Search daily [Résolu/Fermé]

Signaler
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008
-
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
-
Bonjour,

Je suis un néophite sur ce forum et pas super calé en informatique. Je crois avoir chopé le virus search daily. Quelqu'un peut il m'aider à "tuer" cette bête et me dire si d'autres virus sont présents sur mon PC ? Un grand merci d'avance !!!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:07, on 06/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
F:\iPod Nano 4GO\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.lequipe.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.creative.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {868413A3-2A4B-4CD3-BDDE-A8772D016337} - C:\WINDOWS\system32\browseu.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [rock] rock.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iPod Nano 4GO\iTunesHelper.exe"
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe -startup -product IncrediMail
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BTTray.lnk = ?
O4 - Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O14 - IERESET.INF: START_PAGE_URL=https://fr.creative.com/
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

29 réponses

Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
salut

t´as ete voir les blondes...

a l´aide de hijack this coche et fix ceci :

O3 - Toolbar: (no name) - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - (no file)
O4 - HKLM\..\Run: [rock] rock.exe
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB

comment fixer :

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

puis :

Télécharge BTFix de Bibi26
http://cluster1.easy-hebergement.net/
Dézippe l'archive sur ton Bureau.
Ouvre le dossier BTFix.
Double clique sur BTFix.exe.
Clique sur Rechercher.
Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

Merci de ton aide g!rly

J'ai fait ce que tu m'as dit. Voici le rapport BTFix :
BTFix 1.064 (par bibi26) - 06/12/2007 18:47:26 - Analyse
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés

- C:\DBBackup
- C:\WINDOWS\Fonts\acrsecB.fon
- C:\WINDOWS\Fonts\acrsec.fon

---> Analyse terminée

a+
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
re,

1 Télécharge CCleaner.
http://www.filehippo.com/download_ccleaner.html
Installe le dans un répertoire dédié.


2 Redémarre en mode sans echec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.

3.Lance le nettoyage des fichiers temporaires a l´aide de ccleaner : "nettoyeur"

-> décoche la derniere case (Avancé si elle est cochée) puis click sur "lancer le nettoyage" qunand il aura terminé le scan click en bas a droite sur "lancer le nettoyage" et accepte par oui.

4Ouvre BTFix.
Clique sur Nettoyer.
Un rapport va apparaître.

5 Relance ccleaner pour nettoyer les erreures : "erreurs" :

->Coches toutes les cases dans les propriétés du nettoyeur de l´onglet "windows" et "applications", puis click en bas sur "chercher des erreurs" une fois terminé, clic sur "reparer les erreurs", tu auras un message pour sauvegarder ta base de registre, tu click "oui" puis tu recommence jusqu'à ce qu'il ne trouve plus rien.

ps : les sauvegardes que tu auras faites, pourront etre supprimées ulterieurement si tout va bien.


6 Redémarre normalement

7 Poste un nouveau log HijackThis avec le rapport de BTFix.

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

J'ai suivi tes instructions.

Voici le rapport BTFix :
BTFix 1.064 (par bibi26) - 06/12/2007 19:10:26 - Nettoyage - Mode sans échec
Lancé depuis C:\Documents and Settings\Administrateur\Bureau\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés

- Fichiers temporaires effacés
- C:\DBBackup
- C:\WINDOWS\Fonts\acrsecB.fon
- C:\WINDOWS\Fonts\acrsec.fon

---> Nettoyage terminé

Voici le rapport Hijackthis :
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {868413A3-2A4B-4CD3-BDDE-A8772D016337} - C:\WINDOWS\system32\browseu.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iPod Nano 4GO\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BTTray.lnk = ?
O4 - Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O14 - IERESET.INF: START_PAGE_URL=https://fr.creative.com/
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
re,

fais ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

Voici le rapport du scan Combofix

ComboFix 07-12-02.6 - Administrateur 2007-12-06 19:48:33.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.103 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Log\2007 Dec 01 - 01_38_55 PM_702.log
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Log\2007 Dec 01 - 01_38_58 PM_155.log
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Log\2007 Dec 01 - 01_47_58 PM_141.log
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\rs.dat
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\CustomScan.stg
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\IgnoreList.stg
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\ScanInfo.stg
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\ScanResults.stg
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\SelectedFolders.stg
C:\Documents and Settings\Administrateur\Application Data\AntiSpywareBot\Settings\Settings.stg
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((((((((( Fichiers créés 2007-11-06 to 2007-12-06 ))))))))))))))))))))))))))))))))))))
.

