[pb vers] rapports de desinfection

Résolu

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention -
moe - 25 nov. 2007 à 17:37

Bonjour,

jai un prob avec mon PC portable. Je l'ai connecté sur internet et jai chopé des vers et l'ordi me dit qu'il a besoin du fichier VTTray.exe au démarrage. L'ordi marche qd même. J'avais installé Avast et Sygate firewall.
J'ai installé aussi avg antispyware et il a mis en quarantaine 2 fichiers : C:/Windows/VTTray.exe et C:/Windows/system32/nqb.exe. L'ordinateur détecte aussi un matériel appelé Net qu'il veut installer.Snon, je n comprends pas ji une version allemande de sygate firewall...

j'avais mis un post hier mais je l'ai fermé car j'ai repris la méthode préliminaire de désinfection proposé sur le site. Pouvez-vous me dire ce que je dois faire pour signer mon ordi?? Merci d'avance
1 - ccleaner = oK
2 - AVG antispyware = ne détecte rien (il a les deux fichiers en quarantaine, je n'y ai pas touché)

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 13:23:55 31/10/2007

+ Résultat de l'analyse:

Rien à signaler.

Fin du rapport

3 - Scan avec Bitdefender en ligne = 5 infections

BitDefender Online Scanner

Scan report generated at: Wed, Oct 31, 2007 - 14:58:37

Scan path: C:\;D:\;

Statistics

Time
01:27:43

Files
320093

Folders
6703

Boot Sectors
2

Archives
7240

Packed Files
14630

Results

Identified Viruses
1

Infected Files
5

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
5

Engines Info

Virus Definitions
859440

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
14

Archive plugins
38

Unpack plugins
7

E-mail plugins
6

System plugins
1

Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions

Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes

Scanned File
Status

C:\WINDOWS\system32\bfekclb.exe
Infected with: Backdoor.Irc.Sdbot.KC

C:\WINDOWS\system32\bfekclb.exe
Disinfection failed

C:\WINDOWS\system32\bfekclb.exe
Deleted

C:\WINDOWS\system32\cyvmrm.exe
Infected with: Backdoor.Irc.Sdbot.KC

C:\WINDOWS\system32\cyvmrm.exe
Disinfection failed

C:\WINDOWS\system32\cyvmrm.exe
Deleted

C:\WINDOWS\system32\gljcqqd.exe
Infected with: Backdoor.Irc.Sdbot.KC

C:\WINDOWS\system32\gljcqqd.exe
Disinfection failed

C:\WINDOWS\system32\gljcqqd.exe
Deleted

C:\WINDOWS\system32\ridfv.exe
Infected with: Backdoor.Irc.Sdbot.KC

C:\WINDOWS\system32\ridfv.exe
Disinfection failed

C:\WINDOWS\system32\ridfv.exe
Deleted

C:\WINDOWS\Temp\_avast4_\unp103356613.tmp
Infected with: Backdoor.Irc.Sdbot.KC

C:\WINDOWS\Temp\_avast4_\unp103356613.tmp
Disinfection failed

C:\WINDOWS\Temp\_avast4_\unp103356613.tmp
Deleted

4 - Log Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 15:07:24, on 31/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 169.254.190.221:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.10\WlanCU.exe
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Afficher la suite

A voir également:

[pb vers] rapports de desinfection
Windows 7 vers windows 10 - Accueil - Mise à jour
Clavier qwerty vers azerty - Guide
Mise a jour android 4.4.2 vers 5 - Forum Téléphones & tablettes Android
Vers quelle adresse web renvoie ce lien - Guide
Comment exporter les photos de google photo vers l'ordinateur - Guide

65 réponses

Réponse 21 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

en mode normal, il scanne plus de fichiers mais s'arrête aussi dès qu'il a scanné les fichiers du bureau...y'a un soucis non?

Réponse 22 / 65

green day Messages postés 26374 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 2 163

Salut

c'est un coriace ! :)

1) Redémarre le PC, impérativement en Mode sans échec avec prise en charge du réseau.
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement > Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionne "Mode sans échec avec prise en charge du réseau" et appuie sur la touche [Entrée].
Choisis ton compte usuel, et non Administrateur. En image ici (il s'agit du second choix) > http://cybersecurite.xooit.com/t88-Demarre...-sans-echec.htm

2) Télécharge Dr.Web CureIt sur ton Bureau:
Rend toi sur cette page afin de télécharger le fichier CureIt.com > https://www.sendspace.com/file/9nnh7y
pour cela, clique sur le lien en bas de page > Download Link: CureIt.com

* Double clique sur le fichier drweb-cureit.com et ensuite clique sur commencer le scan.
* Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre
* Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"
* De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
* Clique sur la flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

@+

Réponse 23 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

ok voici le rapport : en gros beaucoup de .exe sont infectés...J'espère qu'on peut réccupérer ça? merci

