Trojan system32\cmcfg3.dll

Fermé

Leroy - 9 déc. 2007 à 20:02
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 13 déc. 2007 à 21:41

Bonjour,

Chers Membres de la communauté underground, bonsoir.

Je me trouve ce soir confronter a un problème que je n’arrive pas a résoudre – ce probleme c'est le Trojan horse Generic9.AATD
Mon anti-virus, AVG 7.5, le situe a cet endroit : "C:\WINDOWS\system32\cmcfg3.dll"
Il le supprime, mais au redémarrage, celui-ci redevient actif.
J’imagine que Hijackthis pourrais mettre utile pour son éradication, mais ne sachant pas l’utiliser je préfère vous demander conseil. Je vous remercie de votre aide et vous joint ci-dessous le rapport Hijack.

ps : J'ai reussi a me débarasser d'un autre virus qui a partir d'une recherche google me renvoyais sur une page search-daily. Malgré cela mon Pc patine dans la semoule (presque 10 minutes pour redémarrer). Une solution ?!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:32, on 09/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Norton Save and Restore\Agent\VProSvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\WLAN Card Utilities\Center.exe
C:\Program Files\HPQ\SHARED\HPQWMI.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Norton Save and Restore\Agent\NSRTray.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iTunes\iTunes.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\leroy\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.search.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr8/*https://fr.search.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer fourni par Yahoo! France
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {F08CDB2D-0228-4B1C-97A2-9BCABB6E5513} - C:\WINDOWS\system32\cmcfg3.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - C:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Control Center] C:\Program Files\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Norton Save and Restore] "C:\Program Files\Norton Save and Restore\Agent\NSRTray.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30155.www3.hp.com/ediags/hpfix/aio/fr/check/qdiagh.cab?326
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton Save and Restore - Symantec Corporation - C:\Program Files\Norton Save and Restore\Agent\VProSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

A voir également:

Trojan system32\cmcfg3.dll
Trojan remover - Télécharger - Antivirus & Antimalwares
Trojan al11 ✓ - Forum Virus
%Systemroot%\system32\shell32.dll - Forum Windows
Trojan impossible à supprimer! ✓ - Forum Virus
Xinput1_3.dll - Forum Jeux vidéo

81 réponses

Réponse 21 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 20:36

bonsoir

suis toujours sur ton problème

# Télécharge RavAntivirus d'Evosla,
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

puis

Sélectionne le texte suivant :

file::
c:\windows\system32\drivers\ylfiqyhy.dat

# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Réponse 22 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 20:59

je viens de faire l'analyse avec RAV.

voici le log :

[11/11/2007 20:48:15] - Virus trouvé : e:\autorun.inf
[11/11/2007 20:48:16] - Virus Supprimé avec succès == e:\autorun.inf
[11/11/2007 20:48:16] - Virus Supprimé avec succès

Par contre en dessous de (votre ordinateur est sain) il me demande si je veux réparer le registre il dit:

Analyse et supprime : SSVICHOSST : W32/Sohana-R Worm / DESTRUKTO
Répare le registre : Sohana-R Worm / DESTRUKTO

Est-ce que je donne l'ordre de réparer ?! ou je redemarre comme ca...

Je continue de faire la suite...

Réponse 23 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 21:01

oui tu répares stp

Réponse 24 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 21:08

Voila je viens de nettoyer avec RAV

le Log :

[11/12/2007 20:48:15] - virus trouvé : e:\autorun.inf
[11/12/2007 20:48:16] - virus Supprimé avec succès ==>e:\autorun.inf
[11/12/2007 20:48:16] - virus Supprimé avec succès
[11/12/2007 21:01:54] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ==> réparé
[11/12/2007 21:01:54] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ==> réparé
[11/12/2007 21:01:54] - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NofolderOptions ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden ==> réparé
[11/12/2007 21:01:54] - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun ==> réparé
[11/12/2007 21:01:54] - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Explorer ==> réparé
[11/12/2007 21:01:54] - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFolderOptions ==> réparé
[11/12/2007 21:01:54] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig ==> réparé
[11/12/2007 21:01:54] - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR ==> réparé

Maintenant je redemarre en normale pour voir si cela fonctionne, sinon je retourne en MSE pour m'occuper de ylfiqyhy.dat

A tout de suite...