2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe
2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe
2007-12-02 19:46 . 2007-12-02 19:46 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-12-02 19:39 . 2007-12-02 20:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7
2007-12-02 19:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-12-02 08:23 . 2007-12-06 19:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-02 08:23 . 2007-12-02 08:23 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-02 08:22 . 2007-12-02 08:22 <REP> d-------- C:\Program Files\iPod
2007-12-01 11:27 . 2007-12-01 12:10 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-30 22:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-30 12:17 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-11-30 12:16 . 2007-11-30 12:16 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-11-30 12:07 . 2007-12-01 12:17 <REP> d-------- C:\Program Files\Windows Live
2007-11-30 12:07 . 2007-11-30 12:12 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-30 12:06 . 2007-11-30 12:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-27 18:47 . 2004-08-20 00:09 110,080 --a------ C:\WINDOWS\system32\browseu.2
2007-11-27 18:47 . 2004-08-20 00:09 99,072 --a------ C:\WINDOWS\system32\browseu.dll
2007-11-27 18:47 . 2004-08-20 00:09 83,456 --a------ C:\WINDOWS\system32\browseu.1
2007-11-27 18:47 . 19,456 C:\WINDOWS\system32\drivers\ffyoffam.dat
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB
2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-10 18:31 . 2007-11-10 18:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update
2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime
2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-01 11:12 --------- d-----w C:\Program Files\Google
2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard
2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security
2007-11-11 19:11 --------- d-----w C:\Program Files\Java
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia
2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe
2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe
2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe
2006-03-13 18:01 746,837 ----a-w C:\Program Files\setup.exe
2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE
2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe
2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE
2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe
2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe
2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat
2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe
2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS
.

((((((((((((((((((((((((((((( snapshot@2007-12-01_11.14.59.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-08 15:59:01 136,704 ----a-w C:\WINDOWS\catchme.exe
+ 2007-11-27 02:58:11 140,288 ----a-w C:\WINDOWS\catchme.exe
- 2007-12-01 10:12:26 81,920 ----a-w C:\WINDOWS\Cookies\index.dat
+ 2007-12-06 18:33:34 32,768 ----a-w C:\WINDOWS\Cookies\index.dat
+ 2007-12-02 07:23:19 102,400 ----a-r C:\WINDOWS\Installer\{4F5CE18C-D97D-48FF-A510-A0D90C918294}\iTunesIco.exe
+ 2007-12-02 06:56:12 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe
+ 2007-10-31 13:09:14 30,464 -c--a-w C:\WINDOWS\system32\DRVSTORE\usbaapl_4351B7DAFF62FD33510D77DFAE3CF8CC82517571\usbaapl.sys
- 2007-11-23 21:17:52 132,480 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-05 16:48:47 128,504 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2007-04-24 10:32:06 1,485,696 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2007-07-30 18:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
- 2007-10-28 06:14:05 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-12-01 10:28:47 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-10-28 06:14:05 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-12-01 10:28:47 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-10-28 06:14:05 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-12-01 10:28:47 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-10-28 06:14:05 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-12-01 10:28:47 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-12-06 18:21:44 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4f8.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}]
2004-08-20 00:09 99072 --a------ C:\WINDOWS\system32\browseu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08]
"IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43]
"iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" []

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54]
Lancement rapide d'Adobe Reader.lnk - D:\Reader\reader_sl.exe [2004-12-14 03:44:06]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54]
Lancement rapide d'Adobe Reader.lnk - D:\Reader\reader_sl.exe [2004-12-14 03:44:06]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=C:\WINDOWS\pss\DSLMON.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk
backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy]
C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
Logi_MwX.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx]
C:\Program Files\websx\int147792.exe -auto

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"TermService"=3 (0x3)
"helpsvc"=2 (0x2)
"ccEvtMgr"=2 (0x2)

R0 dpmujwnh;dpmujwnh;C:\WINDOWS\system32\drivers\ffyoffam.dat
R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys
S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}]
\Shell\Auto\command - I:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}]
\Shell\Auto\command - I:\boot.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - J:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-12-06 18:47:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 19:51:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-06 19:52:15
C:\ComboFix2.txt ... 2007-12-01 11:15
.
--- E O F ---
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
re,

Copie le texte ci-dessous :

File::
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\d3dx9_32.dll

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt2

S'il n'y a pas de rédémarrage, poste quand même le rapport.

et

fais analyser ce fichier

C:\WINDOWS\system32\drivers\ffyoffam.dat

ici

http://virusscan.jotti.org/de/

et post le resultat

puis fais ceci

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

ComboFix 07-12-02.6 - Administrateur 2007-12-06 21:14:59.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.107 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\system32\d3dx9_32.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\system32\d3dx9_32.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-06 to 2007-12-06 ))))))))))))))))))))))))))))))))))))
.

