Ordi infesté

Résolu
joelle -  
chrifleur Messages postés 1099 Statut Contributeur -
Bonjour,
je ne sais plus comment faire : mon ordi est infesté par des pubs genre : brandarama, virus scan, virus pro 2000 etc, il rame grave et je ne peux pas visiter un site sans être inerrompue ou alors tout s'éteint...merci de me dire ce que je dois faire : attention je ne suis pas une pro...
Configuration: Windows XP
Internet Explorer 6.0

17 réponses

  1. chrifleur Messages postés 1099 Statut Contributeur 18
     
    télécharge et installe le logiciel HijackThis
    https://www.pcastuces.com/logitheque/hijackthis.htm
    tuto pour l’utiliser
    regarde ici c'est parfaitement expliqué en images
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Clique sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Clique sur navilog1.zip pour télécharger navilog1
    Choisis Enregistrer

    et enregistre-le sur ton bureau.

    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le bloc note.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    0
    1. joelle
       
      Bonjour,
      qu'est ce que veut dire MP à la fin de votre message : je ne réponds pas aux demandes pr MP???
      je vais télécharger hijackthis mais il va falloir m'aider parce que je suis vriament novice...
      Merci à l'avance
      0
  2. joelle
     
    cela veut dire quoi "je ne réponds pas aux demandes par MP" MP =?????
    0
  3. joelle
     
    impossible d'installer navilog1. mon ordi ne veut pas, ensuite j'ai cliqué sur le raccourci et idem. Merci de me dire ce que je dois faire
    0
  4. chrifleur Messages postés 1099 Statut Contributeur 18
     
    tu es sous XP ou Vista?

    la phrase finale indique que je réponds pas aux demandes de désinfection par Messages Privés (cela arrive parfois), car sur un forum, on désinfecte sur le forum
    0
    1. joelle
       
      ok, alors je continue à répondre par le forum mais je reçois le mme message sur ma boite mail alors je réponds aussi ! doublon? sûrement mais tant pis au moins je suis sûre que tu aies les messages que j'envoie!
      donc sous xp, mais j'ai peut-être mal installé hijackThis, il est sur mon bureau mais comme tout est en anglais je me suis (je pense ) trompée en l'installation, j'ai aussi installé spybot ce matin.....
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. chrifleur Messages postés 1099 Statut Contributeur 18
     
    normal que tu reçoives le message sur ta boîte mail, c'est pour t'aviser de la réponse...
    on va faire autrement
    télécharge GenProc de Lazzzy et Narco4 sur ton bureau
    http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
    1. joelle
       
      Re,
      je ne sais pas si tu as eu le dernier message envoyé car mon ordi rame un max et c'est hyper pénible...j'ai de fenêtres d'alerte qui n'arrêtent pas de s'ouvrir etc....même pour "poster" un message dans le forum j'ai systèmatiquement une page pub sur le maroc qui s'affiche....et de ce fait mon ordi s'arrête et repart...
      j'espère que j'ai bien fait la manip du "dézipage" car je ne sais mme pas ce que cela veut dire !
      Merci pour ton aide
      Rapport GenProc 0.72 [1] effectué le 10/11/2007 à 15:28:16,50 - SystemRoot = C:\WINDOWS

      # Etape 1/ Télécharge :

      - CCleaner https://www.ccleaner.com/ccleaner/download
      Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

      - VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

      - combofix.exe (par [b]sUBs[/b]) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau


      ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Propriétaire") *****


      # Etape 2/

      * Double-clique VundoFix.exe afin de le lancer
      Clique sur le bouton Scan for Vundo
      Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
      Une invite te demandera si tu veux supprimer les fichiers, clique YES
      Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
      Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

      Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

      * Double clique [b]combofix.exe[/b].
      Tape sur la touche Y (Yes) pour démarrer le scan.
      Lorsque le scan sera complété, un rapport apparaîtra

      # Etape 3/

      Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

      # Etape 4/

      Redémarre normalement et poste :
      - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
      - Le contenu du rapport situé dans C:\vundofix.txt ;
      - Le contenu du rapport situé dans C:\Combofix.txt ;


      Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
      0
  7. joelle
     
    Re bonjour,
    voilà ci-après le bloc notes de genproc.txt ....
    Rapport GenProc 0.72 [1] effectué le 10/11/2007 à 15:28:16,50 - SystemRoot = C:\WINDOWS

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

    - combofix.exe (par [b]sUBs[/b]) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

    ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://docs.microsoft.com/en-us/?mfr=true (choisis ta session courante "Propriétaire") *****

    # Etape 2/

    * Double-clique VundoFix.exe afin de le lancer
    Clique sur le bouton Scan for Vundo
    Lorsque le scan est complété, clique sur le bouton "Remove Vundo"
    Une invite te demandera si tu veux supprimer les fichiers, clique YES
    Après avoir cliqué Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

    * Double clique [b]combofix.exe[/b].
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste :
    - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
    - Le contenu du rapport situé dans C:\vundofix.txt ;
    - Le contenu du rapport situé dans C:\Combofix.txt ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  8. chrifleur Messages postés 1099 Statut Contributeur 18
     
    désolée, pas d'internet hier....
    fais très exactement ce que te demande GenProc et poste les rapports obtenus
    0
    1. joelle2259
       
      voilà rapport vundofix et combofix....
      ComboFix 07-11-08.1 - Propriétaire 2007-11-11 17:53:38.1 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.80 [GMT 1:00]
      Running from: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
      * Created a new restore point
      .