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 21:09

Ok j'attends la suite pour voir

Réponse 26 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 21:16

Bon, la bonne nouvelle c'est que je suis en mode normal et que ca remarche.

Pour le moment j'arrive a ouvrir un fichier txt, mes programmes sembles fonctionnels, (très long a redemarrer, peut etre plus que d'habitude)

je lance combofix...

Réponse 27 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 21:18

ok
bonne news effectivement :)

Réponse 28 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 21:27

Voila voila...doucement mais surement...
Il a pas du aimer ce qu'on lui a fait, pauvre Pc!

Question : Est-ce que ca sert beaucoup que je garde norton si je continue pas l'abonnement chez eux ?!
Peux-tu me conseiller un Anti virus gratuit et performant ?

Ps : Le rapport arrive..étape 8.

Réponse 29 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 21:29

attends avant de changer d'av, il faut terminer tout ça. J'attends le rapport pour voir la suite.

quant à norton, c'est pas compliqué, si tu ne continues pas l'abonnement, plus de mises à jour, donc complètement inutile. Il existe des antivirus gratuit très bien. J'utilise ANTIVIR et j'en suis ravie.

Réponse 30 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 21:34

Ah oui j'ai oublié de te parler de la mauvaise nouvelle dit donc..
la clé usb qui était infecté d'après RAV je l'ai utilisé quand j'ai fait certain transfert des rapports de combofix et autre quand j'était en MSE sur l'autre pc. Aïe !

:-) pour l'instant tout semble ok sur celui la...

Réponse 31 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 21:38

merci pour la mauvaise nouvelle, tu en as d'autres des comme ça ? lol
tu pourras utiliser l'outil ravantivirus dessus aussi.

quant à dire si sur ce pc tout est ok, j'aimerais voir le rapport de combo stp

Réponse 32 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 21:44

Voila enfin le rapport de combofix

ComboFix 07-12-08.1 - Leroy 2007-12-11 21:24:56.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.90 [GMT 1:00]
Running from: C:\Documents and Settings\Leroy\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Leroy\Bureau\CFScript.txt
* Created a new restore point

FILE
c:\windows\system32\drivers\ylfiqyhy.dat
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-11 to 2007-12-11 ))))))))))))))))))))))))))))))))))))
.