2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe
2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe
2007-12-02 19:46 . 2007-12-02 19:46 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-12-02 19:39 . 2007-12-02 20:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7
2007-12-02 19:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-12-02 08:22 . 2007-12-02 08:22 <REP> d-------- C:\Program Files\iPod
2007-12-01 11:27 . 2007-12-01 12:10 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-30 22:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-30 12:16 . 2007-11-30 12:16 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-11-30 12:07 . 2007-12-01 12:17 <REP> d-------- C:\Program Files\Windows Live
2007-11-30 12:07 . 2007-11-30 12:12 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-30 12:06 . 2007-11-30 12:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-27 18:47 . 2004-08-20 00:09 110,080 --a------ C:\WINDOWS\system32\browseu.2
2007-11-27 18:47 . 2004-08-20 00:09 99,072 --a------ C:\WINDOWS\system32\browseu.dll
2007-11-27 18:47 . 2004-08-20 00:09 83,456 --a------ C:\WINDOWS\system32\browseu.1
2007-11-27 18:47 . 19,456 C:\WINDOWS\system32\drivers\ffyoffam.dat
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB
2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-10 18:31 . 2007-11-10 18:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update
2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime
2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-01 11:12 --------- d-----w C:\Program Files\Google
2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard
2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security
2007-11-11 19:11 --------- d-----w C:\Program Files\Java
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia
2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe
2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe
2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe
2006-03-13 18:01 746,837 ----a-w C:\Program Files\setup.exe
2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE
2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe
2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE
2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe
2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe
2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat
2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe
2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS
.

((((((((((((((((((((((((((((( snapshot@2007-12-01_11.14.59.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-08 15:59:01 136,704 ----a-w C:\WINDOWS\catchme.exe
+ 2007-11-27 02:58:11 140,288 ----a-w C:\WINDOWS\catchme.exe
- 2007-12-01 10:12:26 81,920 ----a-w C:\WINDOWS\Cookies\index.dat
+ 2007-12-06 20:19:47 32,768 ----a-w C:\WINDOWS\Cookies\index.dat
+ 2007-12-02 07:23:19 102,400 ----a-r C:\WINDOWS\Installer\{4F5CE18C-D97D-48FF-A510-A0D90C918294}\iTunesIco.exe
+ 2007-12-02 06:56:12 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe
+ 2007-10-31 13:09:14 30,464 -c--a-w C:\WINDOWS\system32\DRVSTORE\usbaapl_4351B7DAFF62FD33510D77DFAE3CF8CC82517571\usbaapl.sys
- 2007-11-23 21:17:52 132,480 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-05 16:48:47 128,504 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2007-04-24 10:32:06 1,485,696 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2007-07-30 18:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
- 2007-10-28 06:14:05 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-12-01 10:28:47 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-10-28 06:14:05 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-12-01 10:28:47 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-10-28 06:14:05 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-12-01 10:28:47 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-10-28 06:14:05 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-12-01 10:28:47 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-12-06 20:19:50 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4f0.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}]
2004-08-20 00:09 99072 --a------ C:\WINDOWS\system32\browseu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08]
"IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43]
"iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=C:\WINDOWS\pss\DSLMON.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk
backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy]
C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
Logi_MwX.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx]
C:\Program Files\websx\int147792.exe -auto

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"TermService"=3 (0x3)
"helpsvc"=2 (0x2)
"ccEvtMgr"=2 (0x2)

R0 dpmujwnh;dpmujwnh;C:\WINDOWS\system32\drivers\ffyoffam.dat
R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys
S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}]
\Shell\Auto\command - I:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}]
\Shell\Auto\command - I:\boot.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - J:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-12-06 20:22:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 21:20:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-06 21:23:24 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-06 19:52
C:\ComboFix3.txt ... 2007-12-01 11:15
.
--- E O F ---







