Bonjour, je viens demander votre aide depuis quelque jour ma fille accepter le fameux fichier nokia de msn et puis que des problemes la en se moment un triangle jaune avec un point d exclamation en bas a droite avec plein de message et des pages internet qui s ouvre pour telecharger des antvirus etc... je n accpter rien biensur mais rien y fait sa ne disparer pas , j aie lancer syware doctor rien adware rien ccleaner rien , enfin je ne sais plus quoi faire merci d avance pour votre aide car moi et l informatique sa fait 2 marina

Alert security =triangle jaune [Résolu]

Réponse 1 / 141

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
29 nov. 2007 à 02:08

Allo marina,
Je ne veux pas intervenir plus que je le ferai là ok
Tu as fais une erreur de supprimer Antivir!
Il ne chiale pas pour rien crois-le !
Avast tu oublies ok.
Remets Antivir en vitesse et pour lui calmer les nerfs, regardes bien ou sont la plupart de tes virus !!!
----------------------------
C:\System Volume Information\_restore
Tu dois désactiver la restoration du systême.
Tu as de graves infections.
Quand la quantité de virus sera sous contrôle, tu créeras un point de restoration ,mais attend G!rly ou jlpjlp ok.

TR/Dldr.ConHook.Gen Ceci peut foutre en l'air ta machine et Antivir l'avait emprisonné.
Alors fais ceci.
Et attends le retour des helpers.
Jal

Réponse 2 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 nov. 2007 à 13:10

bonjour marina,

oui le site etait en "derrangement" hier soir, c´est vrai...

je suis bien contente que tu ai pu netoyer le registre comme il fallait ;-)

quand a bandji, tu as tout a fait raison; c´est un parasite, mais je ne vais pas m´ettendre sur son cas pour ne pas lui donner trop d´importance....

merci de m´avoir fait confience ;-)

embrasse tes enfants de ma part :D

bonne continuation`

ps : et si jamais, au grand jamais tu recevait une alerte, tu sais ou t´adresser...

bye`

Réponse 3 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 nov. 2007 à 17:21

re,

merci jal pour ton intervention

marina

une fois antivir ouvert click sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite puis dans la nouvelle fenetre a gauche >scanner > scan all files et en dessous >scanner priority = High
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level
...

Réponse 4 / 141

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
30 nov. 2007 à 17:27

Exactement!!!
Il est mieux de scanner en 'High Detection' et possiblement obtenir des faux positfs, que de Scanner 'Low' et de ne pas Obtenir de Vrais Négatifs! LOlll!
;-)

Réponse 5 / 141

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
30 nov. 2007 à 18:40

;-) Le Net... Une mine de ressources.
http://www.commentcamarche.net/faq/sujet 3610 internet forums qu est ce qu un troll

Réponse 6 / 141

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
26 nov. 2007 à 18:15

slt
Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

___________________

colle un rapport hijackthis

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."

Réponse 7 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 nov. 2007 à 18:15

bonjour,

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

http://www.infos-du-net.com/telecharger/Clean-LiveKill-Messenger,0305-12188 .html

et

télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

post les deux rapport ici stp

@+

Réponse 8 / 141

marina
26 nov. 2007 à 20:55

voici le rapport et merci pour votre aide

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:45:35, on 26/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\Program Files\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\ATI Multimedia\main\LaunchPd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\qhrwmgwr.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [fyjenurg] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\fyjenurg.dll"
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\LaunchPd.exe"
O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [Ptei] "C:\PROGRA~1\SMANTE~1\attrib.exe" -vt yazb
O4 - Startup: PPControl.lnk = ?
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A46CB52-CFA0-4E78-A181-948D5E361BE3} (EpsonObj Class) - https://www.epson.eu/support/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} (KeybHunterWebInterface Class) - https://particuliers.secure.lcl.fr/v_1.0/img/akl/FormProtect.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://gamekult.metaboli.fr/components/Metaboli.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

Réponse 9 / 141

marina
26 nov. 2007 à 20:57

et voici celui de msnfix

MSNFix 1.567

C:\Documents and Settings\ANNA\Bureau\MSNFix
Fix exécuté le 26/11/2007 - 20:49:41,76 By ANNA
mode normal

