Sujet Précédent Sujet Suivant

Adware et cheval de troie

bumapy Messages postés 29 Statut Membre -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

Pouvez vous m'aider s'il vous plait, je ne sais plus quoi faire.

j'ai comme anti virus Avast, ce dernier n'arrête pas de me mettre une alerte car il a trouvé des virus :

voici ce qu'il a trouvé :

Un adware a été trouvé

Nom du fichier : C:\System Volume Information\_restore{E14F4984-17B4-4788-A2F4-EF28757FF3C4}\RP275\A0046157.dll

Nom du logiciel malveillant : Win32:Vundo-gen55 [Adw]

Type de logiciel malveillant : Adware

Version VPS : 071103-0, 03/11/2007

Un cheval de Troie a été trouvé :

Nom du fichier : C:\DOCUME~1\nathalie\LOCALS~1\Temp\cnynphjm.dll\[UPX]

Nom du logiciel malveillant : Win32:Trojano-1165 [Trj]

Type de logiciel malveillant : Cheval de Troie

Version VPS : 071103-0, 03/11/2007

que dois je faire ??

Merci d'avance pour vos explications.

Configuration: Windows XP
A voir également:

43 réponses

Précédent
Réponse 21 / 43
bumapy Messages postés 29 Statut Membre
 
voici le 2ème fichier

Fichier ddccbxu.dll reçu le 2007.11.06 21:48:02 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 15/32 (46.88%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 5.
L'heure estimée de démarrage est entre 56 et 81 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.7.0 2007.11.06 -
AntiVir 7.6.0.30 2007.11.06 ADSPY/Virtumond.G.2
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.06 Generic8.EGJ
BitDefender 7.2 2007.11.06 -
CAT-QuickHeal 9.00 2007.11.06 AdWare.Virtumonde.wv (Not a Virus)
ClamAV 0.91.2 2007.11.06 -
DrWeb 4.44.0.09170 2007.11.06 Trojan.Virtumod.206
eSafe 7.0.15.0 2007.11.06 -
eTrust-Vet 31.2.5270 2007.11.05 Win32/Chisyne.CO
Ewido 4.0 2007.11.06 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 W32/Heuristic-162!Eldorado
F-Secure 6.70.13030.0 2007.11.06 -
Ikarus T3.1.1.12 2007.11.06 not-a-virus:AdWare.Win32.Virtumonde.aex
Kaspersky 7.0.0.125 2007.11.06 not-a-virus:AdWare.Win32.Virtumonde.aex
McAfee 5157 2007.11.06 -
Microsoft 1.3007 2007.11.06 Trojan:Win32/Conhook.B
NOD32v2 2642 2007.11.06 Win32/Adware.Virtumonde
Norman 5.80.02 2007.11.06 W32/Virtumonde.IHF
Panda 9.0.0.4 2007.11.06 Spyware/Virtumonde
Prevx1 V2 2007.11.06 -
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2007.11.06 -
Symantec 10 2007.11.06 -
TheHacker 6.2.9.117 2007.11.06 -
VBA32 3.12.2.4 2007.11.06 Application.Win32.Adware.Virtumonde
VirusBuster 4.3.26:9 2007.11.06 -
Webwasher-Gateway 6.0.1 2007.11.06 Ad-Spyware.Virtumond.G.2
Information additionnelle
File size: 23552 bytes
MD5: fa255a684c085f419cf3e31d6298179e
SHA1: cea05ef1c00c0db25a8e69a515fd5239ae60a533
packers: Klone.AF
0
Réponse 22 / 43
bumapy Messages postés 29 Statut Membre
 
fichier C:\WINDOWS\system32\awtspqo.dll_old introuvable
0
Réponse 23 / 43
bumapy Messages postés 29 Statut Membre
 
