Alert security =triangle jaune

Résolu
marina -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
je viens demander votre aide depuis quelque jour ma fille accepter le fameux fichier nokia de msn et puis que des problemes la en se moment un triangle jaune avec un point d exclamation en bas a droite avec plein de message et des pages internet qui s ouvre pour telecharger des antvirus etc... je n accpter rien biensur mais rien y fait sa ne disparer pas , j aie lancer syware doctor rien adware rien ccleaner rien , enfin je ne sais plus quoi faire merci d avance pour votre aide car moi et l informatique sa fait 2 marina
Configuration: Windows XP
Internet Explorer 7.0

141 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
Résumé de la discussion

Une infection informatique survient après l'ouverture d'un fichier MSN Nokia, provoquant un triangle jaune avec un point d'exclamation et des pages qui s'ouvrent pour télécharger des antivirus. Des conseils proposent d'analyser le système avec des outils antivirus et anti-malware, de corriger le registre et de désactiver les points de restauration pour maîtriser l'infection. D'autres interventions décrivent des procédures avancées, telles que l'exécution de scans en mode High Detection, l'utilisation de scripts Regedit et d'outils comme OTMoveIt et Comboscan pour nettoyer les éléments malveillants. En cas d'alerte persistante, plusieurs recommandations insistent sur le redémarrage après suppression des infections et sur la prévention future via des points de restauration et des mises à jour systèmes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Allo marina,
    Je ne veux pas intervenir plus que je le ferai là ok
    Tu as fais une erreur de supprimer Antivir!
    Il ne chiale pas pour rien crois-le !
    Avast tu oublies ok.
    Remets Antivir en vitesse et pour lui calmer les nerfs, regardes bien ou sont la plupart de tes virus !!!
    ----------------------------
    C:\System Volume Information\_restore
    Tu dois désactiver la restoration du systême.
    Tu as de graves infections.
    Quand la quantité de virus sera sous contrôle, tu créeras un point de restoration ,mais attend G!rly ou jlpjlp ok.

    TR/Dldr.ConHook.Gen Ceci peut foutre en l'air ta machine et Antivir l'avait emprisonné.
    Alors fais ceci.
    Et attends le retour des helpers.
    Jal
    1
  2. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonjour marina,

    oui le site etait en "derrangement" hier soir, c´est vrai...

    je suis bien contente que tu ai pu netoyer le registre comme il fallait ;-)

    quand a bandji, tu as tout a fait raison; c´est un parasite, mais je ne vais pas m´ettendre sur son cas pour ne pas lui donner trop d´importance....

    merci de m´avoir fait confience ;-)

    embrasse tes enfants de ma part :D

    bonne continuation`

    ps : et si jamais, au grand jamais tu recevait une alerte, tu sais ou t´adresser...

    bye`
    1
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    merci jal pour ton intervention

    marina

    une fois antivir ouvert click sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
    puis click sur configuration en haut a droite puis dans la nouvelle fenetre a gauche >scanner > scan all files et en dessous >scanner priority = High
    toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level
    ...
    1
  4. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Exactement!!!
    Il est mieux de scanner en 'High Detection' et possiblement obtenir des faux positfs, que de Scanner 'Low' et de ne pas Obtenir de Vrais Négatifs! LOlll!
    ;-)
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    ;-) Le Net... Une mine de ressources.
    http://www.commentcamarche.net/faq/sujet 3610 internet forums qu est ce qu un troll
    1
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    Télécharge MSNFix de Laurent
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le et double clic sur le fichier MSNFix.bat.
    - Exécute l'option R.
    --Si l'infection est détectée, exécute l'option N
    - Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
    Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

    ___________________

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    bonjour,

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip
    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

    http://www.infos-du-net.com/telecharger/Clean-LiveKill-Messenger,0305-12188 .html

    et

    télécharges smitfraudfix :

    En image :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
    cela vas générer un rapport.