2007-12-10 18:20 . 2007-12-10 18:20 <REP> d-------- C:\Documents and Settings\Leroy\Application Data\Grisoft
2007-12-10 18:19 . 2007-12-10 18:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2007-12-10 18:19 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-12-10 18:03 . 2007-12-10 18:03 23,570,258 --a------ C:\upload_moi_B-DOG.tar.gz
2007-12-10 00:08 . 2007-12-11 16:43 <REP> d-------- C:\Hijackthis
2007-12-08 16:30 . 2007-12-08 16:33 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\AVG7
2007-12-08 13:51 . 2007-12-08 13:51 <REP> d-------- C:\VundoFix Backups
2007-12-07 20:12 . 2007-12-07 20:12 <REP> d-------- C:\Program Files\Lavasoft
2007-12-07 20:12 . 2007-12-07 20:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-12-06 13:34 . 2007-05-29 13:55 22,112 -ra------ C:\WINDOWS\system32\drivers\COH_Mon.sys
2007-12-06 13:34 . 2007-05-29 13:55 10,592 -ra------ C:\WINDOWS\system32\drivers\COH_Mon.cat
2007-12-06 13:34 . 2007-05-29 13:55 705 -ra------ C:\WINDOWS\system32\drivers\COH_Mon.inf
2007-12-05 18:46 . 2007-12-05 18:46 <REP> d-------- C:\Program Files\The Weather Channel FW
2007-12-05 11:48 . 2007-12-05 11:48 <REP> d-------- C:\Program Files\Alwil Software
2007-12-04 21:40 . 2007-12-05 18:46 <REP> d-------- C:\Program Files\a-squared Free
2007-12-03 19:23 . 2007-12-03 19:24 <REP> d-------- C:\Program Files\iTunes
2007-12-03 19:16 . 2007-12-10 21:51 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-03 19:16 . 2007-12-03 19:16 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-03 19:09 . 2007-12-03 19:09 <REP> d-------- C:\Program Files\Apple Software Update
2007-12-02 18:36 . 2007-12-02 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2007-12-02 18:35 . 2007-06-21 21:54 75,248 --a------ C:\WINDOWS\zllsputility.exe
2007-12-02 18:35 . 2007-06-21 21:55 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2007-12-02 18:35 . 2007-06-21 21:55 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2007-12-02 18:35 . 2007-06-21 21:55 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-12-02 18:35 . 2007-06-21 21:55 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-12-02 18:35 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-12-02 18:35 . 2007-12-02 18:40 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-12-02 18:34 . 2007-12-02 18:34 75,932 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-12-02 18:34 . 2007-12-02 18:34 74,396 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-12-02 18:33 . 2007-12-11 21:32 22,358,048 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-02 18:33 . 2007-12-10 18:30 262,820 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-12-02 18:33 . 2007-05-31 00:03 110,360 --a------ C:\WINDOWS\system32\drivers\kl1.sys
2007-12-02 18:31 . 2007-12-02 20:01 <REP> d-------- C:\WINDOWS\system32\ZoneLabs
2007-12-02 18:31 . 2007-06-21 21:54 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-12-02 18:31 . 2007-12-11 21:18 58,727 --a------ C:\WINDOWS\system32\vsconfig.xml
2007-12-02 18:28 . 2007-12-11 21:19 <REP> d-------- C:\WINDOWS\Internet Logs
2007-12-02 15:56 . 2007-12-09 08:00 <REP> d-------- C:\Documents and Settings\Leroy\Application Data\AVG7
2007-12-02 15:55 . 2007-12-02 15:55 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AVG7
2007-12-02 15:54 . 2007-12-09 20:26 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg7
2007-12-02 15:24 . 2007-12-02 15:24 <REP> d-------- C:\Program Files\ZNsoft Corporation
2007-12-02 15:24 . 2004-10-06 12:08 606,208 --a------ C:\WINDOWS\system32\BtnPlus1.ocx
2007-12-02 15:24 . 2004-10-06 12:24 471,040 --a------ C:\WINDOWS\system32\FraPlus1.ocx
2007-12-02 15:24 . 2000-10-01 23:00 119,568 --a------ C:\WINDOWS\system32\VB6FR.DLL
2007-12-02 15:24 . 1997-05-01 00:00 57,856 --a------ C:\WINDOWS\system32\DrvFacts.ocx
2007-12-01 03:02 . 2007-12-01 03:02 <REP> d-------- C:\Program Files\Windows Live Favorites
2007-11-30 23:57 . 2007-11-30 23:57 317,616 --a------ C:\WINDOWS\system32\drivers\srtspl.sys
2007-11-30 23:57 . 2007-11-30 23:57 279,088 --a------ C:\WINDOWS\system32\drivers\srtsp.sys
2007-11-30 23:57 . 2007-11-30 23:57 43,696 --a------ C:\WINDOWS\system32\drivers\srtspx.sys
2007-11-30 23:57 . 2007-11-30 23:57 10,549 --a------ C:\WINDOWS\system32\drivers\srtspx.cat
2007-11-30 23:57 . 2007-11-30 23:57 10,549 --a------ C:\WINDOWS\system32\drivers\srtspl.cat
2007-11-30 23:57 . 2007-11-30 23:57 10,545 --a------ C:\WINDOWS\system32\drivers\srtsp.cat
2007-11-30 23:57 . 2007-11-30 23:57 1,430 --a------ C:\WINDOWS\system32\drivers\srtspl.inf
2007-11-30 23:57 . 2007-11-30 23:57 1,421 --a------ C:\WINDOWS\system32\drivers\srtspx.inf
2007-11-30 23:57 . 2007-11-30 23:57 1,415 --a------ C:\WINDOWS\system32\drivers\srtsp.inf
2007-11-29 16:29 . 2007-11-29 16:29 <REP> d-------- C:\WINDOWS\Applian FLV Player
2007-11-29 16:29 . 2007-11-29 16:29 <REP> d-------- C:\Program Files\FLV Player
2007-11-28 00:50 . 2007-12-08 14:59 <REP> d-------- C:\Program Files\eMule
2007-11-27 19:33 . 2007-01-12 23:50 215,144 --a------ C:\WINDOWS\pw32a0.dll
2007-11-27 19:30 . 2007-12-06 13:28 10,740 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-11-27 19:30 . 2007-12-06 13:28 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-11-26 11:56 . 2007-11-26 11:56 335 --a------ C:\WINDOWS\mozregistry.dat
2007-11-25 19:06 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\Korg\Voisinage réseau