atiptaxx.exe;c:\program files\ati technologies\ati control panel;Modification de Win32.Virut.17;Quarantaine.
GDMView.exe;C:\CompGDM\Program;Modification de Win32.Virut.17;Quarantaine.
spf.exe;C:\Documents and Settings\amelie\Bureau;Modification de Win32.Virut.17;Quarantaine.
SetProt.exe;C:\GDM\Program;Modification de Win32.Virut.17;Quarantaine.
4D.exe;C:\Program Files\4D\4D Product Line 2004.1\4e Dimension;Modification de Win32.Virut.17;Quarantaine.
Winspad5_5.exe;C:\Program Files\DECISIA\Spadv55\bin;Modification de Win32.Virut.17;Quarantaine.
XlstatPro.xla;C:\Program Files\DECISIA\Spadv55\bin;W97M.Kayrat;Désinfecté.
EndNote6.EXE;C:\Program Files\EndNote;Modification de Win32.Virut.17;Quarantaine.
UNWISE.EXE;C:\Program Files\EndNote;Modification de Win32.Virut.17;Quarantaine.
NeroScoutOptions.exe;C:\Program Files\Fichiers communs\Ahead\Lib;Modification de Win32.Virut.17;Quarantaine.
SetupX.exe;C:\Program Files\Fichiers communs\Ahead\Nero Web;Modification de Win32.Virut.17;Quarantaine.
EBRR.exe;C:\Program Files\Fichiers communs\EPSON\EBAPI;Modification de Win32.Virut.17;Quarantaine.
UNWISE.EXE;C:\Program Files\Lavasoft\Ad-Aware SE Personal;Modification de Win32.Virut.17;Quarantaine.
EM_EXEC.EXE;C:\Program Files\Logitech\MouseWare\system;Modification de Win32.Virut.17;Quarantaine.
mmjb.exe;C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox;Modification de Win32.Virut.17;Quarantaine.
Process.exe;C:\Program Files\Navilog1;Tool.Prockill;;
nero.exe;C:\Program Files\Nero\Nero 7\Core;Modification de Win32.Virut.17;Quarantaine.;
NeroHome.exe;C:\Program Files\Nero\Nero 7\Nero Home;Modification de Win32.Virut.17;Quarantaine.;
NeroMediaHome.exe;C:\Program Files\Nero\Nero 7\Nero MediaHome;Modification de Win32.Virut.17;Quarantaine.;
PhotoSnap.exe;C:\Program Files\Nero\Nero 7\Nero PhotoSnap;Modification de Win32.Virut.17;Quarantaine.;
Recode.exe;C:\Program Files\Nero\Nero 7\Nero Recode;Modification de Win32.Virut.17;Quarantaine.;
SoundTrax.exe;C:\Program Files\Nero\Nero 7\Nero SoundTrax;Modification de Win32.Virut.17;Quarantaine.;
InfoTool.exe;C:\Program Files\Nero\Nero 7\Nero Toolkit;Modification de Win32.Virut.17;Quarantaine.;
NeroVision.exe;C:\Program Files\Nero\Nero 7\Nero Vision;Modification de Win32.Virut.17;Quarantaine.;
waveedit.exe;C:\Program Files\Nero\Nero 7\Nero WaveEditor;Modification de Win32.Virut.17;Quarantaine.;
TransTool.exe;C:\Program Files\PDFCreator\languages;Modification de Win32.Virut.17;Quarantaine.;
winamp.exe;C:\Program Files\Winamp;Modification de Win32.Virut.17;Quarantaine.;
Process.exe;C:\RECYCLER\S-1-5-21-1417001333-1580818891-854245398-1004\Dc2\apps;Tool.Prockill;;
Process.exe;C:\SDFix\apps;Tool.Prockill;;
A0028994.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP171;BackDoor.IRC.Sdbot.945;Supprimé.;
A0028995.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP171;BackDoor.IRC.Sdbot.945;Supprimé.;
A0028996.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP171;BackDoor.IRC.Sdbot.945;Supprimé.;
A0028997.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP171;BackDoor.IRC.Sdbot.945;Supprimé.;
A0030221.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Tool.Prockill;;
A0034490.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034501.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034505.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034507.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034508.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034512.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034513.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034516.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034519.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034523.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034524.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034525.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034526.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034531.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034546.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034558.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034560.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034561.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034562.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034564.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034573.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034574.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034584.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034588.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034590.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034591.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034592.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034593.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034594.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034595.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034596.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034597.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034598.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034602.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034604.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034607.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034608.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034609.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034610.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034613.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034614.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034619.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034620.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;BackDoor.IRC.Sdbot.945;Supprimé.;
A0034684.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034685.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0034698.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP179;Modification de Win32.Virut.17;Quarantaine.;
A0035739.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;BackDoor.IRC.Sdbot.945;Supprimé.;
A0035741.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;BackDoor.IRC.Sdbot.945;Supprimé.;
A0035742.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;BackDoor.IRC.Sdbot.945;Supprimé.;
A0035743.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;BackDoor.IRC.Sdbot.945;Supprimé.;
A0037748.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037749.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037750.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037751.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037752.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037753.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037754.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037755.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037756.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037757.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037758.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037759.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037760.EXE;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037761.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037784.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037785.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037786.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037787.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037788.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037789.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037790.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037791.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037792.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037793.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
A0037794.exe;C:\System Volume Information\_restore{FE4FF77F-1A21-4B95-A5AA-B7A9A16DABDF}\RP180;Modification de Win32.Virut.17;Quarantaine.;
_E125D66870B4_4D63_86BE_25318DA661C2.exe;C:\WINDOWS\Installer\{0C3747D2-4557-47F2-8C58-D0435DFC5C8A};Modification de Win32.Virut.17;Quarantaine.;
cagicon.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
inficon.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
misc.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
mspicons.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
oisicon.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
opwicon.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
outicon.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
pptico.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
pubs.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
wordicon.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
xlicons.exe;C:\WINDOWS\Installer\{9011040C-6000-11D3-8CFE-0150048383C9};Modification de Win32.Virut.17;Quarantaine.;
_204A83C5E693_4A28_A32D_6FF4BE5C4859.exe;C:\WINDOWS\Installer\{E6BAE954-487E-488B-BC4E-2E69E54E8117};Modification de Win32.Virut.17;Quarantaine.;
_444130A1F93C_4702_B765_607A11B0F3D7.exe;C:\WINDOWS\Installer\{E6BAE954-487E-488B-BC4E-2E69E54E8117};Modification de Win32.Virut.17;Quarantaine.;
_F3664A869129_48E5_89D0_B9C987C5C984.exe;C:\WINDOWS\Installer\{E6BAE954-487E-488B-BC4E-2E69E54E8117};Modification de Win32.Virut.17;Quarantaine.;
IconC989D247.exe;C:\WINDOWS\Installer\{F860F390-78F4-4B45-8C1A-0489618E315B};Modification de Win32.Virut.17;Quarantaine.;

Réponse 24 / 65

green day Messages postés 26374 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 2 163

Salut

ok, essaye de refaire la manip du poste 18

++

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

salut

je viens de passer mvirut..mais il s'arrête aussi au bout d'un moment, du coup impossible de faire de log...il a bien scanné ce qui est en quarantaine avec DrWeb. Il s'arrête ^juste après au niveau du Local setting et d'un fichier hotmail...un cookie? j'ai passé ccleaner seulement pour les fichiers et pas pour le registre...
Dois-je passer autre chose??

merci

Réponse 26 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

bon apparemment, il bloque quand il est dans "C:Document and settings/Amelie/local seting/aplication data.".et vu que j'ai vu hotmail en dernier..j'imagine que c'est le dossier dans application data qui s'appelle Windows/Messenger qui bloque...

Est-ce que je dois le désinstaller??

Réponse 27 / 65

green day Messages postés 26374 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 2 163

Salut

bien, refais un rapport avec combo stp et poste le !

je ne sais pas si c'est nécessaire, mais oui tu peux désinstaller messenger momentanément !

++

Réponse 28 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

j'ai un problème, j'ai plus de cmd.exe dans mon system32 (il a dû se faire bouffer lui aussi) et du coup je ne peux pas éxecuter combofix...
tu crois que je peux récupérer ce fichier sur mon PC fixe et que je le colle sur mon portable??

Réponse 29 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

Bon j'ai réccupérer cmd.exe et réinstaller dans system 32 (copier-coller du PC fixe). Je ne peux pas désinstaller messenger, il me manque une dll pour le faire!

Voici le log de ComboFix puis un log hijackthis (on sait jamais ;-D) :

ComboFix 07-11-08.1 - amelie 2007-11-12 21:36:30.2 - NTFSx86 NETWORK
Running from: C:\Documents and Settings\amelie\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((( Fichiers créés 2007-10-12 to 2007-11-12 ))))))))))))))))))))))))))))))))))))
.