    Copie/colle le rapport sur le forum stp.

    post les deux rapport ici stp

    @+
    0
  9. marina
     
    voici le rapport et merci pour votre aide

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:45:35, on 26/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\a-squared Free\a2service.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\WINDOWS\Mixer.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
    C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
    C:\Program Files\PESTPA~1\PPControl.exe
    C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    C:\Program Files\Winamp\winampa.exe
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\Program Files\ATI Multimedia\main\LaunchPd.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\qhrwmgwr.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
    O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
    O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PESTPA~1\PPControl.exe
    O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [fyjenurg] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\fyjenurg.dll"
    O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\LaunchPd.exe"
    O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
    O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [Ptei] "C:\PROGRA~1\SMANTE~1\attrib.exe" -vt yazb
    O4 - Startup: PPControl.lnk = ?
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {0A46CB52-CFA0-4E78-A181-948D5E361BE3} (EpsonObj Class) - https://www.epson.eu/support/
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
    O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} (KeybHunterWebInterface Class) - https://particuliers.secure.lcl.fr/v_1.0/img/akl/FormProtect.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://gamekult.metaboli.fr/components/Metaboli.ocx
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    0
  10. marina
     
    et voici celui de msnfix

    MSNFix 1.567

    C:\Documents and Settings\ANNA\Bureau\MSNFix
    Fix exécuté le 26/11/2007 - 20:49:41,76 By ANNA
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\WINDOWS\cookies.ini

    ************************ MSNCHK ***** /!\ beta test /!\

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé

    ************************ Suppression des fichiers

    .. OK ... C:\WINDOWS\cookies.ini

    ************************ Nettoyage du registre

    ************************ Fichiers suspects

    /!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

    [C:\thesims2_update.exe] 4210359A62B1B494013B78A0B3F1CA64

    [color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier [b] C:\DOCUME~1\ANNA\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr

    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 26112007_20534773.zip

    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: https://www.ionos.fr/
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------
    0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    peux tu envoyer ce fichier C:\thesims2_update.exe

    par l´intermediaire de ce zip : C:\DOCUME~1\ANNA\Bureau\Upload_Me.zip

    a l´adresse suivante stp : http://upload.changelog.fr

    puis fais ceci :

    fais analyser ce meme fichier (C:\thesims2_update.exe ) sur ce site et post le rapport ici

    https://www.virustotal.com/gui/

    puis

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    * Double-clique VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    et repost un log hijackthis , avec le rapport de virus total

    @´+
    0
  12. marina
     
    le rapport

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:08:28, on 26/11/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\a-squared Free\a2service.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Ahead\InCD\InCD.exe
    C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\Mixer.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
    C:\Program Files\PESTPA~1\PPControl.exe
    C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\ATI Multimedia\main\LaunchPd.exe
    C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
    C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: {de4192dd-7aa3-c519-af24-b7d799268b22} - {22b86299-7d7b-42fa-915c-3aa7dd2914ed} - C:\WINDOWS\system32\jxcbeynb.dll
    O2 - BHO: (no name) - {2C45DAA2-2ABF-4D05-A606-D4A85AE2074E} - C:\WINDOWS\system32\efecd.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O2 - BHO: (no name) - {7690710C-1A33-4D05-B860-1730FE652B77} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: (no name) - {B83082CA-29DB-4B4D-BA3A-E2BD0902DA7A} - (no file)
    O2 - BHO: (no name) - {B98B4120-018E-4C17-9496-7705DE0F1216} - (no file)
    O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
    O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
    O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
    O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PESTPA~1\PPControl.exe
    O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [fyjenurg] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\fyjenurg.dll"
    O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\LaunchPd.exe"
    O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
    O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
    O4 - HKCU\..\Run: [Ptei] "C:\PROGRA~1\SMANTE~1\attrib.exe" -vt yazb
    O4 - Startup: PPControl.lnk = ?
    O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
    O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O15 - Trusted Zone: http://www.secuser.com
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {0A46CB52-CFA0-4E78-A181-948D5E361BE3} (EpsonObj Class) - https://www.epson.eu/support/
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
    O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} (KeybHunterWebInterface Class) - https://particuliers.secure.lcl.fr/v_1.0/img/akl/FormProtect.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://gamekult.metaboli.fr/components/Metaboli.ocx
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
    O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
    O20 - Winlogon Notify: xxyawvu - xxyawvu.dll (file missing)
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    on continue,