*********************************************************************************************************************************


Analyse Fichier C:\WINDOWS\system32\drivers\ffyoffam.dat

http://virusscan.jotti.org/de/

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

****************************************************************************************************************************************************







SDFix: Version 1.117

Run by Administrateur on 06/12/2007 at 21:52

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\Program Files\Setup.exe - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 22:01:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="D:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 5 Aug 2007 27,136 ...H. --- "C:\word\~WRL0005.tmp"
Thu 5 Aug 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 5 Aug 2004 4,348 ...H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Thu 3 Aug 2006 20 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Mon 18 Jul 2005 488 A.SH. --- "C:\Documents and Settings\Administrateur\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

Finished!


Désolé, j'ai été super long !!!
Que penses tu de ces rapports ?

a+
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
re,

je pense que ca va mieux..

maintenant instale un par feu

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

ou zone alarm plus facil a configurer mais moins performant

http://www.kachouri.com/tuto/tuto-143-zonealarm-installation-du-firewall--pare-feu.html

et regarde ceci sur avast car j´aimerais que tu le remplace par antivir pour faire un scan complet de ta machine

Antivir vs Avast :

->http://forum.malekal.com/ftopic3528.php

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

http://mickael.barroux.free.fr/securite/antivir.php <- tutoriel configuration du scanner...

configuration du scanner + d´info :
une fois antivir ouvert click sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite puis dans la nouvelle fenetre a gauche >scanner > scan all files et en dessous >scanner priority = High
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

puis

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0

et pourquoi ne pas surfer avec firefox? = plus sur, tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.firefox.fr/

une fois antivir installé et configuré

redemarre en mode sans echec et effectue un scan complet de ta machine et poste le rapport ici

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

salut,

Je vais faire les manip que tu m'as indiqué dans l'après midi. Je te tiendrais au courant sur l'évolution de mon problème.
En tous les cas, je tiens déjà à te remercier pour ton aide rapide et super bien détaillée. Un grand bravo à toi !!!!!

a+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

Salut g!rly,

J'ai installé le Pare Feu Kerio et remplacé Avast par Antivir, comme tu me l'as proposé. J'ai ensuite effectué un scan avec Antivir en mode sans échec. Voici le rapport :
AntiVir PersonalEdition Classic
Report file date: vendredi 7 décembre 2007 12:25

Scanning for 963151 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Administrateur
Computer name: TOPH

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55
ANTIVIR2.VDF : 7.0.1.30 1575424 Bytes 30/11/2007 10:50:08
ANTIVIR3.VDF : 7.0.1.57 107520 Bytes 07/12/2007 10:50:08
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 07/12/2007 10:50:08
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 7 décembre 2007 12:25

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '34' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\Administrateur\.housecall\Quarantine\e[1].exe.bac_a03428
[DETECTION] Is the Trojan horse TR/Agent.aox
[INFO] The file was moved to '478a2e21.qua'!
C:\Documents and Settings\Administrateur\.housecall6.6\Quarantine\e[1].exe.bac_a03428
[DETECTION] Is the Trojan horse TR/Agent.aox
[INFO] The file was moved to '478a2e2a.qua'!
C:\WINDOWS\system32\browseu.1
[DETECTION] Is the Trojan horse TR/Spy.BZub.NGP.3
[INFO] The file was moved to '47c83c95.qua'!
C:\WINDOWS\system32\browseu.dll
[DETECTION] Is the Trojan horse TR/BHO.abo.19
[WARNING] An error has occurred and the file was not deleted. ErrorID: 16003
[WARNING] The file could not be deleted!
Begin scan in 'D:\' <Disque local bis>
Begin scan in 'E:\' <Siteinternet>
Begin scan in 'F:\' <Music-Film-Photos>


End of the scan: vendredi 7 décembre 2007 14:15
Used time: 1:50:25 min

The scan has been done completely.

8991 Scanning directories
381264 Files were scanned
4 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
3 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
381260 Files not concerned
6131 Archives were scanned
7 Warnings
20 Notes


Par contre, je suis toujours redirigé vers search daily lorsque je fais une recherche google.
Qu'en penses tu ?
a+
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
salut planet soccer

refais un combofix et post le rapport ici stp

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

re,

J'ai l'impression que je ne suis plus redirigé vers search daily lorsque je fais une recherche google !!!!!
Voici le rapport combofix.
ComboFix 07-12-02.6 - Administrateur 2007-12-07 16:28:55.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.115 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-07 to 2007-12-07 ))))))))))))))))))))))))))))))))))))
.