2007-11-25 19:06 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\Korg\Voisinage d'impression
2007-11-25 19:06 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\Korg\Modèles
2007-11-25 19:06 . 2007-11-25 19:07 <REP> dr-h----- C:\Documents and Settings\Korg\Mes documents
2007-11-25 19:06 . 2005-10-26 11:52 <REP> dr-h----- C:\Documents and Settings\Korg\Menu Démarrer
2007-11-25 19:06 . 2007-11-25 19:07 <REP> dr-h----- C:\Documents and Settings\Korg\Favoris
2007-11-25 19:06 . 2007-12-09 20:27 <REP> d--h----- C:\Documents and Settings\Korg\Bureau
2007-11-25 16:15 . 2007-11-25 16:15 1,156 --a------ C:\WINDOWS\mozver.dat
2007-11-25 14:49 . 2007-11-25 14:49 <REP> d-------- C:\Program Files\Lavalys
2007-11-25 03:16 . 2007-11-25 03:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2007-11-25 01:55 . 2007-11-25 01:56 <REP> d-------- C:\WINDOWS\system32\NtmsData
2007-11-25 00:52 . 2007-11-25 00:52 2 --a------ C:\WINDOWS\msoffice.ini
2007-11-25 00:27 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\PH2\Voisinage réseau
2007-11-25 00:27 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\PH2\Voisinage d'impression
2007-11-25 00:27 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\PH2\Modèles
2007-11-25 00:27 . 2007-11-25 00:34 <REP> dr------- C:\Documents and Settings\PH2\Mes documents
2007-11-25 00:27 . 2005-10-26 11:52 <REP> dr------- C:\Documents and Settings\PH2\Menu Démarrer
2007-11-25 00:27 . 2007-11-25 00:28 <REP> dr------- C:\Documents and Settings\PH2\Favoris
2007-11-25 00:27 . 2007-11-25 00:27 <REP> d-------- C:\Documents and Settings\PH2\Bureau
2007-11-24 22:45 . 2007-11-24 22:45 <REP> d-------- C:\Program Files\Windows Resource Kits
2007-11-24 00:01 . 2007-11-24 00:01 0 --a------ C:\Documents and Settings\Administrateur\Application Data\wklnhst.dat
2007-11-23 23:50 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2007-11-23 23:50 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2007-11-23 23:50 . 2005-10-26 11:52 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2007-11-23 23:50 . 2005-10-26 03:58 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2007-11-23 23:50 . 2005-10-26 11:52 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2007-11-23 23:50 . 2005-10-26 03:58 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2007-11-23 23:50 . 2007-12-09 20:27 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2007-11-23 23:50 . 2005-10-26 04:27 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2007-11-23 23:50 . 2005-10-26 04:25 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2007-11-23 19:46 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-11-23 19:46 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys
2007-11-23 19:45 . 2004-08-04 00:54 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2007-11-23 19:45 . 2004-08-04 00:54 21,504 --a------ C:\WINDOWS\system32\dllcache\hidserv.dll
2007-11-23 19:45 . 2004-08-04 00:45 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2007-11-23 19:45 . 2004-08-04 00:45 14,848 --a------ C:\WINDOWS\system32\dllcache\kbdhid.sys
2007-11-23 19:45 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-11-23 19:45 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-11 20:22 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2007-12-09 19:16 5,894 ----a-w C:\Documents and Settings\Leroy\Application Data\wklnhst.dat
2007-12-06 12:35 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2007-12-06 12:29 --------- d-----w C:\Program Files\Symantec
2007-12-06 12:28 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2007-12-06 12:28 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-12-03 18:23 --------- d-----w C:\Program Files\iPod
2007-12-03 18:19 --------- d-----w C:\Program Files\QuickTime
2007-12-03 18:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2007-12-01 02:04 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-11-28 14:17 --------- d-----w C:\Program Files\Java
2007-11-27 21:56 --------- d-----w C:\Program Files\Google
2007-11-27 18:55 --------- d-----w C:\Program Files\Norton Save and Restore
2007-11-27 18:42 --------- d-----w C:\Program Files\Norton Internet Security
2007-11-25 13:11 --------- d-----w C:\Program Files\Yahoo!
2007-11-25 13:10 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-11-25 13:10 --------- d-----w C:\Program Files\HPQ
2007-11-25 13:10 --------- d-----w C:\Program Files\Fichiers communs\AOL
2007-11-25 10:51 --------- d-----w C:\Program Files\Easy Internet signup
2007-11-24 23:53 --------- d-----w C:\Documents and Settings\Invité\Application Data\AOL
2007-11-24 23:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\AOL
2007-11-07 13:28 68,248 ----a-w C:\Documents and Settings\Leroy\Application Data\GDIPFONTCACHEV1.DAT
2007-11-07 00:45 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2
2007-11-06 03:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar
2007-11-06 03:03 --------- d-----w C:\Program Files\MSN Messenger
2007-10-25 16:43 8,516,608 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-09-14 12:28 55,560 ----a-w C:\WINDOWS\system32\adssite-remove.exe
2007-01-28 15:51 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-12-28 17:36 424 ----a-w C:\Documents and Settings\Invité\Application Data\wklnhst.dat
2006-09-08 01:50 774,144 ----a-w C:\Program Files\RngInterstitial.dll
.