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    @+
    0
  14. marina
     
    voici le rapport

    ComboFix 07-11-19.4 - ANNA 2007-11-26 23:20:27.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.223 [GMT 1:00]
    Running from: C:\Documents and Settings\ANNA\Bureau\ComboFix.exe
    * Created a new restore point
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\ANNA\Favoris\Online Security Guide.lnk
    C:\Program Files\SecCenter
    C:\Program Files\SecCenter\scprot4.exe
    C:\Program Files\smante~1
    C:\Program Files\smante~1\S?mantec\

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2007-10-26 to 2007-11-26 ))))))))))))))))))))))))))))))))))))
    .

    2007-11-26 21:40 <REP> d-------- C:\VundoFix Backups
    2007-11-26 20:39 <REP> d-------- C:\Program Files\Trend Micro
    2007-11-26 17:09 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
    2007-11-26 17:09 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
    2007-11-26 17:09 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
    2007-11-26 17:09 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
    2007-11-26 17:08 <REP> d-------- C:\Program Files\Spyware Doctor
    2007-11-26 13:06 143 --a------ C:\WINDOWS\system32\mcrh.tmp
    2007-11-26 11:12 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2007-11-26 08:15 80,960 --a------ C:\WINDOWS\system32\jxcbeynb.dll
    2007-11-26 08:10 1,168,955 ---hs---- C:\WINDOWS\system32\yehctblc.ini
    2007-11-26 08:07 <REP> d-------- C:\WINDOWS\system32\tnrtmwuk
    2007-11-24 14:01 1,352,957 ---hs---- C:\WINDOWS\system32\hnhkavvt.ini
    2007-11-24 13:58 81,472 --a------ C:\WINDOWS\system32\ilsqvvyi.dll
    2007-11-22 17:22 79,936 --a------ C:\WINDOWS\system32\murnqpsp.dll
    2007-11-22 17:18 1,004,368 ---hs---- C:\WINDOWS\system32\pgykbnbu.ini
    2007-11-22 17:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
    2007-11-18 18:58 79,424 --a------ C:\WINDOWS\system32\ydsrbxvb.dll
    2007-11-18 18:55 737,138 ---hs---- C:\WINDOWS\system32\niojyxbp.ini
    2007-11-12 18:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2007-11-12 18:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2007-11-12 18:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2007-11-12 18:21 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
    2007-11-12 18:21 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2007-11-12 18:21 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
    2007-11-12 18:21 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
    2007-11-12 14:51 582,995 ---hs---- C:\WINDOWS\system32\qkbqbdcs.ini
    2007-11-12 14:44 81,472 --a------ C:\WINDOWS\system32\soxeqqrx.dll
    2007-11-12 13:54 <REP> d-------- C:\Program Files\Runtime Software
    2007-11-12 10:56 1,024 --a------ C:\WINDOWS\system32\drivers\DCF1518D-AE04-44E5-A398-2B2579435BD4.cxv
    2007-11-12 10:38 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
    2007-11-12 10:22 10,240 --a------ C:\WINDOWS\system32\drivers\63C1D9DE-045B-4F3E-A220-8CAB6453DA8F.cxv
    2007-11-12 10:18 <REP> d-------- C:\Program Files\STOPzilla!
    2007-11-12 10:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\STOPzilla!
    2007-11-12 02:34 2,432 --a------ C:\WINDOWS\system32\unpr.sys
    2007-11-12 02:34 353 ---hs---- C:\WINDOWS\system32\xxyxx.ini
    2007-11-12 02:29 <REP> d-------- C:\WINDOWS\system32\bfeguufo
    2007-11-12 02:29 <REP> d-------- C:\Program Files\rexunuxy
    2007-11-12 02:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
    2007-11-12 01:39 <REP> d-------- C:\Documents and Settings\ANNA\Application Data\PC Tools
    2007-11-10 02:36 <REP> d-------- C:\Program Files\RegCleaner
    2007-11-10 02:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
    2007-11-10 01:22 <REP> d-------- C:\Documents and Settings\ANNA\Application Data\MSNInstaller
    2007-11-10 01:14 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
    2007-11-10 01:03 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live
    2007-11-10 00:39 <REP> d-------- C:\Program Files\Windows Live