      Incapable d'obtenir les privilèges Système


      Beginning removal...

      VundoFix V6.5.11

      Checking Java version...

      Sun Java not detected
      Scan started at 16:42:02 11/11/2007

      Listing files found while scanning....

      C:\WINDOWS\System32\hyykwsjp.ini
      C:\WINDOWS\System32\pjswkyyh.dll

      VundoFix V6.5.11

      Checking Java version...

      Sun Java not detected
      Scan started at 17:36:50 11/11/2007

      Listing files found while scanning....

      C:\windows\system32\cvyjwvrg.dll
      C:\windows\system32\ffaqndxm.dll
      C:\windows\system32\grvwjyvc.ini
      C:\WINDOWS\System32\hyykwsjp.ini
      C:\windows\system32\kpwuvrls.ini
      C:\windows\system32\mtiohcew.dll
      C:\windows\system32\mxdnqaff.ini
      C:\WINDOWS\System32\pjswkyyh.dll
      C:\windows\system32\slrvuwpk.dll
      C:\WINDOWS\System32\tmp4.tmp.dll
      C:\windows\system32\wechoitm.ini
      C:\WINDOWS\System32\yayywxw.dll

      Beginning removal...

      Attempting to delete C:\windows\system32\cvyjwvrg.dll
      C:\windows\system32\cvyjwvrg.dll Has been deleted!

      Attempting to delete C:\windows\system32\ffaqndxm.dll
      C:\windows\system32\ffaqndxm.dll Has been deleted!

      Attempting to delete C:\windows\system32\grvwjyvc.ini
      C:\windows\system32\grvwjyvc.ini Has been deleted!

      Attempting to delete C:\WINDOWS\System32\hyykwsjp.ini
      C:\WINDOWS\System32\hyykwsjp.ini Has been deleted!

      Attempting to delete C:\windows\system32\kpwuvrls.ini
      C:\windows\system32\kpwuvrls.ini Has been deleted!

      Attempting to delete C:\windows\system32\mtiohcew.dll
      C:\windows\system32\mtiohcew.dll Has been deleted!

      Attempting to delete C:\windows\system32\mxdnqaff.ini
      C:\windows\system32\mxdnqaff.ini Has been deleted!

      Attempting to delete C:\windows\system32\slrvuwpk.dll
      C:\windows\system32\slrvuwpk.dll Has been deleted!

      Attempting to delete C:\WINDOWS\System32\tmp4.tmp.dll
      C:\WINDOWS\System32\tmp4.tmp.dll Has been deleted!

      Attempting to delete C:\windows\system32\wechoitm.ini
      C:\windows\system32\wechoitm.ini Has been deleted!

      Performing Repairs to the registry.
      Done!

      Toujours impossible de lancer hijackthis mon antivirus neuf ne l'autorise pas !
      0
  9. chrifleur Messages postés 1099 Statut Contributeur 18
     
    quel antivirus?
    combofix n'a pas fonctionné?

    fais ceci
    Télécharge SDFix sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    Redémarre ton ordinateur en mode sans échec
    Comment aller en Mode sans échec lettre C
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.bat
    Appuie sur Y pour commencer le nettoyage.
    Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer.
    Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,
    0
    1. joelle2259
       
      mon anti virus qui va avec ma neuf boxe !
      je fais ce que tu me dis et je t'envoie le rapport.
      0
    2. joelle2259
       
      voilà le rapport, lors du redémarrage j'ai eu droit au message suivant : erreur de chargement de c/windows/system32/djoevrgo.dll Le module spécifié est introuvable. j'ai juste cliqué sur ok car je ne savais pas quoi faire.

      SDFix: Version 1.114

      Run by Propriétaire on 2007-11-11 at 21:52

      Microsoft Windows XP [version 5.1.2600]

      Running From: C:\SDFix

      Safe Mode:
      Checking Services:


      Restoring Windows Registry Values
      Restoring Windows Default Hosts File

      Rebooting...


      Normal Mode:
      Checking Files:

      Trojan Files Found:

      C:\WINDOWS\system32\TFTP1352 - Deleted



      Removing Temp Files...

      ADS Check:

      C:\WINDOWS
      No streams found.

      C:\WINDOWS\system32
      No streams found.

      C:\WINDOWS\system32\svchost.exe
      No streams found.

      C:\WINDOWS\system32\ntoskrnl.exe
      No streams found.