2007-11-12 21:34 400,896 --a------ C:\WINDOWS\system32\cmd.exe
2007-11-08 19:02 <REP> d-------- C:\Documents and Settings\amelie\DoctorWeb
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\zts2.exe
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\rundll16.exe
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\rundl132.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\logo1_.exe
2007-11-05 22:51 140,800 --a------ C:\WINDOWS\R.COM
2007-11-05 22:51 136,192 --a------ C:\WINDOWS\system32\T.COM
2007-11-05 21:31 8,704 --ah----- C:\WINDOWS\system32\ttbm.exe
2007-11-05 18:17 4,096 --ah----- C:\WINDOWS\system32\qvkjjchn.exe
2007-11-05 17:51 <REP> d-------- C:\Downloads
2007-11-05 17:50 <REP> d-------- C:\Kaspersky
2007-11-04 18:38 20,916 --ah----- C:\WINDOWS\system32\vihesxbl.exe
2007-11-04 18:34 40,448 --ah----- C:\WINDOWS\system32\htyqx.exe
2007-11-04 18:34 2,048 --ah----- C:\WINDOWS\system32\uurlhrf.exe
2007-11-04 18:33 47,104 --ah----- C:\WINDOWS\system32\fmlnpi.exe
2007-11-04 18:31 41,640 --ah----- C:\WINDOWS\system32\sehrzuav.exe
2007-11-04 18:31 20,440 --ah----- C:\WINDOWS\system32\xfputea.exe
2007-11-04 18:30 29,732 --ah----- C:\WINDOWS\system32\ubjut.exe
2007-11-04 18:30 4,096 --ah----- C:\WINDOWS\system32\jbjx.exe
2007-11-04 18:28 26,036 --ah----- C:\WINDOWS\system32\kqzyzey.exe
2007-11-04 15:42 0 --ah----- C:\WINDOWS\system32\kshozqh.exe
2007-11-04 13:34 0 --ah----- C:\WINDOWS\system32\tfpuwkjp.exe
2007-11-04 11:47 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-04 10:47 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-31 19:27 <REP> d-------- C:\Documents and Settings\amelie\Contacts
2007-10-31 19:23 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-31 19:21 <REP> d-------- C:\Program Files\MSN Messenger
2007-10-31 17:49 <REP> d-------- C:\WINDOWS\$hf_mig$
2007-10-31 17:49 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-31 17:45 <REP> d-------- C:\WINDOWS\system32\bits
2007-10-31 17:43 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2007-10-31 17:43 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-10-31 17:43 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2007-10-31 17:43 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-10-31 17:43 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2007-10-31 17:43 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2007-10-31 17:43 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-10-31 17:43 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2007-10-31 17:43 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-10-31 13:29 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-10-31 13:28 <REP> d-------- C:\Documents and Settings\amelie\UserData
2007-10-30 13:22 <REP> d-------- C:\Program Files\Yahoo!
2007-10-30 13:22 <REP> d-------- C:\Program Files\Common Files
2007-10-30 13:22 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Yahoo! Companion
2007-10-30 12:53 <REP> d-------- C:\Program Files\Sygate
2007-10-30 12:53 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2007-10-30 12:53 55,891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2007-10-30 12:53 18,518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2007-10-30 12:53 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2007-10-30 12:49 <REP> d-------- C:\Program Files\Navilog1
2007-10-29 22:44 <REP> d-------- C:\Documents and Settings\amelie\Application Data\Grisoft
2007-10-29 22:44 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-29 22:44 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-29 22:44 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-29 22:44 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-29 22:44 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-10-29 22:44 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-10-29 22:43 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2007-10-29 22:43 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-29 22:37 185,624 --a------ C:\WINDOWS\system32\iuengine.dll
2007-10-29 22:37 185,624 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
2007-10-29 19:12 20,648 -ra------ C:\WINDOWS\system32\drivers\netrcacm.sys
2007-10-29 17:37 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-29 17:30 <REP> d-------- C:\Program Files\CCleaner
2007-10-29 16:55 <REP> d-------- C:\Program Files\Hijackthis Version Française
2007-10-29 16:07 <REP> d-------- C:\Program Files\Alwil Software
2007-10-29 16:07 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-10-29 16:07 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-10-29 16:07 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-10-29 16:07 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-10-29 16:07 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-10-29 16:07 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-10-29 16:07 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-10-25 10:26 53,248 --a------ C:\WINDOWS\bdoscandel.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-09 17:59 --------- d-----w C:\Program Files\Winamp
2007-11-08 22:04 --------- d-----w C:\Program Files\EndNote
2007-11-03 10:05 13,728 ----a-w C:\Documents and Settings\amelie\Application Data\wklnhst.dat
2007-10-30 09:05 135,168 ----a-w C:\WINDOWS\system32\sfc_os.dll
2007-10-10 06:39 --------- d-----w C:\Program Files\PDFCreator
2007-10-09 14:19 --------- d-----w C:\Documents and Settings\amelie\Application Data\AdobeUM
2007-10-09 13:57 --------- d-----w C:\Program Files\Fichiers communs\Adobe
.

((((((((((((((((((((((((((((( snapshot@2007-11-04_11.51.07,12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-03-18 09:29:20 496,376 ----a-w C:\WINDOWS\Fichiers d'installation de Windows Update\ie6setup.exe
- 2007-10-10 08:44:43 65,536 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\PM_Designer.exe
+ 2007-11-04 17:54:56 65,536 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\PM_Designer.exe
- 2007-10-10 08:44:43 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
+ 2007-11-04 17:54:55 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
- 2007-10-10 08:44:43 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat_Standard.exe
+ 2007-11-04 17:54:56 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat_Standard.exe
- 2007-10-10 08:44:43 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Distiller.exe
+ 2007-11-04 17:54:56 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Distiller.exe
- 2007-10-10 08:44:43 7,278 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_ELEMENTS_DT.exe
+ 2007-11-04 17:54:56 7,278 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_ELEMENTS_DT.exe
- 2007-11-04 09:37:30 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-11-04 14:27:41 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-11-04 09:37:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2007-11-04 14:27:41 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2007-11-04 09:37:37 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-11-04 14:27:41 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"="C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2003-03-26 10:15]
"WinampAgent"="C:\Program Files\Winamp\Winampa.exe" [2002-04-26 18:53]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"MMTray"="C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-05-20 19:51]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 01:12]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 21:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 11:45]

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\Démarrage\
Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-10-09 15:04:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-12 21:39:56
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-11-12 21:41:00
C:\ComboFix2.txt ... 2007-11-04 11:52
.
--- E O F ---

Logfile of HijackThis v1.99.1
Scan saved at 21:42:00, on 12/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 169.254.190.221:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Réponse 30 / 65

green day Messages postés 26374 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 2 163

Salut

c'est parti !

1) Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::

2007-11-04 18:38 20,916 --ah----- C:\WINDOWS\system32\vihesxbl.exe
2007-11-04 18:34 40,448 --ah----- C:\WINDOWS\system32\htyqx.exe
2007-11-04 18:34 2,048 --ah----- C:\WINDOWS\system32\uurlhrf.exe
2007-11-04 18:33 47,104 --ah----- C:\WINDOWS\system32\fmlnpi.exe
2007-11-04 18:31 41,640 --ah----- C:\WINDOWS\system32\sehrzuav.exe
2007-11-04 18:31 20,440 --ah----- C:\WINDOWS\system32\xfputea.exe
2007-11-04 18:30 29,732 --ah----- C:\WINDOWS\system32\ubjut.exe
2007-11-04 18:30 4,096 --ah----- C:\WINDOWS\system32\jbjx.exe
2007-11-04 18:28 26,036 --ah----- C:\WINDOWS\system32\kqzyzey.exe
2007-11-04 15:42 0 --ah----- C:\WINDOWS\system32\kshozqh.exe
2007-11-04 13:34 0 --ah----- C:\WINDOWS\system32\tfpuwkjp.exe
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\zts2.exe
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\rundll16.exe
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\rundl132.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\logo1_.exe
2007-11-05 21:31 8,704 --ah----- C:\WINDOWS\system32\ttbm.exe
2007-11-05 18:17 4,096 --ah----- C:\WINDOWS\system32\qvkjjchn.exe
C:\WINDOWS\System32\jbjx.exe
C:\WINDOWS\System32\kqzyzey.exe
C:\WINDOWS\System32\qvkjjchn.exe
C:\WINDOWS\System32\sehrzuav.exe
C:\WINDOWS\System32\ttbm.exe
C:\WINDOWS\System32\ubjut.exe
C:\WINDOWS\System32\uurlhrf.exe
C:\WINDOWS\System32\vihesxbl.exe
C:\WINDOWS\System32\xfputea.exe
C:\WINDOWS\System32\fycg.exe
C:\WINDOWS\System32\htyqx.exe
C:\WINDOWS\System32\igszefc.exe
C:\WINDOWS\System32\lrmbz.exe
C:\WINDOWS\system32\eqvmou.exe
C:\WINDOWS\system32\hblbmgfz.exe"

ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Dans la fenêtre qui suit, choisie l'option 1 puis valide
Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )

2) Supprime sdfix qui se situe ici : C:\sdfix, puis retelécharge le

ensuite lance le en mode normal et choisis l'option 3 Download SAV32CLI (Sophos)
une fois le téléchargement terminé, il se lancera pour s'installer : clic sur ok
laisse le chemin par défaut un clic sur unzip pour décompresser l'archive
Sdfix va alors demander d'appuyer sur une touche pour commencer la désinfection : ne fait rien et ferme la fenêtre sdfix

3) Redemarre en mode sans échec :

le bureau ne va pas apparaître, mais à la place tu auras une fenêtre noire (l'invite de commande) dans lequel tu devras taper une commande (à noter sur un bout de papier, en respectant les espaces : c'est très important ! ) pour lancer l'outil de désinfection:

C:\SAV32CLI\SAV32CLI -f -di -nc -nb -dn --stop-scan -idedir="C:\SDFix\IDE" -P="C:\SDFix\SophosReport.txt"

le scan se lancera : une confirmation sera demandé dès qu'un fichier infectieux sera détecté, appuyer sur la touche 'y' pour accepter.

Un rapport sera ensuite généré dans C:\SDFix\SophosReport.txt
Referme l'outil, puis dans la fenêtre noire, tapes :
%windir%\explorer.exe
et valides avec la touche [Entrée]
Ca aura pour effet de faire apparaître le bureau. .

Quand le bureau va réapparaitre, le pc sera encore en mode sans echec, relance alors sdfix et laisse-le nettoyer.

Poste ensuite les rapports: sdfix et C:\SDFix\SophosReport.txt

Prends ton temps pour faire la manip ! bon courage ;-))

tiens moi au courant !

@+

Réponse 31 / 65

green day Messages postés 26374 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 2 163

Re

oups ! une erreur de ma part :p

dans la liste précédente enlève ceci :

2007-11-04 18:38 20,916 --ah-----

2007-11-05 23:05 <REP> d-a------

à chaque fois au début de la liste

tu ne dois avoir qu'une liste de fichiers commençant par : C:\

@+

Réponse 32 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

ok merci
je ne pourrais le faire que ce soir en rentrant du taf..juste une question : je n'enlève que les les parties de lignes qui commencent par
2007-11-04 18:38 20,916 --ah----- et 2007-11-05 23:05 <REP> d-a------ OU j'enlève tout ce qui ressemble à ça pour n'avoir que des lignes qui commencent par C:\ (comme tu l'as écrit aussi)

++

Réponse 33 / 65

green day Messages postés 26374 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 2 163

Salut

Je te remets la manip à faire au propre, car il y a une petit oubli ...

1) Crée un nouveau document texte et nomme le CFScript.txt ( attention très important ! ) : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::

C:\WINDOWS\system32\vihesxbl.exe
C:\WINDOWS\system32\htyqx.exe
C:\WINDOWS\system32\uurlhrf.exe
C:\WINDOWS\system32\fmlnpi.exe
C:\WINDOWS\system32\sehrzuav.exe
C:\WINDOWS\system32\xfputea.exe
C:\WINDOWS\system32\ubjut.exe
C:\WINDOWS\system32\jbjx.exe
C:\WINDOWS\system32\kqzyzey.exe
C:\WINDOWS\system32\kshozqh.exe
C:\WINDOWS\system32\tfpuwkjp.exe
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\system32\ttbm.exe
C:\WINDOWS\system32\qvkjjchn.exe
C:\WINDOWS\System32\jbjx.exe
C:\WINDOWS\System32\kqzyzey.exe
C:\WINDOWS\System32\qvkjjchn.exe
C:\WINDOWS\System32\sehrzuav.exe
C:\WINDOWS\System32\ttbm.exe
C:\WINDOWS\System32\ubjut.exe
C:\WINDOWS\System32\uurlhrf.exe
C:\WINDOWS\System32\vihesxbl.exe
C:\WINDOWS\System32\xfputea.exe
C:\WINDOWS\System32\fycg.exe
C:\WINDOWS\System32\htyqx.exe
C:\WINDOWS\System32\igszefc.exe
C:\WINDOWS\System32\lrmbz.exe
C:\WINDOWS\system32\eqvmou.exe
C:\WINDOWS\system32\hblbmgfz.exe

ensuite fais glisser le fichier texte sur combo.exe comme sur l'animation : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Dans la fenêtre qui suit, choisie l'option 1 puis valide
Patiente un peu, si le bureau disparait parfois durant le scan : c'est normal !
A la fin du scan, un rapport va s'afficher : poste le stp ( sinon il se situe dans ici : C:\ComboFix.txt )

2) Supprime sdfix qui se situe ici : C:\sdfix, puis retelécharge le

ensuite lance le en mode normal et choisis l'option 3 Download SAV32CLI (Sophos)
une fois le téléchargement terminé, il se lancera pour s'installer : clic sur ok
laisse le chemin par défaut un clic sur unzip pour décompresser l'archive
Sdfix va alors demander d'appuyer sur une touche pour commencer la désinfection : ne fait rien et ferme la fenêtre sdfix

3) Redemarre en mode sans échec avec invite de commande :

le bureau ne va pas apparaître, mais à la place tu auras une fenêtre noire (l'invite de commande) dans lequel tu devras taper une commande (à noter sur un bout de papier, en respectant les espaces : c'est très important ! ) pour lancer l'outil de désinfection:

C:\SAV32CLI\SAV32CLI -f -di -nc -nb -dn --stop-scan -idedir="C:\SDFix\IDE" -P="C:\SDFix\SophosReport.txt"

le scan se lancera : une confirmation sera demandé dès qu'un fichier infectieux sera détecté, appuyer sur la touche 'y' pour accepter.

