007-10-14 21:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
    2007-10-14 19:31 430,592 -r-hs---- C:\WINDOWS\windowsys.com
    2007-10-14 19:31 7,168 --a------ C:\WINDOWS\system32\rdriv.sys
    2007-10-14 19:26 <REP> d-------- C:\WINDOWS\ERUNT
    2007-10-14 05:30 389,184 --a------ C:\WINDOWS\system32\vwjpydfd.exe
    2007-10-14 05:30 339,968 --a------ C:\WINDOWS\system32\iymtmrdm.dll
    2007-10-13 16:25 <REP> d-------- C:\Program Files\K-Lite Codec Pack
    2007-10-13 16:25 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
    2007-10-13 16:25 1,415,680 --a------ C:\WINDOWS\system32\WMV9VCM.dll
    2007-10-13 16:25 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
    2007-10-13 16:25 635,486 --a------ C:\WINDOWS\system32\divx.dll
    2007-10-13 16:25 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
    2007-10-13 16:25 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
    2007-10-13 16:25 73,728 --a------ C:\WINDOWS\system32\dpl100.dll
    2007-10-13 16:25 5,120 --a------ C:\WINDOWS\system32\ff_vfw.dll
    2007-10-13 16:23 <REP> d-------- C:\Program Files\SLD Codec Pack
    2007-10-13 16:13 37,504 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
    2007-10-13 16:13 37,504 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
    2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\SpeechEngines
    2007-10-13 16:06 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
    2007-10-13 16:06 <REP> dr------- C:\Program Files
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
    2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Favoris
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\Default User\Bureau
    2007-10-13 16:05 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
    2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Favoris
    2007-10-13 16:05 <REP> dr------- C:\Documents and Settings\All Users\Documents
    2007-10-13 16:05 <REP> d-------- C:\Documents and Settings\All Users\Bureau
    2007-10-13 16:00 32,256 --ah----- C:\WINDOWS\system32\yfoy.exe
    2007-10-12 16:46 9,600 --a------ C:\WINDOWS\system32\drivers\SiWinAcc.sys
    2007-10-12 16:45 89,610 --a------ C:\WINDOWS\system32\drivers\SI3112r.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-10-14 19:09 786,432 ---ha-w C:\Documents and Settings\ZitöuN\NTUSER.DAT
    2007-10-14 17:31 38,912 ----a-w C:\WINDOWS\system32\re1.exe
    2007-10-13 14:01 36,560 ---ha-w C:\WINDOWS\system32\lrzwr.exe
    2007-10-13 14:00 54,450 ---ha-w C:\WINDOWS\system32\wfcjy.exe
    2007-10-13 13:52 34,304 ----a-w C:\WINDOWS\system32\tuvutuv.dll
    2007-10-13 13:51 540,672 ----a-w C:\WINDOWS\system32\Gothic.exe
    2007-10-13 13:51 34,816 ---ha-w C:\WINDOWS\system32\bfgfuxg.exe
    2007-10-13 13:48 38,232 ----a-w C:\WINDOWS\system32\c_1tat.dll
    2007-10-13 13:47 34,304 ----a-w C:\WINDOWS\system32\pmnoljj.dll
    2007-10-13 13:46 34,304 ----a-w C:\WINDOWS\system32\tuvvsst.dll
    2007-10-13 13:43 34,304 ----a-w C:\WINDOWS\system32\gebcyxx.dll
    2007-10-13 13:36 --------- d-----w C:\Program Files\QuickTime
    2007-10-13 13:36 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2007-10-13 13:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2007-10-13 13:35 --------- d-----w C:\Program Files\Alwil Software
    2007-10-13 13:34 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2007-10-13 13:33 --------- d-----w C:\Program Files\Free
    2007-10-13 13:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-10-13 13:30 --------- d-----w C:\Program Files\Silicon Image
    2007-10-13 13:23 --------- d-----w C:\Program Files\ATI Technologies
    2007-10-13 13:12 --------- d-----w C:\Program Files\microsoft frontpage
    2007-10-13 13:11 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
    2007-10-13 13:10 --------- d-----w C:\Program Files\Services en ligne
    2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
    2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
    2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
    2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
    2007-10-14 05:30 339968 --a------ C:\WINDOWS\system32\iymtmrdm.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}]
    2007-10-13 15:43 34304 --a------ C:\WINDOWS\System32\gebcyxx.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{df0579c0-5f69-42a7-bde0-49643332a697}]
    2007-10-13 15:48 38232 --a------ C:\WINDOWS\system32\c_1tat.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