et voici le der

Fichier cuuoelim.dll reçu le 2007.11.06 21:59:41 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 17/32 (53.13%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 43 et 62 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.11.7.0 2007.11.06 Win-Trojan/Conhook.83008
AntiVir 7.6.0.30 2007.11.06 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.11.05 -
Avast 4.7.1074.0 2007.11.05 -
AVG 7.5.0.503 2007.11.06 Generic8.EGL
BitDefender 7.2 2007.11.06 Trojan.Vundo.DNW
CAT-QuickHeal 9.00 2007.11.06 -
ClamAV 0.91.2 2007.11.06 -
DrWeb 4.44.0.09170 2007.11.06 -
eSafe 7.0.15.0 2007.11.06 -
eTrust-Vet 31.2.5270 2007.11.05 Win32/Vundo.EY
Ewido 4.0 2007.11.06 -
FileAdvisor 1 2007.11.06 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.06 W32/Virtumonde.MW
F-Secure 6.70.13030.0 2007.11.06 Vundo.gen42
Ikarus T3.1.1.12 2007.11.06 Trojan.Vundo.DNW
Kaspersky 7.0.0.125 2007.11.06 -
McAfee 5157 2007.11.06 -
Microsoft 1.3007 2007.11.06 Trojan:Win32/Vundo.K
NOD32v2 2642 2007.11.06 Win32/Adware.Virtumonde
Norman 5.80.02 2007.11.06 Vundo.gen42
Panda 9.0.0.4 2007.11.06 Spyware/Virtumonde
Prevx1 V2 2007.11.06 Trojan.Vundo
Rising 20.17.12.00 2007.11.06 -
Sophos 4.23.0 2007.11.06 Troj/ConHa-Gen
Sunbelt 2.2.907.0 2007.11.06 -
Symantec 10 2007.11.06 Trojan.Vundo
TheHacker 6.2.9.117 2007.11.06 Adware/Virtumonde.wy
VBA32 3.12.2.4 2007.11.06 -
VirusBuster 4.3.26:9 2007.11.06 -
Webwasher-Gateway 6.0.1 2007.11.06 Trojan.Dldr.ConHook.Gen
Information additionnelle
File size: 83008 bytes
MD5: 42372fba0ba90be898edf1c4324da63a
SHA1: 584bbe78e3048586611d523d0b54a17160b189cf
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=40D5F3C7407A420B44A6018197E44C00F5A3E1E5
0
Réponse 24 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

ouvre Spybot.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"
==============================================
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\system32\oimnfljy.dll
C:\WINDOWS\system32\ssqpplbl.dll
C:\WINDOWS\system32\cuuoelim.dll
C:\Documents and Settings\nathalie\Application Data\wklnhst.dat
C:\WINDOWS\system32\jlkkj.bak2
C:\WINDOWS\system32\jlkkj.bak2
C:\WINDOWS\system32\pmnkljh.dll
C:\WINDOWS\system32\ddccbxu.dll

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c4b7b4e8-d9d4-447e-9c43-e24c14c84a65}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccbxu]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkljh]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"c4da863a"=-

Enregistre ce fichier sous le nom CFscrïpt

Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe comme sur la capture

http://img.photobucket.com/albums/v666/sUBs/CFscrïpt.gif

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Poste le dans ta réponse.

==============================================

Attention : cette procédure a été écrite spécialement pour cet ordi. Tout réutilisation peut causer des dommages graves à votre ssystème.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 43
bumapy Messages postés 29 Statut Membre
 
Bonsoir,

j'ai crée mon fichier texte CFscrïpt par contre je ne vois pas ta capture d'image

que dois je donc faire

merci pour ta réponse
0
Réponse 26 / 43
bumapy Messages postés 29 Statut Membre
 
ah au fait merci pour ton explication, j'ai reussit à désactive le tea-timer de Spoybot
0
Réponse 27 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

il faut que l'icône du CFscript et de Combofix soient sur le bureau.

Tu cliques sur CFscript. Tu maintiens le doigt enfoncé et tu déplaces la souris pour mettre l'icône de CFscript sur l'icone de combofix. La, tu relaches.

Tu cliques sur exécutersur laa fenêtre qui s'ouvre.