Un rapport sera ensuite généré dans C:\SDFix\SophosReport.txt
Referme l'outil, puis dans la fenêtre noire, tapes :
%windir%\explorer.exe
et valides avec la touche [Entrée]
Ca aura pour effet de faire apparaître le bureau. .

Quand le bureau va réapparaitre, le pc sera encore en mode sans echec, relance alors sdfix et laisse-le nettoyer.

Poste ensuite les rapports: sdfix et C:\SDFix\SophosReport.txt

@+

Réponse 34 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

En mode sans échec après ton numéro 2, je n'obtiens pas l'invit de commande mais directement le bureau
J'ai refait la manip et avast a détecté encore des infections...

Que faire??

Réponse 35 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

pour info..le dossier SDFix et son dossier IDE est sur le bureau et pas sur C:
mais le dossier SAV32CLI est bien dans C:
Si on suit ta ligne de commande...est-ce que ça induit que SDFix\IDE est déjà présent dans C/ ou bien la ligne de commande va permettre de le générer dans C:\

si il faut que ça soit dans C:\ il faut peut-être que l'extraction des fichiers se fasse dans C:\ (parce que j'ai tout fait sur le bureau mais du coup j'ai un doute?!)

merci

Réponse 36 / 65

moe

Bonsoir lili37, green day :-)

Normalement il me semble que l'extraction d'sdfix propose par défaut la racine de ton DD et si tu veux que la commande donnée par Gren day fonctionne il faut impérativement soit :

Que le dossier Sdfix se trouve à la racine de ton disque, donc tu le déplace du bureau à C:\ (meilleure solution à mon avis)
ou
Que tu modifies la commande de cette façon :

C:\SAV32CLI\SAV32CLI -f -di -nc -nb -dn --stop-scan -idedir="C:\Documents and Settings\amélie\Bureau\IDE" -P="C:\Documents and Settings\amélie\Bureau\SophosReport.txt"

Afin de l'adapter à l'endroit ou tu as extrait SDFix et si "amelie" est bien ton compte d'utilisateur, bien sur sinon, tu adaptes :-)

Pour le mode sans echec avec invite de commande, est-ce qu'au redemarrage du pc, après avoir appuyé sur F8, tu as bien choisie cette option dans la liste ?

Si oui, est-ce que tu pourrais vérifier une chose ?

Menu Démarrer > exécuter et tape regedit
Dans la partie gauche de l'éditeur du registre, déploies à l'aide du '+' la clé suivante:

[+] HKEY_LOCAL_MACHINE
    
   [+] SYSTEM

      [+] CurrentControlSet

         [+] Control
 
            [+] SafeBoot

Clic sur le dossier Safeboot pour le mettre en surbrillance, puis dans la fenêtre de droite
double clic sur "AlternateShell"
Dis moi si dans la petite fenêtre qui s'ouvrira tu as bien cmd.exe, comme sur cette capture d'écran.

Bon courage

a+

Réponse 37 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

Salut vous 2

alors j'ai déplacé SDFix dans C:\ puis j'ai sélectionner l'invitation de commande en mode sans échec (ce que je n'avais pas fait avant!)

Voici les 3 rapports : ComboFix, SophosReport et SDFix. SDFix a été lancé en mode sans échec..mais pour terminer son scan, il a demandé de redémarrer et je l'ai laissé faire en mode normal (peut-être que c pas bien??)
merci

ComboFix 07-11-08.1 - amelie 2007-11-14 18:07:25.3 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.58 [GMT 1:00]Running from: C:\Documents and Settings\amelie\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\amelie\Bureau\CFScript.txt

FILE
C:\WINDOWS\logo1_.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\system32\eqvmou.exe
C:\WINDOWS\system32\fmlnpi.exe
C:\WINDOWS\System32\fycg.exe
C:\WINDOWS\system32\hblbmgfz.exe
C:\WINDOWS\System32\htyqx.exe
C:\WINDOWS\system32\htyqx.exe
C:\WINDOWS\System32\igszefc.exe
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\system32\jbjx.exe
C:\WINDOWS\System32\jbjx.exe
C:\WINDOWS\system32\kqzyzey.exe
C:\WINDOWS\System32\kqzyzey.exe
C:\WINDOWS\system32\kshozqh.exe
C:\WINDOWS\System32\lrmbz.exe
C:\WINDOWS\System32\qvkjjchn.exe
C:\WINDOWS\system32\qvkjjchn.exe
C:\WINDOWS\System32\sehrzuav.exe
C:\WINDOWS\system32\sehrzuav.exe
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\tfpuwkjp.exe
C:\WINDOWS\system32\ttbm.exe
C:\WINDOWS\System32\ttbm.exe
C:\WINDOWS\System32\ubjut.exe
C:\WINDOWS\system32\ubjut.exe
C:\WINDOWS\System32\uurlhrf.exe
C:\WINDOWS\system32\uurlhrf.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\System32\vihesxbl.exe
C:\WINDOWS\system32\vihesxbl.exe
C:\WINDOWS\System32\xfputea.exe
C:\WINDOWS\system32\xfputea.exe
C:\WINDOWS\zts2.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\fmlnpi.exe
C:\WINDOWS\System32\htyqx.exe
C:\WINDOWS\system32\jbjx.exe
C:\WINDOWS\System32\kqzyzey.exe
C:\WINDOWS\system32\kshozqh.exe
C:\WINDOWS\System32\qvkjjchn.exe
C:\WINDOWS\system32\sehrzuav.exe
C:\WINDOWS\system32\tfpuwkjp.exe
C:\WINDOWS\system32\ttbm.exe
C:\WINDOWS\System32\ubjut.exe
C:\WINDOWS\system32\uurlhrf.exe
C:\WINDOWS\System32\vihesxbl.exe
C:\WINDOWS\System32\xfputea.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-10-14 to 2007-11-14 ))))))))))))))))))))))))))))))))))))
.