2007-12-07 11:48 . 2007-12-07 11:48 <REP> d-------- C:\Program Files\Avira
2007-12-06 21:51 . 2007-12-06 21:52 <REP> d-------- C:\WINDOWS\ERUNT
2007-12-06 21:48 . 2007-12-07 14:44 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-06 21:48 . 2007-12-06 21:48 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe
2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe
2007-12-02 19:46 . 2007-12-02 19:46 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-12-02 19:39 . 2007-12-02 20:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7
2007-12-02 19:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-12-02 08:22 . 2007-12-02 08:22 <REP> d-------- C:\Program Files\iPod
2007-12-01 11:27 . 2007-12-01 12:10 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-30 22:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-30 12:16 . 2007-11-30 12:16 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-11-30 12:07 . 2007-12-01 12:17 <REP> d-------- C:\Program Files\Windows Live
2007-11-30 12:07 . 2007-11-30 12:12 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-30 12:06 . 2007-11-30 12:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-27 18:47 . 2004-08-20 00:09 110,080 --a------ C:\WINDOWS\system32\browseu.2
2007-11-27 18:47 . 2004-08-20 00:09 99,072 --a------ C:\WINDOWS\system32\browseu.dll
2007-11-27 18:47 . 19,456 C:\WINDOWS\system32\drivers\ffyoffam.dat
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB
2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-10 18:31 . 2007-11-10 18:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update
2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime
2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-01 11:12 --------- d-----w C:\Program Files\Google
2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard
2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security
2007-11-11 19:11 --------- d-----w C:\Program Files\Java
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia
2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe
2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe
2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe
2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE
2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe
2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE
2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe
2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe
2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat
2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe
2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS
.

((((((((((((((((((((((((((((( snapshot@2007-12-01_11.14.59.59 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-08 15:59:01 136,704 ----a-w C:\WINDOWS\catchme.exe
+ 2007-11-27 02:58:11 140,288 ----a-w C:\WINDOWS\catchme.exe
- 2007-12-01 10:12:26 81,920 ----a-w C:\WINDOWS\Cookies\index.dat
+ 2007-12-07 15:13:14 49,152 ----a-w C:\WINDOWS\Cookies\index.dat
+ 2007-12-05 19:19:42 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2007-12-06 20:52:20 11,534,336 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-12-06 20:52:20 212,992 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-12-05 19:19:42 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2007-12-06 20:52:05 11,534,336 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-12-06 20:52:05 212,992 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-12-02 07:23:19 102,400 ----a-r C:\WINDOWS\Installer\{4F5CE18C-D97D-48FF-A510-A0D90C918294}\iTunesIco.exe
+ 2007-12-02 06:56:12 27,136 ----a-r C:\WINDOWS\Installer\{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}\AppleSoftwareUpdateIco.exe
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2007-12-07 10:50:08 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2004-04-15 10:02:56 147,456 ----a-w C:\WINDOWS\system32\drivers\fwdrv.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2007-10-31 13:09:14 30,464 -c--a-w C:\WINDOWS\system32\DRVSTORE\usbaapl_4351B7DAFF62FD33510D77DFAE3CF8CC82517571\usbaapl.sys
- 2007-11-23 21:17:52 132,480 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2007-12-05 16:48:47 128,504 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
- 2007-04-24 10:32:06 1,485,696 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2007-10-11 13:12:48 1,468,968 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2007-07-30 18:18:34 207,736 ----a-w C:\WINDOWS\system32\muweb.dll
- 2007-10-28 06:14:05 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-12-01 10:28:47 53,656 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-10-28 06:14:05 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-12-01 10:28:47 65,018 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-10-28 06:14:05 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-12-01 10:28:47 381,818 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-10-28 06:14:05 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-12-01 10:28:47 447,822 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}]
2004-08-20 00:09 99072 --a------ C:\WINDOWS\system32\browseu.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08]
"IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43]
"iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-07 11:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" []