************************ Recherche les fichiers présents

... C:\WINDOWS\cookies.ini

************************ MSNCHK ***** /!\ beta test /!\

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Suppression des fichiers

.. OK ... C:\WINDOWS\cookies.ini

************************ Nettoyage du registre

************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\thesims2_update.exe] 4210359A62B1B494013B78A0B3F1CA64

[color=#FF0000][b]==>[/b][/color] SVP merci d'envoyer le fichier [b] C:\DOCUME~1\ANNA\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 26112007_20534773.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Réponse 10 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 nov. 2007 à 21:29

re,

peux tu envoyer ce fichier C:\thesims2_update.exe

par l´intermediaire de ce zip : C:\DOCUME~1\ANNA\Bureau\Upload_Me.zip

a l´adresse suivante stp : http://upload.changelog.fr

puis fais ceci :

fais analyser ce meme fichier (C:\thesims2_update.exe ) sur ce site et post le rapport ici

https://www.virustotal.com/gui/

puis

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

et repost un log hijackthis , avec le rapport de virus total

@´+

Réponse 11 / 141

marina
26 nov. 2007 à 22:10

le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:28, on 26/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\a-squared Free\a2service.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\Program Files\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ATI Multimedia\main\LaunchPd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: {de4192dd-7aa3-c519-af24-b7d799268b22} - {22b86299-7d7b-42fa-915c-3aa7dd2914ed} - C:\WINDOWS\system32\jxcbeynb.dll
O2 - BHO: (no name) - {2C45DAA2-2ABF-4D05-A606-D4A85AE2074E} - C:\WINDOWS\system32\efecd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7690710C-1A33-4D05-B860-1730FE652B77} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B83082CA-29DB-4B4D-BA3A-E2BD0902DA7A} - (no file)
O2 - BHO: (no name) - {B98B4120-018E-4C17-9496-7705DE0F1216} - (no file)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [fyjenurg] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\fyjenurg.dll"
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Program Files\ATI Multimedia\main\LaunchPd.exe"
O4 - HKCU\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WINSOS VERIFY] "C:\Program Files\Winsos\WINSOS.EXE" MINI
O4 - HKCU\..\Run: [Ptei] "C:\PROGRA~1\SMANTE~1\attrib.exe" -vt yazb
O4 - Startup: PPControl.lnk = ?
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {0A46CB52-CFA0-4E78-A181-948D5E361BE3} (EpsonObj Class) - https://www.epson.eu/support/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {4EFE4BE8-8771-4649-B3EF-D97374C8D2C2} (KeybHunterWebInterface Class) - https://particuliers.secure.lcl.fr/v_1.0/img/akl/FormProtect.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://gamekult.metaboli.fr/components/Metaboli.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O20 - Winlogon Notify: xxyawvu - xxyawvu.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

Réponse 12 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 nov. 2007 à 22:13

on continue,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+

Réponse 13 / 141

marina
26 nov. 2007 à 23:25

voici le rapport

ComboFix 07-11-19.4 - ANNA 2007-11-26 23:20:27.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.223 [GMT 1:00]
Running from: C:\Documents and Settings\ANNA\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\ANNA\Favoris\Online Security Guide.lnk
C:\Program Files\SecCenter
C:\Program Files\SecCenter\scprot4.exe
C:\Program Files\smante~1
C:\Program Files\smante~1\S?mantec\

.
((((((((((((((((((((((((((((( Fichiers créés 2007-10-26 to 2007-11-26 ))))))))))))))))))))))))))))))))))))
.