2007-11-12 21:54 33,792 --a------ C:\WINDOWS\system32\rundll32.exe
2007-11-12 21:34 400,896 --a------ C:\WINDOWS\system32\cmd.exe
2007-11-08 19:02 <REP> d-------- C:\Documents and Settings\amelie\DoctorWeb
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\zts2.exe
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\rundll16.exe
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\rundl132.dll
2007-11-05 23:05 <REP> d-a------ C:\WINDOWS\logo1_.exe
2007-11-05 22:51 140,800 --a------ C:\WINDOWS\R.COM
2007-11-05 22:51 136,192 --a------ C:\WINDOWS\system32\T.COM
2007-11-05 17:51 <REP> d-------- C:\Downloads
2007-11-05 17:50 <REP> d-------- C:\Kaspersky
2007-11-04 11:47 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-04 10:47 <REP> d-------- C:\WINDOWS\ERUNT
2007-10-31 19:27 <REP> d-------- C:\Documents and Settings\amelie\Contacts
2007-10-31 19:23 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-31 17:49 <REP> d-------- C:\WINDOWS\$hf_mig$
2007-10-31 17:49 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-31 17:45 <REP> d-------- C:\WINDOWS\system32\bits
2007-10-31 17:43 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2007-10-31 17:43 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-10-31 17:43 331,776 --a--c--- C:\WINDOWS\system32\dllcache\winhttp.dll
2007-10-31 17:43 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-10-31 17:43 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2007-10-31 17:43 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2007-10-31 17:43 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-10-31 17:43 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2007-10-31 17:43 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-10-31 13:29 <REP> d-------- C:\WINDOWS\BDOSCAN8
2007-10-31 13:28 <REP> d-------- C:\Documents and Settings\amelie\UserData
2007-10-30 13:22 <REP> d-------- C:\Program Files\Yahoo!
2007-10-30 13:22 <REP> d-------- C:\Program Files\Common Files
2007-10-30 13:22 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Yahoo! Companion
2007-10-30 12:53 <REP> d-------- C:\Program Files\Sygate
2007-10-30 12:53 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2007-10-30 12:53 55,891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2007-10-30 12:53 18,518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2007-10-30 12:53 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2007-10-30 12:49 <REP> d-------- C:\Program Files\Navilog1
2007-10-29 22:44 <REP> d-------- C:\Documents and Settings\amelie\Application Data\Grisoft
2007-10-29 22:44 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-29 22:44 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-29 22:44 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-29 22:44 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-29 22:44 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-10-29 22:44 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-10-29 22:43 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2007-10-29 22:43 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-29 22:37 185,624 --a------ C:\WINDOWS\system32\iuengine.dll
2007-10-29 22:37 185,624 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
2007-10-29 19:12 20,648 -ra------ C:\WINDOWS\system32\drivers\netrcacm.sys
2007-10-29 17:37 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-10-29 17:30 <REP> d-------- C:\Program Files\CCleaner
2007-10-29 16:55 <REP> d-------- C:\Program Files\Hijackthis Version Française
2007-10-29 16:07 <REP> d-------- C:\Program Files\Alwil Software
2007-10-29 16:07 801,144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-10-29 16:07 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-10-29 16:07 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-10-29 16:07 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-10-29 16:07 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-10-29 16:07 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-10-29 16:07 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-10-25 10:26 53,248 --a------ C:\WINDOWS\bdoscandel.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-09 17:59 --------- d-----w C:\Program Files\Winamp
2007-11-08 22:04 --------- d-----w C:\Program Files\EndNote
2007-11-03 10:05 13,728 ----a-w C:\Documents and Settings\amelie\Application Data\wklnhst.dat
2007-10-30 09:05 135,168 ----a-w C:\WINDOWS\system32\sfc_os.dll
2007-10-10 06:39 --------- d-----w C:\Program Files\PDFCreator
2007-10-09 14:19 --------- d-----w C:\Documents and Settings\amelie\Application Data\AdobeUM
2007-10-09 13:57 --------- d-----w C:\Program Files\Fichiers communs\Adobe
.

((((((((((((((((((((((((((((( snapshot@2007-11-04_11.51.07,12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-03-18 09:29:20 496,376 ----a-w C:\WINDOWS\Fichiers d'installation de Windows Update\ie6setup.exe
- 2007-10-10 08:44:43 65,536 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\PM_Designer.exe
+ 2007-11-04 17:54:56 65,536 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\PM_Designer.exe
- 2007-10-10 08:44:43 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
+ 2007-11-04 17:54:55 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe
- 2007-10-10 08:44:43 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat_Standard.exe
+ 2007-11-04 17:54:56 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat_Standard.exe
- 2007-10-10 08:44:43 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Distiller.exe
+ 2007-11-04 17:54:56 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Distiller.exe
- 2007-10-10 08:44:43 7,278 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_ELEMENTS_DT.exe
+ 2007-11-04 17:54:56 7,278 ----a-r C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_ELEMENTS_DT.exe
- 2007-11-04 09:37:30 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-11-04 14:27:41 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-11-04 09:37:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2007-11-04 14:27:41 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"="C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" [2003-03-26 10:15]
"WinampAgent"="C:\Program Files\Winamp\Winampa.exe" [2002-04-26 18:53]
"Logitech Utility"="Logi_MwX.Exe" [2002-11-08 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"MMTray"="C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2002-05-20 19:51]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40]
"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 01:12]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 16:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-30 21:00]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-07-31 11:45]

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-10-09 15:04:18]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,\

R3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;C:\WINDOWS\System32\DRIVERS\FA312nd5.sys
S2 eusk2par;EUTRON SmartKey Parallel Driver;\??\C:\WINDOWS\System32\Drivers\eusk2par.sys
S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\System32\DRIVERS\netrcacm.sys
S3 TNET1130;IEEE 802.11g Wireless Cardbus/PCI Adapter;C:\WINDOWS\System32\DRIVERS\tnet1130.sys
S3 VNic;ULan Network Driver Module;C:\WINDOWS\System32\DRIVERS\VNic.sys

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-14 18:11:00
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************
.
Completion time: 2007-11-14 18:12:08
C:\ComboFix2.txt ... 2007-11-12 21:41
C:\ComboFix3.txt ... 2007-11-04 11:52
.
--- E O F ---

Sophos Anti-Virus
Version 4.23.0 [Win32/Intel]
Virus data version 4.23E, November 2007
Includes detection for 306046 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 09:04:01, System date 15 November 2007
Command line qualifiers are: -f -di - -nb --stop-scan