    [HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\iymtmrdm.dll [2007-10-14 05:30 339968]

    [HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-05 12:35]
    "nForce Tray Options"="sstray.exe" [2003-08-13 06:25 C:\WINDOWS\system32\sstray.exe]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-13 15:36]
    "HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-28 14:00]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14]
    "HOT FIX"="Gothic.exe" [2007-10-13 15:51 C:\WINDOWS\system32\Gothic.exe]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
    "HOT FIX"=Gothic.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]
    "HOT FIX"=Gothic.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
    "HOT FIX"=Gothic.exe

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
    "HOT FIX"=Gothic.exe

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "<NO NAME>"=
    "HOT FIX"=Gothic.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{BACEB7AF-8D88-456E-82D0-7BEB9A4410FE}"= C:\WINDOWS\System32\gebcyxx.dll [2007-10-13 15:43 34304]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\c_1tat]
    c_1tat.dll 2007-10-13 15:48 38232 C:\WINDOWS\system32\c_1tat.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcyxx]
    gebcyxx.dll 2007-10-13 15:43 34304 C:\WINDOWS\system32\gebcyxx.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iymtmrdm]
    iymtmrdm.dll 2007-10-14 05:30 339968 C:\WINDOWS\system32\iymtmrdm.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "appinit_dlls"=c:\windows\system32\vturpmn.dll

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "Authentication Packages"= msv1_0 C:\WINDOWS\System32\awvvs.dll

    R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\System32\drivers\si3112r.sys
    R0 SiWinAcc;SiWinAcc;C:\WINDOWS\System32\drivers\SiWinAcc.sys
    R2 windowsys;system32 master;"C:\WINDOWS\windowsys.com"
    R4 hotfix.microsoft.com;HOT FIX;"C:\WINDOWS\System32\Gothic.exe" -netsvcs
    S2 NOTEPAD;NOTEPAD;"C:\WINDOWS\system\NOTEPAD.exe"
    S3 rdriv;rdriv;\??\C:\WINDOWS\system32\rdriv.sys

    .
    **************************************************************************

    catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-10-14 21:10:42
    Windows 5.1.2600 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-10-14 21:11:00 - machine was rebooted
    .
    --- E O F ---
    0
  16. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,
    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    * Double-clique VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    et repost un log hijackthis ,
    0
  17. papasiam
     
    Bonjour,
    vundo

    VundoFix V6.5.10

    Checking Java version...

    Sun Java not detected
    Scan started at 19:07:03 15/10/2007

    Listing files found while scanning....

    C:\windows\system32\gebcyxx.dll
    C:\WINDOWS\system32\iymtmrdm.dll
    C:\windows\system32\pmnoljj.dll
    C:\windows\system32\tuvutuv.dll
    C:\windows\system32\tuvvsst.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\gebcyxx.dll
    C:\windows\system32\gebcyxx.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\system32\iymtmrdm.dll
    C:\WINDOWS\system32\iymtmrdm.dll Has been deleted!

    Attempting to delete C:\windows\system32\pmnoljj.dll
    C:\windows\system32\pmnoljj.dll Has been deleted!

    Attempting to delete C:\windows\system32\tuvutuv.dll
    C:\windows\system32\tuvutuv.dll Has been deleted!

    Attempting to delete C:\windows\system32\tuvvsst.dll
    C:\windows\system32\tuvvsst.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\windows\system32\gebcyxx.dll
    C:\windows\system32\gebcyxx.dll Could not be deleted.