2007-11-26 21:40 <REP> d-------- C:\VundoFix Backups
2007-11-26 20:39 <REP> d-------- C:\Program Files\Trend Micro
2007-11-26 17:09 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-11-26 17:09 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-11-26 17:09 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-11-26 17:09 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-11-26 17:08 <REP> d-------- C:\Program Files\Spyware Doctor
2007-11-26 13:06 143 --a------ C:\WINDOWS\system32\mcrh.tmp
2007-11-26 11:12 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-26 08:15 80,960 --a------ C:\WINDOWS\system32\jxcbeynb.dll
2007-11-26 08:10 1,168,955 ---hs---- C:\WINDOWS\system32\yehctblc.ini
2007-11-26 08:07 <REP> d-------- C:\WINDOWS\system32\tnrtmwuk
2007-11-24 14:01 1,352,957 ---hs---- C:\WINDOWS\system32\hnhkavvt.ini
2007-11-24 13:58 81,472 --a------ C:\WINDOWS\system32\ilsqvvyi.dll
2007-11-22 17:22 79,936 --a------ C:\WINDOWS\system32\murnqpsp.dll
2007-11-22 17:18 1,004,368 ---hs---- C:\WINDOWS\system32\pgykbnbu.ini
2007-11-22 17:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2007-11-18 18:58 79,424 --a------ C:\WINDOWS\system32\ydsrbxvb.dll
2007-11-18 18:55 737,138 ---hs---- C:\WINDOWS\system32\niojyxbp.ini
2007-11-12 18:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-12 18:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-12 18:21 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-12 18:21 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-12 18:21 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-12 18:21 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2007-11-12 18:21 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-11-12 14:51 582,995 ---hs---- C:\WINDOWS\system32\qkbqbdcs.ini
2007-11-12 14:44 81,472 --a------ C:\WINDOWS\system32\soxeqqrx.dll
2007-11-12 13:54 <REP> d-------- C:\Program Files\Runtime Software
2007-11-12 10:56 1,024 --a------ C:\WINDOWS\system32\drivers\DCF1518D-AE04-44E5-A398-2B2579435BD4.cxv
2007-11-12 10:38 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-11-12 10:22 10,240 --a------ C:\WINDOWS\system32\drivers\63C1D9DE-045B-4F3E-A220-8CAB6453DA8F.cxv
2007-11-12 10:18 <REP> d-------- C:\Program Files\STOPzilla!
2007-11-12 10:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\STOPzilla!
2007-11-12 02:34 2,432 --a------ C:\WINDOWS\system32\unpr.sys
2007-11-12 02:34 353 ---hs---- C:\WINDOWS\system32\xxyxx.ini
2007-11-12 02:29 <REP> d-------- C:\WINDOWS\system32\bfeguufo
2007-11-12 02:29 <REP> d-------- C:\Program Files\rexunuxy
2007-11-12 02:21 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-12 01:39 <REP> d-------- C:\Documents and Settings\ANNA\Application Data\PC Tools
2007-11-10 02:36 <REP> d-------- C:\Program Files\RegCleaner
2007-11-10 02:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-10 01:22 <REP> d-------- C:\Documents and Settings\ANNA\Application Data\MSNInstaller
2007-11-10 01:14 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-11-10 01:03 <REP> d-------- C:\Program Files\Microsoft Windows OneCare Live
2007-11-10 00:39 <REP> d-------- C:\Program Files\Windows Live
2007-11-10 00:39 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-10 00:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-09 01:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2007-11-09 00:32 86,094 --a------ C:\WINDOWS\BPMNT.dll
2007-11-09 00:32 71,749 --a------ C:\WINDOWS\hcextoutput.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-26 22:18 --------- d-----w C:\Program Files\PestPatrol
2007-11-26 21:07 --------- d-----w C:\Program Files\Wanadoo
2007-11-26 19:31 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2007-11-26 16:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-26 16:01 --------- d-----w C:\Program Files\Google
2007-11-26 07:26 --------- d-----w C:\Program Files\Hijackthis Version Française
2007-11-24 23:48 267,845 ----a-w C:\WINDOWS\tsc.exe
2007-11-24 23:48 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll
2007-11-22 15:59 --------- d-----w C:\Documents and Settings\ANNA\Application Data\uTorrent
2007-11-22 15:48 --------- d-----w C:\Program Files\LogProtect
2007-11-12 21:35 --------- d-----w C:\Program Files\eMule
2007-11-12 20:56 --------- d-----w C:\Program Files\a-squared Free
2007-11-12 18:26 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-12 18:26 --------- d-----w C:\Program Files\Ontrack
2007-11-12 12:54 --------- d-----w C:\Program Files\PowerArchiver
2007-11-12 11:06 --------- d-----w C:\Program Files\Ahead
2007-11-12 11:06 --------- d-----w C:\Documents and Settings\ANNA\Application Data\Ahead
2007-11-12 10:10 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2007-11-11 23:53 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
2007-11-10 00:55 --------- d-----w C:\Program Files\Messenger Plus! Live
2007-11-10 00:43 --------- d-----w C:\Program Files\MSN Messenger
2007-11-09 23:33 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-11-08 23:31 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2007-11-08 23:31 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2007-11-08 23:31 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2007-11-08 17:00 --------- d-----w C:\Program Files\Macrogaming
2007-11-08 15:09 --------- d-----w C:\Program Files\Fichiers communs\Sandlot Shared
2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-10-25 17:05 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-10-25 16:24 815,480 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-10-25 16:14 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-08 20:52 --------- d-----w C:\Program Files\Wizards of the Coast
2007-09-14 08:37 45,192 ----a-w C:\WINDOWS\system32\MsgPlusLoader.dll
2006-04-19 21:41 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22b86299-7d7b-42fa-915c-3aa7dd2914ed}]
2007-11-26 08:16 80960 --a------ C:\WINDOWS\system32\jxcbeynb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C45DAA2-2ABF-4D05-A606-D4A85AE2074E}]
C:\WINDOWS\system32\efecd.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7690710C-1A33-4D05-B860-1730FE652B77}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B83082CA-29DB-4B4D-BA3A-E2BD0902DA7A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B98B4120-018E-4C17-9496-7705DE0F1216}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATI Launchpad"="C:\Program Files\ATI Multimedia\main\LaunchPd.exe" [2002-05-02 09:57]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.exe" [2003-09-11 04:00]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 13:50]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-05 21:41]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34]
"WINSOS VERIFY"="C:\Program Files\Winsos\WINSOS.exe" []
"Ptei"="C:\PROGRA~1\SMANTE~1\attrib.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2006-03-23 17:06]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"C-Media Mixer"="Mixer.exe" [2001-12-07 16:24 C:\WINDOWS\Mixer.exe]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-08-14 17:29]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 17:54]
"EPSON Stylus Photo R300 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.exe" [2003-09-11 04:00]
"PPMemCheck"="C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [2003-08-05 09:11]
"PestPatrol Control Center"="C:\Program Files\PESTPA~1\PPControl.exe" [2003-08-05 09:11]
"CookiePatrol"="C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [2003-08-05 09:11]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 13:49]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 15:55]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 03:10]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-09 01:17]