Poste le nouveau rapport de Combofix.
0
Réponse 28 / 43
bumapy Messages postés 29 Statut Membre
 
je n'y arrive pas il ne se passe rien du tout à part que je crées des copies du fichier ou alors que le fihcier combofix se déplace en bas
0
Réponse 29 / 43
bumapy Messages postés 29 Statut Membre
 
sauf si cela à marché

ComboFix 07-11-05.2 - nathalie 2007-11-05 21:03:16.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.173 [GMT 1:00]
Running from: C:\Documents and Settings\nathalie\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\nathalie\Bureau\internet.lnk
C:\Documents and Settings\nathalie\Menu Démarrer\Programmes\InternetGameBox
C:\Documents and Settings\nathalie\Menu Démarrer\Programmes\InternetGameBox\Conditions générales.lnk
C:\Documents and Settings\nathalie\Menu Démarrer\Programmes\InternetGameBox\Confidentialité.lnk
C:\Documents and Settings\nathalie\Menu Démarrer\Programmes\InternetGameBox\InternetGameBox.lnk
C:\Documents and Settings\nathalie\Menu Démarrer\Programmes\InternetGameBox\Website.lnk
C:\Program Files\internetgamebox
C:\Program Files\internetgamebox\Conditions générales.url
C:\Program Files\internetgamebox\Confidentialité.url
C:\Program Files\internetgamebox\InternetGameBox.exe
C:\Program Files\internetgamebox\language
C:\Program Files\internetgamebox\ressources\configv2_en.xml
C:\Program Files\internetgamebox\ressources\configv2_es.xml
C:\Program Files\internetgamebox\ressources\configv2_fr.xml
C:\Program Files\internetgamebox\skins\skinv2.skn
C:\Program Files\internetgamebox\uninst.exe
C:\Program Files\internetgamebox\Website.url
C:\WINDOWS\cookies.ini
C:\WINDOWS\pack.epk
C:\WINDOWS\system32\__c003F439.dat
C:\WINDOWS\system32\__c0065CAC.dat
C:\WINDOWS\system32\__c00748A5.dat
C:\WINDOWS\system32\__c008DDF1.dat
C:\WINDOWS\system32\__c00911DE.dat
C:\WINDOWS\system32\__c00A4A5C.dat
C:\WINDOWS\system32\__c00B57AC.dat
C:\WINDOWS\system32\__c00B71E7.dat
C:\WINDOWS\system32\__c00BFFDA.dat
C:\WINDOWS\system32\__c00CDF05.dat
C:\WINDOWS\system32\__c00ED126.dat
C:\WINDOWS\system32\achgwgwq.dll
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\aybeg.ini
C:\WINDOWS\system32\bqpqbytf.dll
C:\WINDOWS\system32\bwphtbud.dll
C:\WINDOWS\system32\cygnfuip.dll
C:\WINDOWS\system32\ddbbpvlu.dll
C:\WINDOWS\system32\dklmyrmp.dll
C:\WINDOWS\system32\fcyiqctf.dll
C:\WINDOWS\system32\fgjlm.bak1
C:\WINDOWS\system32\fgjlm.bak2
C:\WINDOWS\system32\fgjlm.ini
C:\WINDOWS\system32\fwpruacv.dll
C:\WINDOWS\system32\gjkmp.bak1
C:\WINDOWS\system32\gjkmp.ini
C:\WINDOWS\system32\hapoewsl.dll
C:\WINDOWS\system32\jjkmp.bak1
C:\WINDOWS\system32\jjkmp.ini2
C:\WINDOWS\system32\jjkmp.tmp
C:\WINDOWS\system32\kjkkj.bak1
C:\WINDOWS\system32\kjkkj.bak2
C:\WINDOWS\system32\kjkkj.ini
C:\WINDOWS\system32\lnnmp.bak1
C:\WINDOWS\system32\lnnmp.bak2
C:\WINDOWS\system32\lnnmp.ini
C:\WINDOWS\system32\lrdbogsb.dll
C:\WINDOWS\system32\ltwjyri.dat
C:\WINDOWS\system32\ltwjyri.exe
C:\WINDOWS\system32\ltwjyri_nav.dat
C:\WINDOWS\system32\ltwjyri_navps.dat
C:\WINDOWS\system32\mevajnam.dll
C:\WINDOWS\system32\mmllm.bak1
C:\WINDOWS\system32\mmllm.ini
C:\WINDOWS\system32\mtxhpgen.dll
C:\WINDOWS\system32\pqtss.bak1
C:\WINDOWS\system32\pqtss.ini
C:\WINDOWS\system32\pqtwa.bak1
C:\WINDOWS\system32\pqtwa.bak2
C:\WINDOWS\system32\pqtwa.ini
C:\WINDOWS\system32\prqss.bak1
C:\WINDOWS\system32\prqss.ini
C:\WINDOWS\system32\qliyogmf.dll
C:\WINDOWS\system32\rdeleead.dll
C:\WINDOWS\system32\rovbmrmx.dll
C:\WINDOWS\system32\rrutv.bak1
C:\WINDOWS\system32\rrutv.ini
C:\WINDOWS\system32\rtstv.bak1
C:\WINDOWS\system32\rtstv.ini
C:\WINDOWS\system32\sbfacxgd.dll
C:\WINDOWS\system32\sstbxjyc.dll
C:\WINDOWS\system32\tbvrygni.dll
C:\WINDOWS\system32\tttss.bak1
C:\WINDOWS\system32\tttss.bak2
C:\WINDOWS\system32\tttss.ini
C:\WINDOWS\system32\ttutv.bak1
C:\WINDOWS\system32\ttutv.bak2
C:\WINDOWS\system32\ttutv.ini
C:\WINDOWS\system32\tybdgnof.dll
C:\WINDOWS\system32\uvvwa.bak1
C:\WINDOWS\system32\uvvwa.bak2
C:\WINDOWS\system32\uvvwa.ini
C:\WINDOWS\system32\vppqhgeg.dll
C:\WINDOWS\system32\ycbeg.bak1
C:\WINDOWS\system32\ycbeg.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-05 to 2007-11-05 ))))))))))))))))))))))))))))))))))))
.