    2007-11-10 00:39 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2007-11-10 00:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
    2007-11-09 01:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-11-09 00:32 86,094 --a------ C:\WINDOWS\BPMNT.dll
    2007-11-09 00:32 71,749 --a------ C:\WINDOWS\hcextoutput.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-11-26 22:18 --------- d-----w C:\Program Files\PestPatrol
    2007-11-26 21:07 --------- d-----w C:\Program Files\Wanadoo
    2007-11-26 19:31 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2007-11-26 16:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-11-26 16:01 --------- d-----w C:\Program Files\Google
    2007-11-26 07:26 --------- d-----w C:\Program Files\Hijackthis Version Française
    2007-11-24 23:48 267,845 ----a-w C:\WINDOWS\tsc.exe
    2007-11-24 23:48 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
    2007-11-22 15:59 --------- d-----w C:\Documents and Settings\ANNA\Application Data\uTorrent
    2007-11-22 15:48 --------- d-----w C:\Program Files\LogProtect
    2007-11-12 21:35 --------- d-----w C:\Program Files\eMule
    2007-11-12 20:56 --------- d-----w C:\Program Files\a-squared Free
    2007-11-12 18:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2007-11-12 18:26 --------- d-----w C:\Program Files\Ontrack
    2007-11-12 12:54 --------- d-----w C:\Program Files\PowerArchiver
    2007-11-12 11:06 --------- d-----w C:\Program Files\Ahead
    2007-11-12 11:06 --------- d-----w C:\Documents and Settings\ANNA\Application Data\Ahead
    2007-11-12 10:10 --------- d-----w C:\Program Files\Fichiers communs\Ahead
    2007-11-11 23:53 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
    2007-11-10 00:55 --------- d-----w C:\Program Files\Messenger Plus! Live
    2007-11-10 00:43 --------- d-----w C:\Program Files\MSN Messenger
    2007-11-09 23:33 --------- d-----w C:\Program Files\Windows Live Toolbar
    2007-11-08 23:31 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
    2007-11-08 23:31 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
    2007-11-08 23:31 286,720 ----a-w C:\WINDOWS\PATCH.EXE
    2007-11-08 17:00 --------- d-----w C:\Program Files\Macrogaming
    2007-11-08 15:09 --------- d-----w C:\Program Files\Fichiers communs\Sandlot Shared
    2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
    2007-10-25 17:05 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
    2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
    2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
    2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
    2007-10-25 16:24 815,480 ----a-w C:\WINDOWS\system32\aswBoot.exe
    2007-10-25 16:14 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
    2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
    2007-10-08 20:52 --------- d-----w C:\Program Files\Wizards of the Coast
    2007-09-14 08:37 45,192 ----a-w C:\WINDOWS\system32\MsgPlusLoader.dll
    2006-04-19 21:41 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22b86299-7d7b-42fa-915c-3aa7dd2914ed}]
    2007-11-26 08:16 80960 --a------ C:\WINDOWS\system32\jxcbeynb.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C45DAA2-2ABF-4D05-A606-D4A85AE2074E}]
    C:\WINDOWS\system32\efecd.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7690710C-1A33-4D05-B860-1730FE652B77}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B83082CA-29DB-4B4D-BA3A-E2BD0902DA7A}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B98B4120-018E-4C17-9496-7705DE0F1216}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ATI Launchpad"="C:\Program Files\ATI Multimedia\main\LaunchPd.exe" [2002-05-02 09:57]
    "EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.exe" [2003-09-11 04:00]
    "WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 13:50]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-05 21:41]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34]
    "WINSOS VERIFY"="C:\Program Files\Winsos\WINSOS.exe" []
    "Ptei"="C:\PROGRA~1\SMANTE~1\attrib.exe" []