IDE directory is: C:\SDFix\IDE

Using IDE file tibs-tk.ide
Using IDE file sdbt-dib.ide
Using IDE file ircb-yu.ide
Using IDE file virut-q.ide
Using IDE file zlob-afn.ide
Using IDE file lineagcn.ide
Using IDE file virut-r.ide
Using IDE file div-a.ide
Using IDE file rbot-gve.ide
Using IDE file keyspy-r.ide
Using IDE file ircb-yw.ide
Using IDE file servu-ey.ide
Using IDE file bagdl-db.ide
Using IDE file rell-gen.ide
Using IDE file kukko-b.ide
Using IDE file delf-eyr.ide
Using IDE file bank-ejn.ide
Using IDE file delf-eyt.ide
Using IDE file dawin-a.ide
Using IDE file dr-x.ide
Using IDE file line-ch.ide
Using IDE file encpk-af.ide
Using IDE file feebs-bx.ide
Using IDE file zlobmi-c.ide
Using IDE file bifros-f.ide
Using IDE file chilin-a.ide
Using IDE file sbot-dij.ide
Using IDE file vblame-f.ide
Using IDE file flood-ii.ide
Using IDE file naplik-a.ide
Using IDE file agen-gep.ide
Using IDE file dlda-gen.ide
Using IDE file shipup-m.ide
Using IDE file dwnl-gen.ide
Using IDE file diazom-c.ide
Using IDE file behav147.ide
Using IDE file rbot-gul.ide
Using IDE file silfd-bc.ide
Using IDE file fujac-as.ide
Using IDE file poebo-mw.ide
Using IDE file encpk-bf.ide
Using IDE file feebs-c.ide
Using IDE file bank-ejk.ide
Using IDE file agen-geo.ide
Using IDE file stradle.ide
Using IDE file ircbo-yq.ide
Using IDE file agnt-gdz.ide
Using IDE file recto-a.ide
Using IDE file virtum-x.ide
Using IDE file bdoorahj.ide
Using IDE file feebs-b.ide
Using IDE file agen-geg.ide
Using IDE file injec-bu.ide
Using IDE file forbo-gt.ide
Using IDE file vetor-e.ide
Using IDE file unif-b.ide
Using IDE file drppr-rv.ide
Using IDE file rbot-gup.ide
Using IDE file vetor-g.ide
Using IDE file klone-n.ide
Using IDE file vbw-c.ide
Using IDE file rbot-gun.ide
Using IDE file virut-p.ide
Using IDE file vb-dxo.ide
Using IDE file fakev-ai.ide
Using IDE file mypis-b.ide
Using IDE file dloa-bex.ide
Using IDE file autoru-f.ide
Using IDE file qhostc.ide
Using IDE file mdro-bpx.ide
Using IDE file autorn-g.ide
Using IDE file smal-eko.ide
Using IDE file batkil-b.ide
Using IDE file bo2k-d.ide
Using IDE file vb-dxq.ide
Using IDE file jenny-a.ide
Using IDE file line-cg.ide
Using IDE file agen-gek.ide
Using IDE file alman-d.ide
Using IDE file zlob-afd.ide
Using IDE file bagle-ta.ide
Using IDE file gmin-a.ide
Using IDE file renos-ah.ide
Using IDE file rbot-guo.ide
Using IDE file sohan-am.ide
Using IDE file lpet-a.ide
Using IDE file pahati-a.ide
Using IDE file beha-154.ide
Using IDE file sdbo-die.ide
Using IDE file squatb-d.ide
Using IDE file tesla-a.ide
Using IDE file dwnl-gyi.ide
Using IDE file mediad-a.ide
Using IDE file rbot-gur.ide
Using IDE file rbot-guv.ide
Using IDE file vetor-f.ide
Using IDE file zl-afh.ide
Using IDE file conhk-ah.ide
Using IDE file seppuk-d.ide
Using IDE file tanto-f.ide
Using IDE file zlob-afi.ide
Using IDE file lcjump-b.ide
Using IDE file zlob-aff.ide
Using IDE file volage-d.ide
Using IDE file delf-eyn.ide
Using IDE file feardgen.ide
Using IDE file reapal-a.ide
Using IDE file netskybr.ide
Using IDE file vanbot-n.ide
Using IDE file dref-ar.ide
Using IDE file ranky-bd.ide
Using IDE file spywadas.ide
Using IDE file tmdrop-a.ide
Using IDE file tileb-kj.ide
Using IDE file allap-f.ide
Using IDE file pws-apa.ide
Using IDE file dorf-aa.ide
Using IDE file rbot-guj.ide
Using IDE file tileb-kl.ide
Using IDE file rival-b.ide
Using IDE file conho-ai.ide
Using IDE file look-ea.ide
Using IDE file dload-r.ide
Using IDE file dorf-ad.ide
Using IDE file beha-146.ide
Using IDE file spybt-od.ide
Using IDE file sdbt-din.ide
Using IDE file iframe-f.ide
Using IDE file maran-bc.ide
Using IDE file virut-s.ide
Using IDE file qqpa-apc.ide
Using IDE file bront-dp.ide
Using IDE file sdbo-dip.ide
Using IDE file agen-gfg.ide
Using IDE file ircbo-yz.ide
Using IDE file sonebo-c.ide
Using IDE file root-gen.ide
Using IDE file poisni-a.ide
Using IDE file anti-c.ide
Using IDE file mdro-bpy.ide
Using IDE file bifro-vd.ide
Using IDE file agen-gfn.ide
Using IDE file agen-gfo.ide
Using IDE file mabeza-a.ide
Using IDE file poebo-na.ide
Using IDE file renos-al.ide
Using IDE file zlob-afw.ide
Using IDE file modzon-a.ide
Using IDE file wazner-a.ide
Using IDE file bkdoor-c.ide
Using IDE file agen-gfq.ide
Using IDE file hupig-su.ide
Using IDE file sdbo-dis.ide
Using IDE file delf-eyx.ide
Using IDE file dloa-bfg.ide
Using IDE file tibs-tm.ide
Using IDE file ircbo-za.ide
Using IDE file sdbo-dit.ide
Using IDE file wixud-b.ide
Using IDE file dorf-ag.ide
Using IDE file vbdrop-d.ide
Using IDE file gmredi-a.ide
Using IDE file rbot-gvc.ide

Invalid option '-'

The following options may be prefixed with 'n' to invert their meaning
(for example, '-nsc' is the inverse of '-sc'). [*] indicates the option
is the default:

-sc [*] : Scan dynamically compressed executables
-f [ ] : Full scan
-extensive [ ] : Scan complete contents of files
-di [ ] : Disinfect infected items
-s [*] : Run silently (do not list files swept)
-c [*] : Ask for confirmation before disinfection/deletion
-b [*] : Sound bell on virus detection
-all [ ] : Scan all files
-rec [*] : Do recursive scan
-remove [ ] : Remove infected objects
-dn [ ] : Display file names as they are scanned
-ss [ ] : Don't display anything except on error or virus
-eec [ ] : Use extended error codes
-ext=XXX,.. : Specify additional extensions to Sophos Anti-Virus
-p=<file> : Write to logfile <file>
-idedir=<dir> : Read IDEs from alternative directory
-exclude : Exclude the following objects from scanning
-include : Include the following objects in scanning
(use after -exclude)
-v : Display complete version information
-vv : Display complete version information and details on
extensions and archive types supported
-h : Display this help and exit

The following options are related to archives and other special file types:

-zip [ ] : Scan inside ZIP archives
-gzip [ ] : Scan inside GZIP compressed files
-arj [ ] : Scan inside ARJ archives
-cmz [ ] : Scan inside Unix-compressed files
-tar [ ] : Scan inside TAR archives
-rar [ ] : Scan inside RAR archives
-archive [ ] : All of the above
-cab [ ] : Scan inside Microsoft Cabinet files
-loopback [ ] : Scan inside loopback-type files
-mime [ ] : Scan files encoded in MIME format
-oe [ ] : Scan Microsoft Outlook Express mailbox files
(requires -mime)
-tnef [ ] : Scan inside TNEF files
-pua [ ] : Scan for adware/PUAs
-suspicious [ ] : Scan for suspicious files

The following options may be prefixed with 'no-' to invert their meaning
(for example, '--no-reset-atime' is the inverse of '--reset-atime'. [*]
indicates the option is the default:

--reset-atime [*] : Reset file access time after scanning
--stop-scan [*] : Abort scanning of files such as 'zip bombs'
which require excessive amounts of time,
disk space or memory to scan
--show-file-details [ ] : Show file ownership and permissions when
displaying filenames

The following options are Windows-specific, and may be prefixed with 'n'
to invert their meaning (for example, '-nmbr' is the inverse of '-mbr').