2007-11-05 21:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-03 21:53 458,752 --a------ C:\WINDOWS\system32\NMTracer.dll
2007-11-03 21:53 11,561 --a------ C:\WINDOWS\system32\drivers\nmconpid.sys
2007-11-03 21:42 <REP> d-------- C:\VundoFix Backups
2007-11-03 18:00 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2007-11-03 18:00 <REP> d-------- C:\Documents and Settings\nathalie\Application Data\SUPERAntiSpyware.com
2007-11-03 18:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2007-11-03 17:59 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-03 17:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-03 13:19 <REP> d-------- C:\Program Files\Trend Micro
2007-11-03 12:03 81,472 --a------ C:\WINDOWS\system32\oimnfljy.dll
2007-11-02 16:34 82,496 --a------ C:\WINDOWS\system32\ssqpplbl.dll
2007-10-25 17:34 <REP> d-------- C:\Program Files\Yahoo!
2007-10-25 17:34 <REP> d-------- C:\Program Files\CCleaner
2007-10-19 19:20 407,680 --a------ C:\aswclnr.exe
2007-10-19 17:10 83,008 --a------ C:\WINDOWS\system32\cuuoelim.dll
2007-10-14 17:45 <REP> d-------- C:\Documents and Settings\nathalie\Application Data\Apple Computer
2007-10-13 18:12 <REP> d-------- C:\Program Files\Apple Software Update
2007-10-13 18:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-05 19:59 13,788 ----a-w C:\Documents and Settings\nathalie\Application Data\wklnhst.dat
2007-11-03 16:34 --------- d-----w C:\Program Files\Google
2007-11-03 15:46 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-24 12:15 --------- d-----w C:\Documents and Settings\nathalie\Application Data\Delivery
2007-10-13 23:33 --------- d-----w C:\Program Files\Java
2007-09-30 09:12 --------- d-----w C:\Program Files\eMule
2007-09-26 14:38 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-09-26 07:21 6,480 --sh--w C:\WINDOWS\system32\jlkkj.bak2
2007-09-18 16:17 --------- d-----w C:\Program Files\GameSpy Arcade
2007-09-09 13:21 23,552 ----a-w C:\WINDOWS\system32\pmnkljh.dll
2007-09-08 08:54 23,552 ----a-w C:\WINDOWS\system32\ddccbxu.dll
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-24 16:27 85,288 ----a-w C:\Documents and Settings\nathalie\Application Data\GDIPFONTCACHEV1.DAT
2005-05-11 21:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c4b7b4e8-d9d4-447e-9c43-e24c14c84a65}]
2007-11-03 12:03 81472 --a------ C:\WINDOWS\system32\oimnfljy.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-09-11 02:29]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-09-11 02:27]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-18 22:56]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2004-10-22 11:18]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 17:47]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 17:37]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 22:12]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 11:41]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 05:07]
"c4da863a"="C:\WINDOWS\system32\cuuoelim.dll" [2007-10-19 17:10]
"OpiStat"="C:\Program Files\OpiStat\OpiStat\OpiStat.exe" [2006-01-19 00:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" []
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2007-01-22 10:11]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07]
"RoboForm"="C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2007-10-05 19:32]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccbxu]
ddccbxu.dll 2007-09-08 09:54 23552 C:\WINDOWS\system32\ddccbxu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkljh]
pmnkljh.dll 2007-09-09 14:21 23552 C:\WINDOWS\system32\pmnkljh.dll