((((((((((((((((((((((((((((( snapshot@2007-12-09_20.51.56.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-03-06 14:27:46 162,816 ----a-w C:\WINDOWS\erdnt\[u]0[/u]9-12-2007\ERDNT.EXE
+ 2007-12-09 22:00:05 6,225,920 ----a-w C:\WINDOWS\erdnt\[u]0[/u]9-12-2007\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-12-09 22:00:05 147,456 ----a-w C:\WINDOWS\erdnt\[u]0[/u]9-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
+ 2005-03-06 14:27:46 162,816 ----a-w C:\WINDOWS\erdnt\10-12-2007\ERDNT.EXE
+ 2007-12-10 16:22:52 7,286,784 ----a-w C:\WINDOWS\erdnt\10-12-2007\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-12-10 16:22:52 147,456 ----a-w C:\WINDOWS\erdnt\10-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
+ 2005-03-06 14:27:46 162,816 ----a-w C:\WINDOWS\erdnt\AutoBackup\10-12-2007\ERDNT.EXE
+ 2007-12-10 00:19:30 7,286,784 ----a-w C:\WINDOWS\erdnt\AutoBackup\10-12-2007\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-12-10 00:19:34 147,456 ----a-w C:\WINDOWS\erdnt\AutoBackup\10-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
+ 2005-03-06 14:27:46 162,816 ----a-w C:\WINDOWS\erdnt\AutoBackup\11-12-2007\ERDNT.EXE
+ 2007-12-11 20:12:43 7,286,784 ----a-w C:\WINDOWS\erdnt\AutoBackup\11-12-2007\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-12-11 20:12:46 147,456 ----a-w C:\WINDOWS\erdnt\AutoBackup\11-12-2007\Users\[u]0[/u]0000002\UsrClass.dat
+ 2005-03-06 14:27:46 162,816 ----a-w C:\WINDOWS\erdnt\AutoBackup\2007-12-10\ERDNT.EXE
+ 2007-12-09 23:44:35 6,230,016 ----a-w C:\WINDOWS\erdnt\AutoBackup\2007-12-10\Users\[u]0[/u]0000001\ntuser.dat
+ 2007-12-09 23:44:39 147,456 ----a-w C:\WINDOWS\erdnt\AutoBackup\2007-12-10\Users\[u]0[/u]0000002\UsrClass.dat
+ 2007-12-11 20:07:53 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_180.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"googletalk"="C:\Program Files\Google\Google Talk\googletalk.exe" [2007-04-19 06:39]
"MoneyAgent"="C:\Program Files\Microsoft Money\System\Money Express.exe" [2001-07-25 09:00]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 16:43]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 09:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 20:05]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 21:50]
"hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-05-04 09:59]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-09-03 00:04]
"eabconfg.cpl"="C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 15:17]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2005-08-01 13:26]
"Control Center"="C:\Program Files\WLAN Card Utilities\Center.exe" [2005-02-18 16:49]
"WorksFUD"="C:\Program Files\Microsoft Works\wkfud.exe" [2001-10-09 13:28]
"Microsoft Works Portfolio"="C:\Program Files\Microsoft Works\WksSb.exe" [2004-07-11 19:56]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2001-10-05 16:51]
"Norton Save and Restore"="C:\Program Files\Norton Save and Restore\Agent\NSRTray.exe" [2007-03-26 15:45]
"osCheck"="C:\Program Files\Norton Internet Security\osCheck.exe" [2006-09-05 18:22]
"Symantec PIF AlertEng"="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 14:42]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 12:54]
"MoneyStartUp10.0"="C:\Program Files\Microsoft Money\System\Activation.exe" [2001-07-25 09:00]
"PicasaNet"="C:\Program Files\Hello\Hello.exe" []
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2006-07-17 19:43]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" []