-mbr [ ] : Scan master boot records on all hard disks
-bs=X,... [ ] : Scan boot sector of each drive listed
-mac [ ] : Scan for Macintosh viruses
-cdr=X,... [ ] : Scan boot sector in bootable image of each CD drive listed

SDFix: Version 1.114

Run by amelie on 15/11/2007 at 09:09

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 09:19:15
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

C:\Documents and Settings\amelie\Local Settings\Application Data\Microsoft\Messenger\laurent_amelie@hotmail.com\SharingMetadata\planetegagnante@hotmail.fr\DFSR\Staging\CS{483A18CC-D500-DCCC-5D0F-5CBCA883C96E}\01\10-{483A18CC-D500-DCCC-5D0F-5CBCA883C96E}-v1-{A0E70EC5-DD64-40D4-9CBA-19E7259634F6}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\amelie\Local Settings\Application Data\Microsoft\Messenger\laurent_amelie@hotmail.com\SharingMetadata\planetegagnante@hotmail.fr\DFSR\Staging\CS{483A18CC-D500-DCCC-5D0F-5CBCA883C96E}\11\11-{5AFC47C0-B367-423E-9887-E64391D66DCC}-v11-{A0E70EC5-DD64-40D4-9CBA-19E7259634F6}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 25770 bytes hidden from API
C:\Documents and Settings\amelie\Local Settings\Application Data\Microsoft\Messenger\laurent_amelie@hotmail.com\SharingMetadata\planetegagnante@hotmail.fr\DFSR\Staging\CS{483A18CC-D500-DCCC-5D0F-5CBCA883C96E}\11\11-{5AFC47C0-B367-423E-9887-E64391D66DCC}-v11-{A0E70EC5-DD64-40D4-9CBA-19E7259634F6}-v11-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 2856 bytes hidden from API
C:\Documents and Settings\amelie\Local Settings\Application Data\Microsoft\Messenger\laurent_amelie@hotmail.com\SharingMetadata\planetegagnante@hotmail.fr\DFSR\Staging\CS{483A18CC-D500-DCCC-5D0F-5CBCA883C96E}\12\12-{5AFC47C0-B367-423E-9887-E64391D66DCC}-v12-{A0E70EC5-DD64-40D4-9CBA-19E7259634F6}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 25158 bytes hidden from API
C:\Documents and Settings\amelie\Local Settings\Application Data\Microsoft\Messenger\laurent_amelie@hotmail.com\SharingMetadata\planetegagnante@hotmail.fr\DFSR\Staging\CS{483A18CC-D500-DCCC-5D0F-5CBCA883C96E}\12\12-{5AFC47C0-B367-423E-9887-E64391D66DCC}-v12-{A0E70EC5-DD64-40D4-9CBA-19E7259634F6}-v12-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 2792 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 5

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

Files with Hidden Attributes:

Mon 14 Feb 2005 266 ..SH. --- "C:\BOOT.BAK"
Tue 30 Aug 2005 201 ..SHR --- "C:\GDM\Program\EDUAR01.690\CCONTROL.SYS"
Tue 17 Oct 2006 304,736 A..H. --- "C:\Program Files\Canon\MP Navigator 3.0\Maint.exe"
Tue 17 Oct 2006 61,440 A..H. --- "C:\Program Files\Canon\MP Navigator 3.0\uinstrsc.dll"
Wed 19 Jan 2005 32,256 A..H. --- "C:\Documents and Settings\amelie\Mes documents\sites\stjul\~WRL3035.tmp"
Mon 8 Aug 2005 64,512 A..H. --- "C:\Documents and Settings\amelie\Mes documents\these\Ecrits\Tours_geotechnique\~WRL0730.tmp"
Fri 3 Jun 2005 22,528 A..H. --- "C:\Documents and Settings\amelie\Mes documents\these\Ecrits\Tours_geotechnique\~WRL1613.tmp"
Mon 8 Aug 2005 69,120 A..H. --- "C:\Documents and Settings\amelie\Mes documents\these\Ecrits\Tours_geotechnique\~WRL1667.tmp"
Mon 8 Aug 2005 36,864 A..H. --- "C:\Documents and Settings\amelie\Mes documents\these\Ecrits\Tours_geotechnique\~WRL3714.tmp"

Finished!

Réponse 38 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

Et j'ai bien cmd.exe mais en fait je l'avais copié de mon PC fixe puisqu'il avait disparu à cause du vers!!

Réponse 39 / 65

moe

Bonjour Lili37

Tu as bien fait de laisser redemarrer SDFIx, ça lui permet de pouvoir finaliser un éventuel nettoyage en cas d'infection détectées.

Bon, apparement il y a eu un problème avec l'outil Sophos et le scan n'a pas pu se faire je pense, d'après le rapport.
Dans la commande que tu as uilisée, tu as mis un tiret de trop :-) :
-f -di - -nb --stop-scan

Pas grave, en attendant le retour de green day, voilà ce que tu peux faire :

Rend visible les fichiers cachés et système (les deux)
Démarrer > Panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant "Afficher les fichiers et dossiers cachés "
Décocher la case devant "Masquer les extentions des fichiers dont le type est connu"
Décocher la case devant "Masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

Puis recherche et supprime ces fichiers s'ils sont présent :

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

Ensuite, rends toi sur Virustotal afin de faire analyser ces deux fichiers :
https://www.virustotal.com/gui/

C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM

Pour uploader un fichier à faire analyser tu as deux possibilités:
- Soit dans le champs "Parcourir" tu copie et colle le chemin complet du fichier et tu clic sur "Envoyer le fichier"
- Soit tu clic sur le bouton "Parcourir" et tu te déplace dans l'arborescence en suivant le chemin du fichier, jusqu'à le trouver.
Selectionne le, valide et clic ensuite sur "Envoyer le fichier"

Une fois l'analyse terminé, surligne le résultat, copies-le et colles-le dans un fichier txt que tu sauvegardera ensuite.
Fais la même chose pour le second fichier, et poste les deux rapports sur le forum.

Enfin pour terminer :-), relance SDFix, ne redemarre pas en mode sans échec, reste en mode normal et choisies l'option 3: Download\Run SAV32CLI

L'outil va vérifier si des IDE plus récentes sont dispo et les télécharger\installer le cas échéant.
Dans la fenêtre suivante qui apparaitra, SDFix va te proposer plusieurs options de scans, là tu devras choisir l'option 5 :
- Run Full scan/Disinfect
Cette option permet en cas d'infection d'exécutables, de pouvoir les réparer, si possible bien sur, plutôt que de supprimer le fichier en question.
Poste ensuite le rapport qui aura été sauvegardé dans C:\SDFix\SophosReport.txt

Bonne continuation !

Réponse 40 / 65

lili37 Messages postés 120 Date d'inscription Statut Membre Dernière intervention 1

ok je n'ai pas vérifer ce matin avant de partir au taf..mais qu'est-ce que je fais si je n'ai pas réccupéré Internet Explorer avec ces dernières manip? j'installe firefox?
(Sinon, je suis dégoutée d'avoir mis le tiret...grrr)

parce que je ne vais pas pourvoir aller sur virustotal.com ...

merci

Discussions similaires

Colis en cours de transport vers votre site de livraison ?

il est en cours de transport vers votre site de livraison

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport

le site de distribution

écrire un rapport de travail

Votre réponse

Discussions similaires