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]
    "NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
    "InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2006-03-23 17:06]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
    "C-Media Mixer"="Mixer.exe" [2001-12-07 16:24 C:\WINDOWS\Mixer.exe]
    "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-08-14 17:29]
    "LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 17:54]
    "EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.exe" [2003-09-11 04:00]
    "PPMemCheck"="C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [2003-08-05 09:11]
    "PestPatrol Control Center"="C:\Program Files\PESTPA~1\PPControl.exe" [2003-08-05 09:11]
    "CookiePatrol"="C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [2003-08-05 09:11]
    "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49]
    "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 03:10]
    "WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-09 01:17]

    C:\Documents and Settings\ANNA\Menu D‚marrer\Programmes\D‚marrage\
    PPControl.lnk - C:\Documents and Settings\ANNA\Application Data\Microsoft\Installer\{FA1B3B7A-98D0-4F54-B555-7711A6E54544}\IconFA1B3B7A.exe [2005-03-23 00:49:53]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-11-13 01:44:38]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyawvu]
    xxyawvu.dll

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
    @=""

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWA6PV_0001_N91M2107]
    C:\DOCUME~1\ANNA\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\O9GJSB8B\WinAntiVirusPro2006FreeInstall_fr
    [1].exe -nag

    R0 UNPR;UNPR;C:\WINDOWS\system32\unpr.sys
    R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS
    R3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\system32\DRIVERS\CamDrL21.sys
    S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys
    S2 CINEMSUP;Software Cinemaster NT4.0 Driver;C:\WINDOWS\system32\DRIVERS\CINEMSUP.SYS
    S3 AX88172;ASIX AX88172 USB2 to Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\ax88172.sys
    S3 oUltraf;oUltraf;\??\C:\DOCUME~1\ANNA\LOCALS~1\Temp\oUltraf.sys
    S3 pgfilter;pgfilter;\??\C:\Program Files\PeerGuardian2\pgfilter.sys
    S3 RescueDrv;Inventel Access Point USB Rescue Driver;C:\WINDOWS\system32\Drivers\resc_dwb.sys
    S3 USBSHGX;SHARP GSM GPRS USB Driver 2.1.0;C:\WINDOWS\system32\DRIVERS\usbgx_2.sys
    S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys
    S3 wanusb;ECI Telecom USB ADSL WAN Modem;C:\WINDOWS\system32\DRIVERS\gwausb.sys

    *Newly Created Service* - CATCHME
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2007-11-26 22:00:00 C:\WINDOWS\Tasks\AF9263E490021B9C.job"
    - c:\docume~1\anna\applic~1\inside~1\meow 4 view.exe
    .
    **************************************************************************

    catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-11-26 23:23:46
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    EPSON Stylus Photo R300 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"?????E????????????a?w????????????????p????????????????????b?w????p???????????8???????????h??w????p???????z??wp???????????)??|???????

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-11-26 23:24:42
    .
    --- E O F ---
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    * Relance Vundofix
    * Ne clique pas sur "Scan for a vundo"
    * Clique droit au milieu de la fenêtre
    * Clique sur Add more files ?
    * Copie/colle les fichiers ci-dessous ( un par case) :

    C:\WINDOWS\system32\jxcbeynb.dll
    C:\WINDOWS\system32\efecd.dll
    C:\WINDOWS\system32\xxyawvu.dll

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix

    puis vide tes fichiers temporaires avec ceci :

    http://www.infos-du-net.com/telecharger/ATF-Cleaner,0301-10869.html

    tutoriel :

    http://www.infosecu.fr/atf.html

    post le rapport vundofix
    0
  16. marina
     
    VundoFix V6.6.2

    Checking Java version...