C:\Documents and Settings\Rob\Menu D‚marrer\Programmes\D‚marrage\
ERUNT AutoBackup.lnk - C:\Program Files\ERUNT\AUTOBACK.EXE [2005-03-06 15:26:48]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - C:\Program Files\Hp\Digital Imaging\bin\hpqtra08.exe [2004-11-04 18:28:24]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

R1 V2IMount;V2IMount;C:\WINDOWS\system32\drivers\V2IMount.sys
R2 Norton Save and Restore;Norton Save and Restore;C:\Program Files\Norton Save and Restore\Agent\VProSvc.exe
R3 ASNDIS5;ASNDIS5 Protocol Driver;\??\C:\PROGRA~1\WLANCA~1\ASNDIS5.SYS
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys
S0 wynohuqt;wynohuqt;C:\WINDOWS\system32\drivers\ylfiqyhy.dat
S2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c943251-9d1f-11dc-8718-0014a577d395}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

*Newly Created Service* - COMHOST
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-08 06:41:15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2007-12-07 19:00:01 C:\WINDOWS\Tasks\Norton Internet Security - Analyse système complète - Korg.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/TASK:
"2007-12-11 20:20:12 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\DOCUME~1\Rob\LOCALS~1\Temp\qqgtjsrb.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-11 21:32:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe????????0?0?9?0??@???? ???B?????????????hLC? ??????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-11 21:35:55
C:\ComboFix2.txt ... 2007-12-11 16:51
C:\ComboFix3.txt ... 2007-12-10 00:45
.
--- E O F ---

C'est bien ?!