C:\Documents and Settings\ANNA\Menu D‚marrer\Programmes\D‚marrage\
PPControl.lnk - C:\Documents and Settings\ANNA\Application Data\Microsoft\Installer\{FA1B3B7A-98D0-4F54-B555-7711A6E54544}\IconFA1B3B7A.exe [2005-03-23 00:49:53]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-11-13 01:44:38]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyawvu]
xxyawvu.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWA6PV_0001_N91M2107]
C:\DOCUME~1\ANNA\LOCALS~1\Temp\Temporary Internet Files\Content.IE5\O9GJSB8B\WinAntiVirusPro2006FreeInstall_fr
[1].exe -nag

R0 UNPR;UNPR;C:\WINDOWS\system32\unpr.sys
R1 VIAPFD;VIAPFD;C:\WINDOWS\system32\Drivers\VIAPFD.SYS
R3 PhilCam8116;Logitech QuickCam Pro 3000(PID_08B0);C:\WINDOWS\system32\DRIVERS\CamDrL21.sys
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys
S2 CINEMSUP;Software Cinemaster NT4.0 Driver;C:\WINDOWS\system32\DRIVERS\CINEMSUP.SYS
S3 AX88172;ASIX AX88172 USB2 to Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\ax88172.sys
S3 oUltraf;oUltraf;\??\C:\DOCUME~1\ANNA\LOCALS~1\Temp\oUltraf.sys
S3 pgfilter;pgfilter;\??\C:\Program Files\PeerGuardian2\pgfilter.sys
S3 RescueDrv;Inventel Access Point USB Rescue Driver;C:\WINDOWS\system32\Drivers\resc_dwb.sys
S3 USBSHGX;SHARP GSM GPRS USB Driver 2.1.0;C:\WINDOWS\system32\DRIVERS\usbgx_2.sys
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb1.sys
S3 wanusb;ECI Telecom USB ADSL WAN Modem;C:\WINDOWS\system32\DRIVERS\gwausb.sys

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-11-26 22:00:00 C:\WINDOWS\Tasks\AF9263E490021B9C.job"
- c:\docume~1\anna\applic~1\inside~1\meow 4 view.exe
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-26 23:23:46
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus Photo R300 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /M "Stylus Photo R300" /EF "HKCU"?????E????????????a?w????????????????p????????????????????b?w????p???????????8???????????h??w????p???????z??wp???????????)??|???????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-26 23:24:42
.
--- E O F ---

Réponse 14 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 nov. 2007 à 23:32

re,

* Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :

C:\WINDOWS\system32\jxcbeynb.dll
C:\WINDOWS\system32\efecd.dll
C:\WINDOWS\system32\xxyawvu.dll

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix

puis vide tes fichiers temporaires avec ceci :

http://www.infos-du-net.com/telecharger/ATF-Cleaner,0301-10869.html

tutoriel :

http://www.infosecu.fr/atf.html

post le rapport vundofix

Réponse 15 / 141

marina
26 nov. 2007 à 23:50

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.3
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.5
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.9
Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 21:40:37 26/11/2007

Listing files found while scanning....