    Java version is 1.5.0.3
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.5
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.6
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.9
    Old versions of java are exploitable and should be removed.

    Java version is 1.5.0.11

    Scan started at 21:40:37 26/11/2007

    Listing files found while scanning....

    C:\windows\system32\__c0017A4.dat
    C:\windows\system32\dcefe.bak1
    C:\windows\system32\dcefe.bak2
    C:\windows\system32\dcefe.ini
    C:\windows\system32\divungjf.dll
    C:\windows\system32\efecd.dll
    C:\windows\system32\guscwddl.dllbox
    C:\windows\system32\ipqvurfg.dll
    C:\windows\system32\jgfgmnql.dll
    C:\windows\system32\lacodmct.dll
    C:\WINDOWS\system32\qhrwmgwr.dll
    C:\windows\system32\qhrwmgwr.dllbox
    C:\windows\system32\swlrokjp.dll

    Beginning removal...

    Attempting to delete C:\windows\system32\__c0017A4.dat
    C:\windows\system32\__c0017A4.dat Has been deleted!

    Attempting to delete C:\windows\system32\dcefe.bak1
    C:\windows\system32\dcefe.bak1 Has been deleted!

    Attempting to delete C:\windows\system32\dcefe.bak2
    C:\windows\system32\dcefe.bak2 Has been deleted!

    Attempting to delete C:\windows\system32\dcefe.ini
    C:\windows\system32\dcefe.ini Has been deleted!

    Attempting to delete C:\windows\system32\divungjf.dll
    C:\windows\system32\divungjf.dll Has been deleted!

    Attempting to delete C:\windows\system32\efecd.dll
    C:\windows\system32\efecd.dll Has been deleted!

    Attempting to delete C:\windows\system32\guscwddl.dllbox
    C:\windows\system32\guscwddl.dllbox Has been deleted!

    Attempting to delete C:\windows\system32\ipqvurfg.dll
    C:\windows\system32\ipqvurfg.dll Has been deleted!

    Attempting to delete C:\windows\system32\jgfgmnql.dll
    C:\windows\system32\jgfgmnql.dll Has been deleted!

    Attempting to delete C:\windows\system32\lacodmct.dll
    C:\windows\system32\lacodmct.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\qhrwmgwr.dll
    C:\WINDOWS\system32\qhrwmgwr.dll Has been deleted!

    Attempting to delete C:\windows\system32\qhrwmgwr.dllbox
    C:\windows\system32\qhrwmgwr.dllbox Has been deleted!

    Attempting to delete C:\windows\system32\swlrokjp.dll
    C:\windows\system32\swlrokjp.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\system32\jxcbeynb.dll
    C:\WINDOWS\system32\jxcbeynb.dll Has been deleted!

    Performing Repairs to the registry.
    Done!
    0
  17. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    tu as posté le meme rapport qu´auparavant

    tu dois en avoir un autre?

    C:\vundofix.txt
    0
  18. marina
     
    non je n est rien j aie fait la manip que tu ma dit celle dessous et l outils a demander un redemarage et rien d autre que dois je faire ???

    * Clique sur Add files
    * Ensuite clique sur Close Windows
    * Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
    * Si l'outils demande un redémarrage, accepte
    * Poste le rapport Vundofix
    0
  19. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    repost un combofix stp
    0
  20. marina
     
    pardon je viens de le voire le voici

    Beginning removal...

    Performing Repairs to the registry.
    Done!

    1 = parcontre que dois je faire de tous les programme insteller et dossier qui se sont cree je les laisse ou les supprimes

    2 = j aie un autre souci j essaye de restaurer la sauvegarde de mon registres et sa me dit impossible car toutes les donnees non pas ete inscrites correctements dans le registres .Certaines cles sont ouvertes par le systemes ou d autres processus .

    voila que dois je faire marci d avance
    0
  21. g!rly Messages postés 18462 Statut Contributeur 407
     
    1 pour le moment ne supprime rien
    2 ne tente surtout une restauration du registre car ca reinjecterais les clefs infectés

    repost un combofix stp
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8