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54]
Lancement rapide d'Adobe Reader.lnk - D:\Reader\reader_sl.exe [2004-12-14 03:44:06]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe [2005-08-24 13:06:54]
Lancement rapide d'Adobe Reader.lnk - D:\Reader\reader_sl.exe [2004-12-14 03:44:06]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=C:\WINDOWS\pss\DSLMON.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk
backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy]
C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
Logi_MwX.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx]
C:\Program Files\websx\int147792.exe -auto

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"TermService"=3 (0x3)
"helpsvc"=2 (0x2)
"ccEvtMgr"=2 (0x2)

R0 dpmujwnh;dpmujwnh;C:\WINDOWS\system32\drivers\ffyoffam.dat
R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys
S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}]
\Shell\Auto\command - I:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}]
\Shell\Auto\command - I:\boot.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - J:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-12-07 15:32:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 16:32:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-07 16:34:10
C:\ComboFix2.txt ... 2007-12-06 22:27
C:\ComboFix3.txt ... 2007-12-06 21:23
.
--- E O F ---
Je pense que mon PC va mieux maintenant, grace à toi !! Merci mille fois !!!!!!!!!!
Par contre, et sans vouloir abuser, peux tu m'indiquer la manip pour remédier au pb suivant :
lorsque je tente de me connecter à internet, antivir me demande à chaque fois si j'autorise la connexion. J'ai regardé au niveau de la config antivir, mais je vois pas trop ce qu'il faut faire.
a+
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
re,

il y a encore des infections mais j´aurais besoin de plus d´infos sur quelques fichiers

fais analyser ceci :

C:\WINDOWS\system32\drivers\ffyoffam.dat
C:\WINDOWS\system32\WS2Fix.exe

ici et post le resultat stp

http://virusscan.jotti.org/de/
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

re,

je sais pas si j'ai bien opéré, voici le rapport :

Datei: WS2Fix.exe
Auslastung: 0% 100%

Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme: PE_PATCH.UPX, UPX
Bit9 rapportiert: Not analyzed yet (more info)

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Rising Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


C:\WINDOWS\system32\drivers\ffyoffam.dat
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file


Par contre, je vais devoir m'absenter jusqu'à 22 h. Dis moi ce que tu penses de ce rapport et si j'ai des nouvelles manip à faire, je les ferai en rentrant ce soir. Merci d'avance !!!
a+
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
re,

merci pour les analyses ;-)

Copie le texte ci-dessous :

File::
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\system32\browseu.2
C:\WINDOWS\system32\browseu.dll
C:\WINDOWS\system32\drivers\ffyoffam.dat
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Program Files\websx\int147792.exe
I:\boot.exe
I:\Real.exe
J:\Real.exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{868413A3-2A4B-4CD3-BDDE-A8772D016337}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\websx]

Driver::
dpmujwnh



Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,


Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

-1 Avec J et I branché

ouvre le bloc note et copie colle les commandes ci dessous :

@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe

ferme le bloc et enregistre le sur le bureau sous le nom de kill_autorun_vbs.bat

va sur le bureau et double clik sur kill_autorun_vbs.bat et laisse le faire son boulot

2- Débranche ensuite le disque externe F , et télécharge ensuite l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Utilisation :
Téléchargez et enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés. I J
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyez sur "Ok", pour faire réapparaitre le bureau.

Redémarre le PC
S'il y a des observations rapporte-les.

et post le rapport de combofix4.txt

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

re,

ComboFix 07-12-02.6 - Administrateur 2007-12-07 21:30:53.6 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.94 [GMT 1:00]
Running from: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\Program Files\websx\int147792.exe
C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\system32\browseu.2
C:\WINDOWS\system32\browseu.dll
C:\WINDOWS\system32\drivers\ffyoffam.dat
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
I:\boot.exe
I:\Real.exe
J:\Real.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\QTFont.for
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\system32\browseu.2
C:\WINDOWS\system32\browseu.dll
C:\WINDOWS\system32\drivers\ffyoffam.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DPMUJWNH
-------\dpmujwnh


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-07 to 2007-12-07 ))))))))))))))))))))))))))))))))))))
.