R1 nmconpid;nmconpid;C:\WINDOWS\system32\drivers\nmconpid.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-10-13 17:12:46 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-05 21:07:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe??????????3????|?????? ???B?????????????H<C? ??????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-05 21:08:24 - machine was rebooted
.
--- E O F ---
0
Réponse 30 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

relance combofix simplement et poste le rapport.
0
Réponse 31 / 43
bumapy Messages postés 29 Statut Membre
 
j'ai relancé à l'instant combofix et voici le rapport

ComboFix 07-11-05.2 - nathalie 2007-11-08 22:19:30.2 - NTFSx86
Running from: C:\Documents and Settings\nathalie\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini

.
((((((((((((((((((((((((((((( Fichiers créés 2007-10-08 to 2007-11-08 ))))))))))))))))))))))))))))))))))))
.

2007-11-06 21:04 <REP> d-------- C:\WINDOWS\ERUNT
2007-11-05 21:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-03 21:53 458,752 --a------ C:\WINDOWS\system32\NMTracer.dll
2007-11-03 21:53 11,561 --a------ C:\WINDOWS\system32\drivers\nmconpid.sys
2007-11-03 21:42 <REP> d-------- C:\VundoFix Backups
2007-11-03 18:00 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2007-11-03 18:00 <REP> d-------- C:\Documents and Settings\nathalie\Application Data\SUPERAntiSpyware.com
2007-11-03 18:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2007-11-03 17:59 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-03 17:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-03 13:19 <REP> d-------- C:\Program Files\Trend Micro
2007-11-03 12:03 81,472 --a------ C:\WINDOWS\system32\oimnfljy.dll
2007-11-02 16:34 82,496 --a------ C:\WINDOWS\system32\ssqpplbl.dll
2007-10-25 17:34 <REP> d-------- C:\Program Files\Yahoo!
2007-10-25 17:34 <REP> d-------- C:\Program Files\CCleaner
2007-10-19 19:20 407,680 --a------ C:\aswclnr.exe
2007-10-19 17:10 83,008 --a------ C:\WINDOWS\system32\cuuoelim.dll
2007-10-14 17:45 <REP> d-------- C:\Documents and Settings\nathalie\Application Data\Apple Computer
2007-10-13 18:12 <REP> d-------- C:\Program Files\Apple Software Update
2007-10-13 18:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-05 20:12 13,788 ----a-w C:\Documents and Settings\nathalie\Application Data\wklnhst.dat
2007-11-03 16:34 --------- d-----w C:\Program Files\Google
2007-11-03 15:46 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-24 12:15 --------- d-----w C:\Documents and Settings\nathalie\Application Data\Delivery
2007-10-13 23:33 --------- d-----w C:\Program Files\Java
2007-09-30 09:12 --------- d-----w C:\Program Files\eMule
2007-09-26 14:38 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-09-26 07:21 6,480 --sh--w C:\WINDOWS\system32\jlkkj.bak2
2007-09-18 16:17 --------- d-----w C:\Program Files\GameSpy Arcade
2007-09-09 13:21 23,552 ----a-w C:\WINDOWS\system32\pmnkljh.dll
2007-09-08 08:54 23,552 ----a-w C:\WINDOWS\system32\ddccbxu.dll
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-24 16:27 85,288 ----a-w C:\Documents and Settings\nathalie\Application Data\GDIPFONTCACHEV1.DAT
2005-05-11 21:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