C:\windows\system32\__c0017A4.dat
C:\windows\system32\dcefe.bak1
C:\windows\system32\dcefe.bak2
C:\windows\system32\dcefe.ini
C:\windows\system32\divungjf.dll
C:\windows\system32\efecd.dll
C:\windows\system32\guscwddl.dllbox
C:\windows\system32\ipqvurfg.dll
C:\windows\system32\jgfgmnql.dll
C:\windows\system32\lacodmct.dll
C:\WINDOWS\system32\qhrwmgwr.dll
C:\windows\system32\qhrwmgwr.dllbox
C:\windows\system32\swlrokjp.dll

Beginning removal...

Attempting to delete C:\windows\system32\__c0017A4.dat
C:\windows\system32\__c0017A4.dat Has been deleted!

Attempting to delete C:\windows\system32\dcefe.bak1
C:\windows\system32\dcefe.bak1 Has been deleted!

Attempting to delete C:\windows\system32\dcefe.bak2
C:\windows\system32\dcefe.bak2 Has been deleted!

Attempting to delete C:\windows\system32\dcefe.ini
C:\windows\system32\dcefe.ini Has been deleted!

Attempting to delete C:\windows\system32\divungjf.dll
C:\windows\system32\divungjf.dll Has been deleted!

Attempting to delete C:\windows\system32\efecd.dll
C:\windows\system32\efecd.dll Has been deleted!

Attempting to delete C:\windows\system32\guscwddl.dllbox
C:\windows\system32\guscwddl.dllbox Has been deleted!

Attempting to delete C:\windows\system32\ipqvurfg.dll
C:\windows\system32\ipqvurfg.dll Has been deleted!

Attempting to delete C:\windows\system32\jgfgmnql.dll
C:\windows\system32\jgfgmnql.dll Has been deleted!

Attempting to delete C:\windows\system32\lacodmct.dll
C:\windows\system32\lacodmct.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qhrwmgwr.dll
C:\WINDOWS\system32\qhrwmgwr.dll Has been deleted!

Attempting to delete C:\windows\system32\qhrwmgwr.dllbox
C:\windows\system32\qhrwmgwr.dllbox Has been deleted!

Attempting to delete C:\windows\system32\swlrokjp.dll
C:\windows\system32\swlrokjp.dll Has been deleted!

Performing Repairs to the registry.
Done!

Beginning removal...

Attempting to delete C:\WINDOWS\system32\jxcbeynb.dll
C:\WINDOWS\system32\jxcbeynb.dll Has been deleted!

Performing Repairs to the registry.
Done!

Réponse 16 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
26 nov. 2007 à 23:55

re,

tu as posté le meme rapport qu´auparavant

tu dois en avoir un autre?

C:\vundofix.txt

Réponse 17 / 141

marina
26 nov. 2007 à 23:59

non je n est rien j aie fait la manip que tu ma dit celle dessous et l outils a demander un redemarage et rien d autre que dois je faire ???

* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix

Réponse 18 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
27 nov. 2007 à 00:26

re,

repost un combofix stp

Réponse 19 / 141

marina
27 nov. 2007 à 00:27

pardon je viens de le voire le voici

Beginning removal...

Performing Repairs to the registry.
Done!

1 = parcontre que dois je faire de tous les programme insteller et dossier qui se sont cree je les laisse ou les supprimes

2 = j aie un autre souci j essaye de restaurer la sauvegarde de mon registres et sa me dit impossible car toutes les donnees non pas ete inscrites correctements dans le registres .Certaines cles sont ouvertes par le systemes ou d autres processus .

voila que dois je faire marci d avance

Réponse 20 / 141

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
27 nov. 2007 à 00:30

1 pour le moment ne supprime rien
2 ne tente surtout une restauration du registre car ca reinjecterais les clefs infectés

repost un combofix stp

Alert security =triangle jaune

141 réponses

Discussions similaires