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    hijack

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:13:54, on 15/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\windowsys.com
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\Gothic.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\sstray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\msms.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
    C:\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
    O4 - HKLM\..\Run: [mackfy.exe] C:\WINDOWS\System32\msms.exe
    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunServices: [mackfy.exe] C:\WINDOWS\System32\msms.exe
    O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
    O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: SATARaid.lnk = ?
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O20 - AppInit_DLLs: c:\windows\system32\vturpmn.dll
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
    O23 - Service: system32 master (windowsys) - Unknown owner - C:\WINDOWS\windowsys.com
    0
  18. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    1
    instale un par feu :
    kerio :
    https://kerio.probb.fr/t1-tuto-pour-kerio-4-2

    2
    Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :
    _________________________________________________________________________________
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=-

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""
    __________________________________________________________________________________

    Puis "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    3
    a l´aide de hijack this coche et fix les lignes ci dessous :
    O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
    O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
    O4 - HKLM\..\Run: [mackfy.exe] C:\WINDOWS\System32\msms.exe
    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunServices: [mackfy.exe] C:\WINDOWS\System32\msms.exe
    O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
    O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
    O23 - Service: system32 master (windowsys) - Unknown owner - C:\WINDOWS\windowsys.com

    comment fixer :
    Démo en image
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    4
    click sur demarrer sur execute et dans la boite de dialogue tape ceci : services.msc > dans la nouvelle fenetre des services arrete ce service : system32 master (windowsys)

    5
    télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe (de Old_Timer) sur ton Bureau.
    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

    Citation :
    C:\WINDOWS\windowsys.com
    C:\WINDOWS\System32\Gothic.exe
    C:\WINDOWS\System32\msms.exe

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
    http://img137.imageshack.us/img137/3558/refaitjk8.th.jpg

    dans ta prochaine réponse post le rapport de ot_move it et un nouveau hijack this stp
    0
  19. papasiam
     
    Bonjour,

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:30:21, on 16/10/2007
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\WINDOWS\windowsys.com
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\WINDOWS\System32\Gothic.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\System32\sstray.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\WINDOWS\System32\msms.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\System32\ccwd.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Silicon Image\SiISATARaid\SATARaid.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\xyk.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup
    C:\hijackthis\HijackThis.exe
    C:\WINDOWS\xyk.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
    O4 - HKLM\..\Run: [mackfy.exe] C:\WINDOWS\System32\msms.exe
    O4 - HKLM\..\Run: [Windows Insecure] ccwd.exe
    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunServices: [mackfy.exe] C:\WINDOWS\System32\msms.exe
    O4 - HKLM\..\RunServices: [Windows Insecure] ccwd.exe
    O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [Windows Insecure] ccwd.exe
    O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\Run: [Windows Insecure] ccwd.exe (User '?')
    O4 - HKUS\S-1-5-21-1482476501-152049171-725345543-1003\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: SATARaid.lnk = ?
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)
    O23 - Service: Webcam_Monitoring (WebcamMonitoring) - - C:\WINDOWS\xyk.exe
    O23 - Service: system32 master (windowsys) - Unknown owner - C:\WINDOWS\windowsys.com
    0
  20. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonsoir,

    le probleme de l´ecran bleu doit venir du par feu que je t´ai fais installer, c´est deja arrivé a plus d´un, mais n´arrive pas toujours sinon je ne le conseillerais pas; il est neanmoins tres performant, et ce probleme peu se resoudre (regarde ce qui est dis par ninix sur ce site et desactive tout ce qu´il dit de désactiver) :

    http://www.libellules.ch/dotclear/index.php?2005/12/26/719-sunbelt-kerio-firewall

    puis

    fais ce scan en ligne, sous internet explorer et post le rapport ici :

    https://www.bitdefender.com/toolbox/

    Clique sur "I agree" et suis la manip.
    0
    1. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
       
      Slt

      Je passe juste pour ==> Platform: Windows XP (WinNT 5.01.2600)
      ???
      0
  21. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonsoir marie,
    oui il faudra mettre le service pack a jour...
    0
  • 1
  • 2
  • 3