((((((((((((((((((((((((((((( snapshot@2007-11-05_21.07.37.07 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-03 17:46:48 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2007-11-06 20:05:22 4,472,832 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2007-11-06 20:05:22 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-11-03 17:46:48 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2007-11-06 20:05:06 4,472,832 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2007-11-06 20:05:06 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2007-11-05 20:05:18 52,962 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-11-08 19:41:09 52,962 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-11-05 20:05:18 63,812 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-11-08 19:41:09 63,812 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-11-05 20:05:18 380,548 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-11-08 19:41:09 380,548 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-11-05 20:05:18 445,254 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-11-08 19:41:09 445,254 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-11-08 17:11:51 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5d0.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c4b7b4e8-d9d4-447e-9c43-e24c14c84a65}]
2007-11-03 12:03 81472 --a------ C:\WINDOWS\system32\oimnfljy.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-09-11 02:29]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-09-11 02:27]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-18 22:56]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2004-10-22 11:18]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 17:47]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 17:37]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 22:12]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 11:41]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 05:07]
"c4da863a"="C:\WINDOWS\system32\cuuoelim.dll" [2007-10-19 17:10]
"OpiStat"="C:\Program Files\OpiStat\OpiStat\OpiStat.exe" [2006-01-19 00:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" []
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2007-01-22 10:11]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07]
"RoboForm"="C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2007-10-05 19:32]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-11 23:49:24]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 22:23:26]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2007-01-22 10:11:59]
LUMIX Simple Viewer.lnk - C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2007-03-06 19:42:26]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddccbxu]
ddccbxu.dll 2007-09-08 09:54 23552 C:\WINDOWS\system32\ddccbxu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pmnkljh]
pmnkljh.dll 2007-09-09 14:21 23552 C:\WINDOWS\system32\pmnkljh.dll

R1 nmconpid;nmconpid;C:\WINDOWS\system32\drivers\nmconpid.sys

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-10-13 17:12:46 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-08 22:20:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe???????????????|?????? ???B?????????????H<C? ??????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-08 22:21:24
.
--- E O F ---
0
Réponse 32 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

il faut arriver à lancer combofix avec le fichier.

Tu cliques sur le fichier, tu laisse le doigt enfoncé.

Le fichier se déplace quand tu bouges la souris ?

Si tu relaches la souris, il se refixe sur le bureau ?

Emmene le sur l'icône de combofix.

Relache le doigt.

Combofix va démarrer, suis les instructions.

poste le rapport à la fin.
0
Réponse 33 / 43
bumapy Messages postés 29 Statut Membre
 
bonsoir, j'ai réussit,

voici le rapport de combofix

ComboFix 07-11-05.2 - nathalie 2007-11-11 17:51:41.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.194 [GMT 1:00]
Running from: C:\Documents and Settings\nathalie\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\nathalie\Bureau\CFscript.txt
* Created a new restore point