Réponse 33 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 22:14

ce n'est pas aussi clean que j'aimerais

fait analyser ca stp
C:\Documents and Settings\Leroy\Application Data\wklnhst.dat

et

* Télécharge CCleaner.

https://www.pcastuces.com/logitheque/ccleaner.htm

Installe le dans un répertoire dédié.

Décoche pendant l'installation

--- les deux cases "Ajouter l'option ... "

--- Contrôler les mises à jour

--- Ajouter la Barre d'Outils Yahoo! CCleaner

* Lance Ccleaner pour un nettoyage complet.

et

ensuite télécharge
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
suis le mode d'emploi

tu me diras si il a trouvé quelque chose

puis

* Copie les lignes de la citation suivante, d'un trait :

Drivers to unload:   
C:\WINDOWS\system32\drivers\fidbox.dat
C:\WINDOWS\system32\drivers\fidbox.idx 
C:\WINDOWS\system32\drivers\ylfiqyhy.dat

--> Clic droit / "copier"

Maintenant crée un nouveau document texte : clic droit de souris sur le bureau, "Nouveau" > "Document Texte".

* Ouvre-le et colle dedans ce que tu viens de copier précédemment
* Enregistre ce fichier sur ton bureau (nom : mad.txt)

* Télécharge à présent The Avenger
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* Dézippe-le sur ton bureau et double-clique sur le fichier "avenger.exe"
* Clique sur "Ok"
* Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.
* Sélectionne le fichier mad.txt qui est sur ton bureau
* Clique sur le feu vert pour lancer le script
* Clique sur "Oui"
* Accepte de redémarrer ton pc

après le redémarrage :

* Ouvre le fichier C:\avenger.txt et copie/colle son contenu ici.

tu vas aller voir manuellement dans la base de registre si tu trouves ce qui est en gras stp
démarrer------------exécuter-------------regedit----------ok
déplie l'arborescence pour arriver jusqu'à
tu peux également faire un copier coller de
{7c9432 51-9d1f-11dc-8718-0014a577d395}
en faisant dans le registre Edition---------rechercher

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c9432 51-9d1f-11dc-8718-0014a577d395}
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

je ne comprends pas pourquoi il apparait encore après le passage de ravantivirus.

@ +

Réponse 34 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 22:21

j'utilise quoi pour analyser C:\Documents and Settings\Leroy\Application Data\wklnhst.dat

Virustotal ?

Réponse 35 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 22:28

oui virus total stp

Réponse 36 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 23:34

de retour,

J'ai donné un coup de CCleaner, puis de Flash_Disinfector qui n'a rien trouvé de suspect.
j'ai ensuite copié les lignes suivante

Drivers to unload:
C:\WINDOWS\system32\drivers\fidbox.dat
C:\WINDOWS\system32\drivers\fidbox.idx
C:\WINDOWS\system32\drivers\ylfiqyhy.dat

pour avenger qui les a traités.
Voici le résultat :

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\dkuwysmn

*******************

Script file located at: \??\C:\WINDOWS\dwufrklv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key \Registry\Machine\System\CurrentControlSet\Services\C:\WINDOWS\system32\drivers\fidbox.dat not found!
Unload of driver C:\WINDOWS\system32\drivers\fidbox.dat failed!

Could not process line:
C:\WINDOWS\system32\drivers\fidbox.dat
Status: 0xc0000034

Registry key \Registry\Machine\System\CurrentControlSet\Services\C:\WINDOWS\system32\drivers\fidbox.idx not found!
Unload of driver C:\WINDOWS\system32\drivers\fidbox.idx failed!

Could not process line:
C:\WINDOWS\system32\drivers\fidbox.idx
Status: 0xc0000034

Registry key \Registry\Machine\System\CurrentControlSet\Services\C:\WINDOWS\system32\drivers\ylfiqyhy.dat not found!
Unload of driver C:\WINDOWS\system32\drivers\ylfiqyhy.dat failed!

Could not process line:
C:\WINDOWS\system32\drivers\ylfiqyhy.dat
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

Je suis allé dans le registre manuellement, voici l'arborescence que j'ai suivi :

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c9432 51-9d1f-11dc-8718-0014a577d395}
après plus rien, juste trois ligne a droite :

(par défaut) REG_SZ (valeur non définie)
_AutorunStatus REG_BINARY 01 01 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff...
BaseClass REG_SZ Drive

Question : C'est quoi antihost.exe ?!

Merci de ton soutien

Réponse 37 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 23:38

Je suis allé dans le registre manuellement, voici l'arborescence que j'ai suivi :

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7c9432 51-9d1f-11dc-8718-0014a577d395}
après plus rien, juste trois ligne a droite :

(par défaut) REG_SZ (valeur non définie)
_AutorunStatus REG_BINARY 01 01 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff...
BaseClass REG_SZ Drive

avais tu ceci ou non
{7c9432 51-9d1f-11dc-8718-0014a577d395}

fait un screen au besoin stp.

Question : C'est quoi antihost.exe ?!

un petit tour ici
http://www.malekal.com/Worm.Win32.Delf.ca.php
une infection

Réponse 38 / 81

Marxes Messages postés 38 Date d'inscription dimanche 9 décembre 2007 Statut Membre Dernière intervention 13 décembre 2007
11 déc. 2007 à 23:52

résultat de l'analyse du fichier wklnhst.dat :

Fichier wklnhst.dat reçu le 2007.12.11 23:37:21 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/32 (0%)
Information additionnelle
File size: 5894 bytes
MD5: c5caf058b1f9e4a7102323fd5a26e20d
SHA1: 5217f7db4292b8535b74f3ad5dda60ad071d45b1
PEiD: -

Je te confirme j'avais bien ce dossier dans l'arborescence :{7c9432 51-9d1f-11dc-8718-0014a577d395}
mais ca n'allais pas plus loin... (juste les 3 lignes dont je t'ai parlé)

ps : Tu ne pourras pas me dire que je ne te fait pas progresser hein ! ;-)
au faite, comment je peux envoyer un screen sur ce site ?!

Réponse 39 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
11 déc. 2007 à 23:56

si on progresse, moi avec.....merci merci :) je m'ennuyais le" soir lol

pour le screen, tu passes par un site du style
https://www.enregistrersous.com/

edit : je reviens

Réponse 40 / 81

philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 206
12 déc. 2007 à 00:00

bon on reprend comme ceci maintenant

1 tu vas refaire une nouvelle sauvegarde d'erunt
tuto ici point 2
http://pageperso.aol.fr/loraline60/tuto_erunt.htm

puis

2 Sélectionne le texte suivant :

Driver::
wynohuqt

Registry::
[-HKEY_CURRENT_USER \software\microsoft\windows\currentversion\explorer\mountpoints2\{7c9432 51-9d1f-11dc-8718-0014a577d395}]

File::
C:\WINDOWS\system32\drivers\ylfiqyhy.dat

# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

3 reviens avec un nouveau rapport hijackthis + un nouveau rapport SREng et le rapport de combo bien sûr suite à la manip

.

Discussions similaires

XINPUT1_3.dll manquant (missing)

cheval de troie trojan

Comment supprimer le virus Trojan

message au demarrage de windows

Windows bloqué --> x:\windows\system32>