2007-12-07 11:48 . 2007-12-07 11:48 <REP> d-------- C:\Program Files\Avira
2007-12-06 21:51 . 2007-12-06 21:52 <REP> d-------- C:\WINDOWS\ERUNT
2007-12-06 17:49 . 2007-12-06 17:49 396,288 --a------ C:\HijackThis.exe
2007-12-02 20:47 . 2007-12-02 20:49 8,646,776 --a------ C:\Program Files\Windows-KB890830-V1.35.exe
2007-12-02 19:46 . 2007-12-02 19:46 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-12-02 19:39 . 2007-12-02 20:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7
2007-12-02 19:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-12-02 08:22 . 2007-12-02 08:22 <REP> d-------- C:\Program Files\iPod
2007-12-01 11:27 . 2007-12-01 12:10 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2007-12-01 11:27 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-30 22:38 . 2007-12-02 20:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-11-30 12:16 . 2007-11-30 12:16 <REP> d-------- C:\Program Files\Microsoft SQL Server Compact Edition
2007-11-30 12:07 . 2007-12-01 12:17 <REP> d-------- C:\Program Files\Windows Live
2007-11-30 12:07 . 2007-11-30 12:12 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2007-11-30 12:06 . 2007-11-30 12:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2007-11-28 17:55 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-11-28 17:55 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-11-28 17:55 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-11-28 17:55 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Program Files\CFWebAdvancedU_BOBTV.FR
2007-11-17 21:43 . 2007-11-17 21:43 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB
2007-11-14 23:43 . 2007-11-14 23:43 65,536 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2007-11-14 23:43 . 2007-11-14 23:43 49,152 --a------ C:\WINDOWS\system32\QuickTime.qts
2007-11-11 20:11 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2007-11-10 18:31 . 2007-11-10 18:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-05 14:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-12-02 07:37 --------- d-----w C:\Program Files\Apple Software Update
2007-12-02 07:20 --------- d-----w C:\Program Files\QuickTime
2007-12-01 14:30 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-01 11:12 --------- d-----w C:\Program Files\Google
2007-11-30 21:33 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard
2007-11-30 21:10 --------- d-----w C:\Program Files\Panda Security
2007-11-11 19:11 --------- d-----w C:\Program Files\Java
2007-10-18 10:31 51,224 ----a-w C:\WINDOWS\system32\sirenacm.dll
2007-10-08 17:50 --------- d-----w C:\Program Files\Macromedia
2007-08-11 06:23 24,200 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2006-06-28 16:21 15,295,272 ----a-w C:\Program Files\Install_Messenger.exe
2006-06-19 18:39 11,290,496 ----a-w C:\Program Files\setupfre.exe
2006-06-18 14:09 2,176,928 ----a-w C:\Program Files\Windows-KB890830-V1.17.exe
2006-03-11 19:14 3,355,056 ----a-w C:\Program Files\VRINST.EXE
2006-01-08 15:49 178,872 ----a-w C:\Program Files\FxLodear.exe
2005-10-24 17:41 9,343,176 ----a-w C:\Program Files\Install_MSN_Messenger.EXE
2004-10-07 19:34 870,912 -c--a-w C:\Program Files\iview392.exe
2004-09-23 17:56 10,078,344 ----a-w C:\Program Files\WMEncoder.exe
2004-09-03 15:44 284 -c--a-w C:\Documents and Settings\Administrateur\Application Data\ViewerApp.dat
2004-05-18 19:49 24,491,245 ----a-w C:\Program Files\kit.exe
2000-04-19 20:00 6,995 -c--a-w C:\WINDOWS\inf\RAMDISK.SYS
.

((((((((((((((((((((((((((((( snapshot_2007-12-07_16.32.51,96 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-07 15:13:14 49,152 ----a-w C:\WINDOWS\Cookies\index.dat
+ 2007-12-07 20:44:18 49,152 ----a-w C:\WINDOWS\Cookies\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09]
"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2006-04-28 16:08]
"IncrediMail"="D:\Program Files\IncrediMail\bin\IncMail.exe" [2007-07-19 09:54]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2003-10-06 14:16 C:\WINDOWS\system32\nwiz.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-14 23:43]
"iTunesHelper"="F:\iPod Nano 4GO\iTunesHelper.exe" [2007-11-15 13:11]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-07 11:50]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=C:\WINDOWS\pss\DSLMON.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^FotoStation Easy AutoLaunch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\FotoStation Easy AutoLaunch.lnk
backup=C:\WINDOWS\pss\FotoStation Easy AutoLaunch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BlockAds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccRegVfy]
C:\Program Files\Fichiers communs\Symantec Shared\ccRegVfy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-20 00:09 15360 --a------ C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
2003-08-08 14:59 16384 --a--c--- C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility]
Logi_MwX.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 11:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransparentIcons]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TransTask]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak-XP]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\zBrowser Launcher]
2002-11-23 01:15 631362 --a--c--- C:\Program Files\Logitech\iTouch\iTouch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"TermService"=3 (0x3)
"helpsvc"=2 (0x2)
"ccEvtMgr"=2 (0x2)