FILE::
C:\Documents and Settings\nathalie\Application Data\wklnhst.dat
C:\WINDOWS\system32\cuuoelim.dll
C:\WINDOWS\system32\ddccbxu.dll
C:\WINDOWS\system32\jlkkj.bak2
C:\WINDOWS\system32\oimnfljy.dll
C:\WINDOWS\system32\pmnkljh.dll
C:\WINDOWS\system32\ssqpplbl.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\nathalie\Application Data\wklnhst.dat
C:\WINDOWS\system32\cuuoelim.dll
C:\WINDOWS\system32\ddccbxu.dll
C:\WINDOWS\system32\jlkkj.bak2
C:\WINDOWS\system32\oimnfljy.dll
C:\WINDOWS\system32\pmnkljh.dll
C:\WINDOWS\system32\ssqpplbl.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-11 to 2007-11-11 ))))))))))))))))))))))))))))))))))))
.

2007-11-06 21:04 <REP> d-------- C:\WINDOWS\ERUNT
2007-11-05 21:02 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-03 21:53 458,752 --a------ C:\WINDOWS\system32\NMTracer.dll
2007-11-03 21:53 11,561 --a------ C:\WINDOWS\system32\drivers\nmconpid.sys
2007-11-03 21:42 <REP> d-------- C:\VundoFix Backups
2007-11-03 18:00 <REP> d-------- C:\Program Files\SUPERAntiSpyware
2007-11-03 18:00 <REP> d-------- C:\Documents and Settings\nathalie\Application Data\SUPERAntiSpyware.com
2007-11-03 18:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2007-11-03 17:59 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2007-11-03 17:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-03 13:19 <REP> d-------- C:\Program Files\Trend Micro
2007-10-25 17:34 <REP> d-------- C:\Program Files\Yahoo!
2007-10-25 17:34 <REP> d-------- C:\Program Files\CCleaner
2007-10-19 19:20 407,680 --a------ C:\aswclnr.exe
2007-10-14 17:45 <REP> d-------- C:\Documents and Settings\nathalie\Application Data\Apple Computer
2007-10-13 18:12 <REP> d-------- C:\Program Files\Apple Software Update
2007-10-13 18:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-03 16:34 --------- d-----w C:\Program Files\Google
2007-11-03 15:46 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-24 12:15 --------- d-----w C:\Documents and Settings\nathalie\Application Data\Delivery
2007-10-13 23:33 --------- d-----w C:\Program Files\Java
2007-09-30 09:12 --------- d-----w C:\Program Files\eMule
2007-09-26 14:38 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-09-18 16:17 --------- d-----w C:\Program Files\GameSpy Arcade
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-24 16:27 85,288 ----a-w C:\Documents and Settings\nathalie\Application Data\GDIPFONTCACHEV1.DAT
2005-05-11 21:36 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
.

((((((((((((((((((((((((((((( snapshot@2007-11-05_21.07.37.07 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-03 17:46:48 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2007-11-06 20:05:22 4,472,832 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2007-11-06 20:05:22 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-11-03 17:46:48 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2007-11-06 20:05:06 4,472,832 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2007-11-06 20:05:06 147,456 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2007-11-05 20:05:18 52,962 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-11-11 16:14:50 52,962 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-11-05 20:05:18 63,812 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-11-11 16:14:50 63,812 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-11-05 20:05:18 380,548 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-11-11 16:14:50 380,548 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-11-05 20:05:18 445,254 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-11-11 16:14:50 445,254 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-11-11 16:54:21 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5c4.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 13:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 13:00]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-09-11 02:29]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-09-11 02:27]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-18 22:56]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2004-10-22 11:18]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 17:47]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 17:37]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 22:12]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 11:41]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-04-13 05:07]
"OpiStat"="C:\Program Files\OpiStat\OpiStat\OpiStat.exe" [2006-01-19 00:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" []
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2007-01-22 10:11]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07]
"RoboForm"="C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2007-10-05 19:32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

R1 nmconpid;nmconpid;C:\WINDOWS\system32\drivers\nmconpid.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-10-13 17:12:46 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 17:54:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe??????????3????|?@???? ???B?????????????H<C? ??????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-11 17:55:41 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-08 22:21
.
--- E O F ---
0
Réponse 34 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Remets aussi un rapport Hijackthis.