      Final Check:

      catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2007-11-11 21:58:52
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...
      0
    3. joelle2259
       
      Au fait j'ai enfin hijackThis en icône sur le bureau, je l'ai lancé mais ensuite quelles sont les cases que je dois cocher pour le scan????
      mais j'ai aussi d'autres icones comme : catchme ....je les laisse????
      0
  10. chrifleur Messages postés 1099 Statut Contributeur 18
     
    on a avancé..encore un peu
    fais ceci, il devrait fonctionner maintenant...
    Télécharge combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Double clique combofix.exe.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    ...Télécharge : http://ww25.evosla.com/pca_cpt.php?agr=pca_securite de Evosla

    Décompresse le sur ton " Bureau "
    Lance l'analyse (en haut à gauche) --- enregistre le rapport généré (en bas à droite)
    Le rapport va etre positionné sur ton bureau " PCA_LOG.txt " --->publie le dans ta prochaine réponse

    à demain matin pour la suite
    0
  11. chrifleur Messages postés 1099 Statut Contributeur 18
     
    tu ne coches rien
    tu copies colles le rapport ici sur le forum
    fais combofix aussi
    tu laisses les icônes pour le moment, tu les supprimeras en fin de nettoyage
    à demain, je vais dormir car demain je me lève tôt...
    0
    1. joelle2259
       
      ok à vos ordres chef! voilà les deux rapports demandés et à demain...


      ComboFix 07-11-08.1 - Propriétaire 2007-11-11 22:38:14.2 - NTFSx86
      Running from: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe
      .

      Incapable d'obtenir les privilèges Système


      # PCA Sécurité V 1.0.2, (fichier LOG).
      # Rapport du :2007-11-11 22:36:23
      Microsoft Windows XP Service Pack 2

      ==>> Processus <==
      \SystemRoot\System32\smss.exe
      \??\C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
      C:\Program Files\Pack Securite\Common\FSMA32.EXE
      C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Pack Securite\Common\FSMB32.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Pack Securite\Common\FCH32.EXE
      C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
      C:\Program Files\Pack Securite\Common\FAMEH32.EXE
      C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe
      C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
      C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
      C:\Program Files\Pack Securite\FSPC\fspc.exe
      C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe
      C:\Program Files\Pack Securite\Common\FSM32.EXE
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\SOINTGR.EXE
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
      C:\Documents and Settings\Propriétaire\Bureau\pca\pca.exe

      //pages de démarrage et de recherche d'Internet Explorer
      RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://www.medion.com/
      RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = http://neufportail.fr/
      RO - HKCU\Software\Microsoft\Internet Explorer\Toolbar\LinksFolderName = Liens
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      //applications lancées depuis system.ini,win.ini
      //03 - Browser Helper Objects (BHOs)
      02 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      02 - BHO: - {2d40aa46-27a1-4804-a890-0b82fb3021f1} - C:\WINDOWS\system32\xdbnlggm.dll
      02 - BHO: - {439faf94-bbce-484c-ae8d-79c224ccabb2} - C:\WINDOWS\system32\kbdonf.dll
      02 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      02 - BHO: - {9A9A95B5-7CE2-4B37-8DC9-8030D13685B2} -
      02 - BHO: - {AC32E213-D656-4EAE-84E5-152AE13DED4F} - C:\WINDOWS\System32\gebyv.dll
      02 - BHO: - {DFEEE3CD-1FD0-4CCF-9B6E-DAB6B919471A} -
      //04 - applications chargées automatiquement
      04 - HKLM\..\RUN: [F-Secure Manager] - "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
      04 - HKLM\..\RUN: [F-Secure TNB] - "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
      04 - HKLM\..\RUN: [Share-to-Web Namespace Daemon] - C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      04 - HKLM\..\RUN: [7c3a0d46] - rundll32.exe "C:\WINDOWS\system32\djoevrgo.dll",b
      04 - HKLM\..\RUN: [SoundMan] - SOUNDMAN.EXE
      04 - HKLM\..\RUN: [SO5 Integrator Pass Two] - C:\WINDOWS\SOINTGR.EXE
      04 - HKLM\..\RUN: [SiSUSBRG] - C:\WINDOWS\SiSUSBrg.exe
      04 - HKLM\..\RUN: [QuickTime Task] - "C:\Program Files\QuickTime\qttask.exe" -atboottime
      04 - HKLM\..\RUN: [nwiz] - nwiz.exe /install
      04 - HKLM\..\RUN: [NvCplDaemon] - RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      04 - HKLM\..\RUN: [NeroCheck] - C:\WINDOWS\System32\\NeroCheck.exe
      04 - HKLM\..\RUN: [HPDJ Taskbar Utility] - C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      04 - HKLM\..\RUN: [OfficeWord Monitor ] - C:\WINDOWS\System32\msn32.exe
      04 - HKLU\..\RUN: [SpybotSD TeaTimer] - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      04 - HKUS\S-1-5-18\..\RUN: [CTFMON.EXE] - "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
      04 - HKUS\S-1-5-19\..\RUN: [CTFMON.EXE] - "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
      04 - HKUS\S-1-5-20\..\RUN: [CTFMON.EXE] - "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
      04 - HKUS\S-1-5-21-3689853989-414440772-572454927-1003\..\RUN: [SpybotSD TeaTimer] - "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
      04 - Global Startup: Logiciel Kodak EasyShare.lnk= C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk
      //05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
      //06- interdiction à l' accès au options (Internet Explorer)
      //07 - blocage de l'exécution de Regedit
      //08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
      //09 - boutons situés sur la barre d'outils principale d'Internet Explorer
      09 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
      09 - Extra 'Tools' menuitem: - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
      09 - Extra button: - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
      09 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
      09 - Extra button: - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      09 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      09 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      09 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      //O10 - Pirates de Winsock
      //O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
      //O12 - IE plugins
      //013 : DefaultPrefix
      //014 - Option : (Rétablir les paramètres Web)
      //015 - Zone de confiance d'Internet Explorer
      //O16 - Objets ActiveX
      O16 - DPF : - DirectAnimation Java Classes -
      O16 - DPF : - Microsoft XML Parser for Java -
      O16 - DPF : - {33564D57-9980-0010-8000-00AA00389B71} -
      O16 - DPF : Shockwave Flash Object - {D27CDB6E-AE6D-11CF-96B8-444553540000} - C:\WINDOWS\System32\Macromed\Flash\Flash9d.ocx
      //O17 - piratage de domaine Lop.com
      //O18 - protocoles additionnels
      O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
      O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
      //O19 - feuille de style de l'utilisateur
      //O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
      //O21 - ShellServiceObjectDelayLoad
      //O22 - SharedTaskScheduler
      O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\System32\browseui.dll
      O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\System32\browseui.dll
      //O23 - services de XP,NT, 2000, et 2003
      O23 - Service: [Service de la passerelle de la couche Application] -
      O23 - Service: [Gestionnaire de l'Album] - %SystemRoot%\system32\clipsrv.exe
      O23 - Service: [Application système COM+] - C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
      O23 - Service: [FSGKHS] - "C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe"
      O23 - Service: [F-Secure Automatic Update Agent] - "C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe"
      O23 - Service: [F-Secure Anti-Virus Firewall Daemon] - "C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe"
      O23 - Service: [FSMA] - "C:\Program Files\Pack Securite\Common\FSMA32.EXE"
      O23 - Service: [Service COM de gravage de CD IMAPI] -
      O23 - Service: [Partage de Bureau à distance NetMeeting] - C:\WINDOWS\System32\mnmsrvc.exe
      O23 - Service: [Distributed Transaction Coordinator] - C:\WINDOWS\System32\msdtc.exe
      O23 - Service: [NVIDIA Driver Helper Service] - %SystemRoot%\System32\nvsvc32.exe
      O23 - Service: [Gestionnaire de session d'aide sur le Bureau à distance] - C:\WINDOWS\system32\sessmgr.exe
      O23 - Service: [Localisateur d'appels de procédure distante (RPC)] - %SystemRoot%\System32\locator.exe
      O23 - Service: [QoS RSVP] - %SystemRoot%\System32\rsvp.exe
      O23 - Service: [Spouleur d'impression] - %SystemRoot%\system32\spoolsv.exe
      O23 - Service: [MS Software Shadow Copy Provider] - C:\WINDOWS\System32\dllhost.exe /Processid:{F79569D9-0BB0-4BCC-BC5F-A58426E9C3F7}
      O23 - Service: [Journaux et alertes de performance] - %SystemRoot%\system32\smlogsvc.exe
      O23 - Service: [Uninterruptible Power Supply] - %SystemRoot%\System32\ups.exe
      O23 - Service: [Cliché instantané de volume] - %SystemRoot%\System32\vssvc.exe
      O23 - Service: [Carte de performance WMI] - C:\WINDOWS\System32\wbem\wmiapsrv.exe
      0
  12. chrifleur Messages postés 1099 Statut Contributeur 18
     
    bonjour
    es tu administrateur de ton PC?
    0
    1. joelle2259 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      bonjour,
      oui (enfin je me suis ouvert une deuxième cession mais je suis admin des deux)
      0
  13. chrifleur Messages postés 1099 Statut Contributeur 18
     
    que se passe t il quand tu lances Combofix?
    le rapport fourni est incomplet...

    désactive le tea timer de spybot, tu le réactiveras en fin de désinfection
    lance spybot/outils/résident/decoche la case "résident tea timer"

    Relance Vundofix

    http://www.atribune.org/ccount/click.php?id=4

    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\system32\xdbnlggm.dll
    C:\WINDOWS\system32\kbdonf.dll
    C:\WINDOWS\System32\gebyv.dll
    C:\WINDOWS\system32\djoevrgo.d

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaître dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    · Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis (ou PCA si tu ne peux pas lancer hijack this)

    0
    1. joelle2259 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      voilà , ça pas été facile pour spybot car je n'avais pas le bon mode ! heureusement qu'il y a les faq pour nous aider !

      rapport Vundofix

      Beginning removal...

      Attempting to delete C:\WINDOWS\system32\xdbnlggm.dll
      C:\WINDOWS\system32\xdbnlggm.dll Has been deleted!

      Performing Repairs to the registry.
      Done!

      Rapport HijackThis
      Logfile of HijackThis v1.99.1
      Scan saved at 15:53, on 2007-11-12
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
      C:\Program Files\Pack Securite\Common\FSMA32.EXE
      C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Pack Securite\Common\FSMB32.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Pack Securite\Common\FCH32.EXE
      C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe
      C:\Program Files\Pack Securite\Common\FAMEH32.EXE
      C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe
      C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
      C:\Program Files\Pack Securite\FSPC\fspc.exe
      C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
      C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Pack Securite\Common\FSM32.EXE
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\WINDOWS\SOINTGR.EXE
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
      C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe
      C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://neufportail.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: {1f1203bf-28b0-098a-4084-1a7264aa04d2} - {2d40aa46-27a1-4804-a890-0b82fb3021f1} - C:\WINDOWS\system32\xdbnlggm.dll (file missing)
      O2 - BHO: (no name) - {439faf94-bbce-484c-ae8d-79c224ccabb2} - C:\WINDOWS\system32\kbdonf.dll (file missing)
      O2 - BHO: (no name) - {9A9A95B5-7CE2-4B37-8DC9-8030D13685B2} - (no file)
      O2 - BHO: (no name) - {AC32E213-D656-4EAE-84E5-152AE13DED4F} - (no file)
      O2 - BHO: (no name) - {DFEEE3CD-1FD0-4CCF-9B6E-DAB6B919471A} - (no file)
      O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
      O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
      O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
      O4 - HKLM\..\Run: [7c3a0d46] rundll32.exe "C:\WINDOWS\system32\djoevrgo.dll",b
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
      O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
      O4 - HKLM\..\Run: [OfficeWord Monitor ] C:\WINDOWS\System32\msn32.exe
      O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
      O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
      O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
      O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O10 - Unknown file in Winsock LSP: c:\program files\pack securite\fsps\program\fslsp.dll
      O20 - Winlogon Notify: kbdonf - kbdonf.dll (file missing)
      O20 - Winlogon Notify: yayywxw - yayywxw.dll (file missing)
      O23 - Service: Service de la passerelle de la couche Application (ALG) - Unknown owner - cmd.exe (file missing)
      O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe
      O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
      O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe
      O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

      j'ai bien regardé le copié/collé est entier, il n'y a rien d'autre sur le rapport et j'ai toujours le même message de démarrage eid : erreur de chargement de c/Windows\system32\djoevrgo.dll est introuvalbe
      0
  14. chrifleur Messages postés 1099 Statut Contributeur 18
     
    tu ne vas plus l'avoir désormais en faisant ceci
    lance hijack this pour un scan et coche les lignes suivantes
    O2 - BHO: {1f1203bf-28b0-098a-4084-1a7264aa04d2} - {2d40aa46-27a1-4804-a890-0b82fb3021f1} - C:\WINDOWS\system32\xdbnlggm.dll (file missing)
    O2 - BHO: (no name) - {439faf94-bbce-484c-ae8d-79c224ccabb2} - C:\WINDOWS\system32\kbdonf.dll (file missing)
    O2 - BHO: (no name) - {9A9A95B5-7CE2-4B37-8DC9-8030D13685B2} - (no file)
    O2 - BHO: (no name) - {AC32E213-D656-4EAE-84E5-152AE13DED4F} - (no file)
    O2 - BHO: (no name) - {DFEEE3CD-1FD0-4CCF-9B6E-DAB6B919471A} - (no file)
    O4 - HKLM\..\Run: [7c3a0d46] rundll32.exe "C:\WINDOWS\system32\djoevrgo.dll",b
    O4 - HKLM\..\Run: [OfficeWord Monitor ] C:\WINDOWS\System32\msn32.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
    O20 - Winlogon Notify: kbdonf - kbdonf.dll (file missing)
    O20 - Winlogon Notify: yayywxw - yayywxw.dll (file missing)
    ferme toutes tes aplications y compris internet et clique sur fix checked

    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
    http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    clic double sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.

    C:\WINDOWS\system32\djoevrgo.dll

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.
    poste le rapport obtenu et un nouveau hijack this
    et dis ou tu en es de tes soucis...
    0
    1. joelle2259
       
      Bonjour,
      j'ai fait ce que tu m'as dit mais pas cela ne fonctionne pas sur OTMovelt, j'ai entré la ligne concernant djoevrgo mais il me dit C:\WINDOWS\system32\djoevrgo.dll est introuvalbe !
      0
  15. chrifleur Messages postés 1099 Statut Contributeur 18
     
    c'est bien, je voulais m'assuer qu'il avait bien été supprimé
    maintenant fais ceci
    faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur j’accepte
    La fenêtre change encore, clique sur scanner
    Les signatures se chargent, etc.

    tuto en image
    http://pageperso.aol.fr/rginformatique/mapage/defender.htm
    0
    1. joelle2259
       
      BitDefender Online Scanner - Rapport virus en temps réel



      Généré à: Tue, Nov 13, 2007 - 23:30:07


      --------------------------------------------------------------------------------





      Info d'analyse



      Fichiers scannés
      158141

      Infectés Fichiers
      14








      Virus Détectés



      Trojan.Agent.AFOB
      1

      Trojan.Conhook.CX
      2

      Trojan.Generic.65053
      2

      Trojan.Juan.AD
      2

      Adware.Virtumonde.GHB
      7










      --------------------------------------------------------------------------------



      Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.
      0
    2. joelle2259
       
      General]
      App = "BitDefender Online Scanner v8"
      Date = 13:11:2007
      Time = 23:25:28
      Scan Path = A:\;C:\;D:\;E:\;F:\;G:\;

      [Engines Info]
      Virus Definitions = 870829
      Engine build = "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
      Scan plugins = 14
      Archive plugins = 38
      Unpack plugins = 7
      E-mail plugins = 6
      System plugins = 1

      [Scan Statistics]
      Folders = 3059
      Files = 154975
      Archives = 6521
      Packed files = 11240
      Identified viruses = 5
      Infected files = 14
      Warnings = 0
      Suspect files = 0
      Disinfected files = 0
      Deleted files = 14
      Copied files = 0
      Moved files = 0
      Renamed files = 0
      I/O Errors = 76

      [Scan Settings]
      SecondAction = Delete
      FirstAction = Disinfect
      Heuristics = 1
      Enable Warnings = 1
      Exclude Ext =
      Extensions = *;
      Scan Emails = 1
      Scan Archives = 1
      Scan Packed = 1
      Scan Files = 1
      Scan Boot = 1
      Verify Memory = 0

      [Scan Results]
      Line00000044 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\gebyv.dll Détecté avec: Adware.Virtumonde.GHB"
      Line00000043 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\gebyv.dll Echec de la désinfection"
      Line00000042 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\gebyv.dll Supprimé"
      Line00000041 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\gebyv.dll.1 Détecté avec: Adware.Virtumonde.GHB"
      Line00000040 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\gebyv.dll.1 Echec de la désinfection"
      Line00000039 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\gebyv.dll.1 Supprimé"
      Line00000038 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\__c00C6006.dat Infecté par: Trojan.Generic.65053"
      Line00000037 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\__c00C6006.dat Echec de la désinfection"
      Line00000036 = "C:\Documents and Settings\Propriétaire\Bureau\catchme\__c00C6006.dat Supprimé"
      Line00000035 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>__c00C6006.dat Infecté par: Trojan.Generic.65053"
      Line00000034 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>__c00C6006.dat Echec de la désinfection"
      Line00000033 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>__c00C6006.dat Supprimé"
      Line00000032 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip Mis à jour"
      Line00000031 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>gebyv.dll Détecté avec: Adware.Virtumonde.GHB"
      Line00000030 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>gebyv.dll Echec de la désinfection"
      Line00000029 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>gebyv.dll Supprimé"
      Line00000028 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip Mis à jour"
      Line00000027 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>gebyv.dll.1 Détecté avec: Adware.Virtumonde.GHB"
      Line00000026 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>gebyv.dll.1 Echec de la désinfection"
      Line00000025 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip=>gebyv.dll.1 Supprimé"
      Line00000024 = "C:\Documents and Settings\Propriétaire\Bureau\catchme.zip Mis à jour"
      Line00000023 = "C:\qoobox\Quarantine\C\Documents and Settings\Propriétaire\Application Data\tmp4.tmp.exe.vir Infecté par: Trojan.Juan.AD"
      Line00000022 = "C:\qoobox\Quarantine\C\Documents and Settings\Propriétaire\Application Data\tmp4.tmp.exe.vir Echec de la désinfection"
      Line00000021 = "C:\qoobox\Quarantine\C\Documents and Settings\Propriétaire\Application Data\tmp4.tmp.exe.vir Supprimé"
      Line00000020 = "C:\qoobox\Quarantine\C\WINDOWS\system32\gebyv.dll.vir Détecté avec: Adware.Virtumonde.GHB"
      Line00000019 = "C:\qoobox\Quarantine\C\WINDOWS\system32\gebyv.dll.vir Echec de la désinfection"
      Line00000018 = "C:\qoobox\Quarantine\C\WINDOWS\system32\gebyv.dll.vir Supprimé"
      Line00000017 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP132\A0012676.exe Infecté par: Trojan.Juan.AD"
      Line00000016 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP132\A0012676.exe Echec de la désinfection"
      Line00000015 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP132\A0012676.exe Supprimé"
      Line00000014 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP133\A0012691.dll Détecté avec: Adware.Virtumonde.GHB"
      Line00000013 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP133\A0012691.dll Echec de la désinfection"
      Line00000012 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP133\A0012691.dll Supprimé"
      Line00000011 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP134\A0013144.dll Détecté avec: Adware.Virtumonde.GHB"
      Line00000010 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP134\A0013144.dll Echec de la désinfection"
      Line00000009 = "C:\System Volume Information\_restore{31FF372D-EF6F-4047-9259-55E0C1CB2FBF}\RP134\A0013144.dll Supprimé"
      Line00000008 = "C:\WINDOWS\system32\ahakv.exe Infecté par: Trojan.Conhook.CX"
      Line00000007 = "C:\WINDOWS\system32\ahakv.exe Echec de la désinfection"
      Line00000006 = "C:\WINDOWS\system32\ahakv.exe Supprimé"
      Line00000005 = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\27M4XU6D\ms[1].exe Infecté par: Trojan.Agent.AFOB"
      Line00000004 = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\27M4XU6D\ms[1].exe Echec de la désinfection"
      Line00000003 = "C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\27M4XU6D\ms[1].exe Supprimé"
      Line00000002 = "C:\WINDOWS\system32\xuenxtj.exe Infecté par: Trojan.Conhook.CX"
      Line00000001 = "C:\WINDOWS\system32\xuenxtj.exe Echec de la désinfection"
      Line00000000 = "C:\WINDOWS\system32\xuenxtj.exe Supprimé"
      0
  16. chrifleur Messages postés 1099 Statut Contributeur 18
     
    il me faut le rapport complet pour voir où se trouvent ces fichiers...
    tu le trouves ici
    C:\windows\bdoscan8\scanres.txt
    0
  17. chrifleur Messages postés 1099 Statut Contributeur 18
     
    relance OTMoveIT
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.
    C:\WINDOWS\system32\xuenxtj.exe
    C:\WINDOWS\system32\ahakv.exe
    C:\qoobox
    C:\Documents and Settings\Propriétaire\Bureau\catchme.zip
    C:\Documents and Settings\Propriétaire\Bureau\catchme

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaîtra dans le cadre Results.
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

    il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
    si c'est le cas accepte par Yes.

    Clic sur le bouton CleanUp! destiné a supprimer toutes traces des programmes qui ont servi à la désinfection
    le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
    NOTE : Normalement, ton pare-feu devrait te demander si OTmoveIT peut accéder à Internet
    Autorise le.
    Une liste apparaît dans la partie gauche d'OTMoveIT.
    Un message apparaît pour confirmer le nettoyage. Confirme
    Les fichiers infectés qui se trouvent dans les quarantaines seront supprimés aussi.
    OTMoveIt s'auto supprime aussi.
    la manoeuvre nécessitera un redémarrage initié par le programme.

    Maintenant il te reste ceci à effectuer

    1/
    Supprime tous les outils utilisés:
    HijackThis, Navilog, smitfraudfix qui sont spécifiques pour des infections et ne te serviront plus!
    Supprime aussi tous les rapports obtenus!

    Tu peux néanmoins conserver Ccleaner et AVG antispyware, mis à jour régulièrement, ils te serviront, l'un, Ccleaner, pour le nettoyage quotidien de ton PC, l'autre, AVG Antispyware, pour la recherche d'éventuelles infections...

    2/
    Restauration système
    Désactive ta restauration
    Clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer, OK
    Redémarre ton PC
    Réactive ta restauration
    Clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer, OK
    Redémarre ton PC

    3/
    Nettoyage et Défragmentation de tes Disques
    Nettoyage
    Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
    Clique sur le bouton "nettoyage de disque", OK
    tu le fais pour chacun de tes disques

    Vérifications des erreurs
    Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
    "Vérifier maintenant", une boîte s'ouvre, cocher les cases
    réparer automatiquement les erreurs...
    rechercher et tenter une récupération...
    Démarrer, ok
    tu le fais pour chacun de tes disques

    ensuite toujours dans le même onglet tu choisis
    Défragmentation
    "défragmenter maintenant", OK
    une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
    tu le fais pour chacun de tes disques

    ==>

    Tu as été infecté, et je pense qu'au travers des différentes manoeuvres données, tu as compris que tu étais mal protégé...

    Je te conseille donc de lire attentivement ce qui suit et de suivre les conseils prodigués

    ==>

    Tu trouveras sur ce lien les différentes mises à jour de sécurité à effectuer, suivant les logiciels que tu possèdes.
    https://forum.pcastuces.com/sujet.asp?f=25&s=25842

    ==>

    La protection de ton Pc

    La sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
    Outre la parfaite mise à jour du système d'exploitation, désormais, pour surfer tranquillement et sans soucis sur "le Net", il faut se protéger au maximum!
    Pour cela il faut :

    1. en résident : Il est résident sur ton PC, c'est à dire qu'il fonctionne dès la mise en route de ton Système.
    /- un bon antivirus, gratuit ou payant, mis régulièrement à jour, qui te protège en temps réel!
    /- un pare feu autre que celui fourni par Windows, comme Zone Alarm ou Kerio qui te protège aussi en temps réel!
    /- un anti spyware efficace, type Spybot Search and Destroy, avec sa protection résidente, Tea Timer, activée!!
    Tu scannes ton PC toutes les semaines environ avec, après l'avoir mis à jour, et tu as aussi sa protection en temps réel qui te protège.

    2. pour scanner régulièrement ton PC
    /- un anti trojan efficace, comme AVG antispyware .A la fin d'une période d'essai du logiciel, il est proposé une version payante que tu n'es pas obligé d'acheter. Il perd alors sa fonction "résident" et tu dois faire les mises à jour manuellement. Il reste néanmoins très utile pour scanner régulièrement ton PC et le nettoyer d'éventuelles infections.

    3. un logiciel comme Spyware Blaster qui empêche l'installation d'ActiveX nuisibles.
    Il faut régulièrement le mettre à jour pour inscrire les ActiveX dangereux dans sa base de données, et ainsi être protégé contre eux, puisque son rôle est d'empêcher leur installation.

    4. un bon navigateur tel Firefox ou Opera pour remplacer IE, que tu ne conserves que pour effectuer les mises à jour de Windows!

    Tu trouveras dans ce tuto, "Sécuriser son PC de Philae", de quoi satisfaire tous tes désirs en matière de logiciels gratuits et performants
    https://forum.pcastuces.com/default.asp

    dans celui-ci, tesgaz t'explique les risques du P2P
    https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

    dans celui-là, les risques du crack
    https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

    Nous voulons aider avec de plus en plus d'efficacité et lutter contre les malwares pour qu'enfin tout le monde puisse surfer tranquille !
    Avec un peu de prévention, il est possible d'être à l'abri des menaces !
    S'il te plaît, fais passer le mot autour de toi !
    S'il te plaît, s'il y a des internautes infectés autour de toi, envoie les nous sur ce forum !
    Une bonne protection permet d'être à abri ! L'ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier!

    ==>

    Dénonce ton infection pour faire condamner les auteurs.

    Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
    - Voir les règles du forum : https://malwarecomplaints.info/
    - Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
    Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
    Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"

    Tu as alors, sous forme de liste, un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

    *** Ton infection : Vundo Virtumonde, divers trojan

    >> https://malwarecomplaints.info/

    Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections, conforme au règle du forum (âge, ville, département etc..)

    bonne continuation
    0
    1. joelle2259
       
      File/Folder C:\WINDOWS\system32\xuenxtj.exe not found.
      File/Folder C:\WINDOWS\system32\ahakv.exe not found.
      C:\qoobox\Quarantine\Registry_backups moved successfully.
      C:\qoobox\Quarantine\C\WINDOWS\system32 moved successfully.
      C:\qoobox\Quarantine\C\WINDOWS moved successfully.
      C:\qoobox\Quarantine\C\Documents and Settings\Propriétaire\Application Data moved successfully.
      C:\qoobox\Quarantine\C\Documents and Settings\Propriétaire moved successfully.
      C:\qoobox\Quarantine\C\Documents and Settings moved successfully.
      C:\qoobox\Quarantine\C moved successfully.
      C:\qoobox\Quarantine moved successfully.
      C:\qoobox\lastrun moved successfully.
      C:\qoobox\Hiv-backup\Users\00000006 moved successfully.
      C:\qoobox\Hiv-backup\Users\00000005 moved successfully.
      C:\qoobox\Hiv-backup\Users\00000004 moved successfully.
      C:\qoobox\Hiv-backup\Users\00000003 moved successfully.
      C:\qoobox\Hiv-backup\Users\00000002 moved successfully.
      C:\qoobox\Hiv-backup\Users\00000001 moved successfully.
      C:\qoobox\Hiv-backup\Users moved successfully.
      Folder move failed. C:\qoobox\Hiv-backup\system scheduled to be moved on reboot.
      Folder move failed. C:\qoobox\Hiv-backup\software scheduled to be moved on reboot.
      Folder move failed. C:\qoobox\Hiv-backup\SECURITY scheduled to be moved on reboot.
      Folder move failed. C:\qoobox\Hiv-backup\SAM scheduled to be moved on reboot.
      Folder move failed. C:\qoobox\Hiv-backup\default scheduled to be moved on reboot.
      C:\qoobox\Hiv-backup moved successfully.
      C:\qoobox\BackEnv moved successfully.
      C:\qoobox moved successfully.
      C:\Documents and Settings\Propriétaire\Bureau\catchme.zip moved successfully.
      C:\Documents and Settings\Propriétaire\Bureau\catchme moved successfully.

      Created on 11-14-2007 11:09:46

      Maintenant je vais faire le reste mais ça a l'air assez long, donc à tout à l'heure, et d'avance MERCI !
      0
    2. joelle2259
       
      Voilà j'ai fait tout ce que tu m'avais demandé et encore merci parce que je ne suis plus infestée par virtumonde !
      Juste une dernière question : qu'est ce que je dois faire dès que Spybot me dit attention .....essaie d'ouvrir tel ou tel programm ou autre message venant de spybot?????
      (j'ai recoché la case tea timer)

      AVG ne fonctionne pas sur mon ordi je n'ai pas reussi à le télécharger , ça bug !

      Encore merci.....
      0
  18. chrifleur Messages postés 1099 Statut Contributeur 18
     
    si tu connais, tu laisses
    si tu ne connais pas, tu notes sur un papier et tu fais une recherche sur google, si tu ne trouves rien ou des choses qui ne te disent rien, tu me demandes ici sur ton topic,
    à la longue, tu sauras faire la différence entre bons et mauvais...
    0