R1 cdrbsvsd;cdrbsvsd;C:\WINDOWS\system32\drivers\cdrbsvsd.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys
R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys
R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
R3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys
S3 AvFlt;Antivirus Filter Driver;C:\WINDOWS\system32\drivers\av5flt.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{35e930f0-0def-11dc-a540-0007cb0000ff}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3984f970-2af7-11db-a30b-0007cb0000ff}]
\Shell\Auto\command - I:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4d141164-ddfd-11db-a4b2-0007cb0000ff}]
\Shell\Auto\command - I:\boot.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL boot.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d2-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a4f286d3-262d-11dc-a57e-0007cb0000ff}]
\Shell\Auto\command - J:\Real.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Real.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-02 06:56:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-12-07 20:42:15 C:\WINDOWS\Tasks\At1.job"
"2007-12-07 20:44:22 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 21:45:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-07 21:46:57 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-07 16:34
C:\ComboFix3.txt ... 2007-12-06 22:27
.
--- E O F ---




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:00:34, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
D:\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Personal Firewall 4\kpf4gui.exe
D:\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
F:\iPod Nano 4GO\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Belkin\Logiciel Bluetooth\BTTray.exe
D:\Reader\reader_sl.exe
D:\Reader\reader_sl.exe
D:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\iPod\bin\iPodService.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\iPod Nano 4GO\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [IncrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: BTTray.lnk = ?
O4 - Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = D:\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\Belkin\Logiciel Bluetooth\btsendto_ie_ctx.htm
O14 - IERESET.INF: START_PAGE_URL=https://fr.creative.com/
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - https://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
fais ceci :

Démarrer > Exécuter puis tape cmd et valide.

Dans la fenêtre de l'invite copie et colle ces lignes de commandes une après l'autre en validant à chaque fois avec [entrée] avant de copier/coller la suivante :

RD \\.\C:\autorun.inf /Q /S

RD \\.\I:\autorun.inf /Q /S

RD \\.\J:\autorun.inf /Q /S

puis

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui est en bleu ci-dessous:

@ echo off

if exist \PLANETSOCCER.TXT del \PLANETSOCCER.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\PLANETSOCCER.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\PLANETSOCCER.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\PLANETSOCCER.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\PLANETSOCCER.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\PLANETSOCCER.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\PLANETSOCCER.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\PLANETSOCCER.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\PLANETSOCCER.TXT
notepad \PLANETSOCCER.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape PLANETSOCCER.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé PLANETSOCCER.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc: I J
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier PLANETSOCCER.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport.

@+
Messages postés
15
Date d'inscription
jeudi 6 décembre 2007
Statut
Membre
Dernière intervention
18 mars 2008

voici le rapport
C:\autorun.inf Non trouvé
C:\MS32DLL.dll.vbs Non trouvé
D:\autorun.inf Présent
D:\MS32DLL.dll.vbs Non trouvé
E:\autorun.inf Présent
E:\MS32DLL.dll.vbs Non trouvé
F:\autorun.inf Présent
F:\MS32DLL.dll.vbs Non trouvé
I:\autorun.inf Non trouvé
I:\MS32DLL.dll.vbs Non trouvé
C:\WINDOWS\MS32DLL.dll.vbs non trouvé

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
nwiz REG_SZ nwiz.exe /install
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
QuickTime Task REG_SZ "C:\Program Files\QuickTime\qttask.exe" -atboottime
iTunesHelper REG_SZ "F:\iPod Nano 4GO\iTunesHelper.exe"
avgnt REG_SZ "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
CTSyncU.exe REG_SZ "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
IncrediMail REG_SZ D:\Program Files\IncrediMail\bin\IncMail.exe /c
Messages postés
18206
Date d'inscription
vendredi 17 août 2007
Statut
Contributeur
Dernière intervention
30 novembre 2014
404
ok c´est bon

je reviendrais demain pour la suite

bonne nuit

@+