Comment se porte l'ordi .?
0
Réponse 35 / 43
bumapy Messages postés 29 Statut Membre
 
Bonsoir, voici le rapport TCleaner

-->- Recherche:

C:\Vundofix backups: trouvé !
C:\SdFix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\nathalie\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\nathalie\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\nathalie\Bureau\VirtumundoBeGone.exe: trouvé !
C:\Documents and Settings\nathalie\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\nathalie\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\nathalie\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\nathalie\Bureau\HijackThis: trouvé !
C:\Documents and Settings\nathalie\Bureau\SdFix: trouvé !
C:\Documents and Settings\nathalie\Bureau\hijackthis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\WINDOWS\Erunt: trouvé !
C:\WINDOWS\ERUNT\SdFix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\nathalie\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\nathalie\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\nathalie\Bureau\VirtumundoBeGone.exe: supprimé !
C:\Documents and Settings\nathalie\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\nathalie\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\nathalie\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\nathalie\Bureau\hijackthis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Vundofix backups: supprimé !
C:\SdFix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\nathalie\Bureau\HijackThis: supprimé !
C:\Documents and Settings\nathalie\Bureau\SdFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\WINDOWS\Erunt: supprimé !
0
Réponse 36 / 43
bumapy Messages postés 29 Statut Membre
 
voici le rapport Hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06, on 13/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\OpiStat\OpiStat\OpiStat.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Documents and Settings\nathalie\Application Data\Delivery\DeliveryManager.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mediafibre.com/mentions.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [OpiStat] C:\Program Files\OpiStat\OpiStat\OpiStat.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Startup: DeliveryManager.lnk = C:\Documents and Settings\nathalie\Application Data\Delivery\DeliveryManager.EXE
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
0
Réponse 37 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour

connais tu DeliveryManager.EXE

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\nathalie\Application Data\Delivery\DeliveryManager.EXE
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Tu sembles ne pas avoir de parefeu contrôlant les connexions sortantes, ce qui est un risque de sécurité.

Si c'est le cas tu as le choix entre ces deux possibilités :

Zone Alarm Tuto et lien de téléchargement ici :
https://www.malekal.com/tutoriel-zonealarm-firewall/

Kerio Tuto et lien de téléchargement ici :
http://www.malekal.com/kerio_firewall.php

Il y en a d'autres que tu peux trouver en ouvrant ce lien :
http://www.malekal.com/menu_tutorials_logiciels.php

Il faut que tu désactives le parefeu de Windows (panneau de configuration, parefeu de Windows) après le téléchargement et avant l'installation (déconnecte toi du Net à ce moment là).
0
Réponse 38 / 43
bumapy Messages postés 29 Statut Membre
 
HELP HELP HELP je ne peux plus redemarrer mon ordi en mode normal, je dois le démarrer en mode sans échec que dois je faire

merci pour votre aide
0
Réponse 39 / 43
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

que s'est il passé entre mardi 20h08 et aujourd'hui 20h20 ?

Que se passe t-il quand tu essaye de démarrer normalement ?

Tu démarres en mode sans échec ?

Sur ta session et la session Administrateur ?
0
Réponse 40 / 43
bumapy Messages postés 29 Statut Membre
 
j'ai rien fait de particulier. L'ordi fonctionné super bien après avoir fait la manip avec ToolsCleaner puis le rapport Hijackthis.

ce matin au démarrage je vois la page Windows XP il a l'air de se télécharger normalement puis 2 voir 3 minutes plus tard on a une page bleu marine vide puis l'écran devient blanc complètement vide.

J'ai donc pensé redemarrer en mode sans échec comme je l'avais appris lors d'une manip pou chasser le virus.

Si je démarre normalement il se passe ce que je t'ais décrit plus haut, en mode sans échec l'ordi fonctionne normalement sur ma session , pas essayé en mode administrateur

dois je essayer en plus j'ai la souris qui bouge toute seule ???
0

Discussions similaires

adware.pokki
SuperFun -
SuperFun -

9 réponses
Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses