SdBOT Help please - Page 2

Précédent
  • 1
  • 2
  1. Mariej2005
     
    salut le Sioux,

    l'ordi a l'air un peu moins lent, mais antivir me fait toujours des alertes, il trouve dans C:\doc&settings\...\ade[1].exe et ensuite dans C:\cp.exe, toujours le meme truc: TR\Crypt.U.Gen.

    Sinon, j'ai tout fait comme tu as dit

    Pour le 2/ : suppression des services malveillant, ca a marché a priori sauf pour ceux entre guillemets , il ne les a pas trouvé…

    Pour les autres étapes, voici les scan :

    d'abord les 2 scan virustotal:

    APEKL.exe

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.12.22.10 2007.12.21 Win-Trojan/Sinowal.81984.B
    AntiVir 7.6.0.46 2007.12.22 TR/PWS.Sinowal.Gen
    Authentium 4.93.8 2007.12.21 -
    Avast 4.7.1098.0 2007.12.21 -
    AVG 7.5.0.503 2007.12.21 PSW.Sinowal.A
    BitDefender 7.2 2007.12.22 -
    CAT-QuickHeal 9.00 2007.12.22 Trojan.Pakes.buf
    ClamAV 0.91.2 2007.12.22 -
    DrWeb 4.44.0.09170 2007.12.21 -
    eSafe 7.0.15.0 2007.12.20 -
    eTrust-Vet 31.3.5395 2007.12.21 Win32/VMalum.BTKE
    Ewido 4.0 2007.12.22 -
    FileAdvisor 1 2007.12.22 -
    Fortinet 3.14.0.0 2007.12.22 -
    F-Prot 4.4.2.54 2007.12.21 W32/Trojan2.MEW
    F-Secure 6.70.13030.0 2007.12.21 Trojan.Win32.Pakes.buf
    Ikarus T3.1.1.15 2007.12.22 Trojan.Win32.Pakes.buf
    Kaspersky 7.0.0.125 2007.12.22 Trojan.Win32.Pakes.buf
    McAfee 5191 2007.12.21 -
    Microsoft 1.3109 2007.12.22 -
    NOD32v2 2740 2007.12.21 -
    Norman 5.80.02 2007.12.21 W32/Sinowal.ALH
    Panda 9.0.0.4 2007.12.22 Suspicious file
    Prevx1 V2 2007.12.22 -
    Rising 20.23.51.00 2007.12.22 -
    Sophos 4.24.0 2007.12.22 Mal/Sinowa-A
    Sunbelt 2.2.907.0 2007.12.21 BigBlue
    Symantec 10 2007.12.22 Trojan.Anserin
    TheHacker 6.2.9.167 2007.12.21 Trojan/Pakes.buf
    VBA32 3.12.2.5 2007.12.21 -
    VirusBuster 4.3.26:9 2007.12.21 -
    Webwasher-Gateway 6.6.2 2007.12.22 Trojan.PWS.Sinowal.Gen
    Information additionnelle
    File size: 81984 bytes
    MD5: d1c4458dac6ab5127393c23aa6cf1923
    SHA1: 0122cf3583d6abe0753d3d77daaf33e3a7abfd6f
    PEiD: -
    Sunbelt info: BigBlue is keystroke logger that captures sensitive information on the infected computer and records it in a log.

    LO.exe:

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2007.12.22.10 2007.12.21 -
    AntiVir 7.6.0.46 2007.12.22 TR/Dropper.Gen
    Authentium 4.93.8 2007.12.21 -
    Avast 4.7.1098.0 2007.12.21 -
    AVG 7.5.0.503 2007.12.21 -
    BitDefender 7.2 2007.12.22 -
    CAT-QuickHeal 9.00 2007.12.22 -
    ClamAV 0.91.2 2007.12.22 -
    DrWeb 4.44.0.09170 2007.12.21 -
    eSafe 7.0.15.0 2007.12.20 -
    eTrust-Vet 31.3.5395 2007.12.21 -
    Ewido 4.0 2007.12.22 -
    FileAdvisor 1 2007.12.22 -
    Fortinet 3.14.0.0 2007.12.22 -
    F-Prot 4.4.2.54 2007.12.21 -
    F-Secure 6.70.13030.0 2007.12.21 Trojan.Win32.Pakes.buy
    Ikarus T3.1.1.15 2007.12.22 Trojan.Win32.Pakes.buy
    Kaspersky 7.0.0.125 2007.12.22 Trojan.Win32.Pakes.buy
    McAfee 5191 2007.12.21 -
    Microsoft 1.3109 2007.12.22 VirTool:Win32/CeeInject.gen!A
    NOD32v2 2740 2007.12.21 a variant of Win32/Injector.G
    Norman 5.80.02 2007.12.21 -
    Panda 9.0.0.4 2007.12.22 -
    Prevx1 V2 2007.12.22 -
    Rising 20.23.51.00 2007.12.22 Backdoor.Win32.SdBot.qqc
    Sophos 4.24.0 2007.12.22 Mal/Behav-169
    Sunbelt 2.2.907.0 2007.12.21 -
    Symantec 10 2007.12.22 -
    TheHacker 6.2.9.167 2007.12.21 -
    VBA32 3.12.2.5 2007.12.21 -
    VirusBuster 4.3.26:9 2007.12.21 -
    Webwasher-Gateway 6.6.2 2007.12.22 Trojan.Dropper.Gen
    Information additionnelle
    File size: 56320 bytes
    MD5: 07dfbcbebaee27d35a417a192fd6a819
    SHA1: 02f889f2f8ca4910a122ef2f7da559f07cb376c7
    PEiD: -

    VOICI LE RAPPORT DE COMBOFIX:

    ComboFix 07-12-19.2 - Guillaume 2007-12-22 14:04:52.2 - NTFSx86

    Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Guillaume\My Documents\Télécharger\Report Scan\CFScript.txt
    .

    ((((((((((((((((((((((((( Files Created from 2007-11-22 to 2007-12-22 )))))))))))))))))))))))))))))))
    .

    2007-12-21 21:41 . 2007-12-21 21:41 57 --a------ C:\WINDOWS\system32\x
    2007-12-21 21:29 . 2007-12-21 21:29 0 --a------ C:\WINDOWS\system32\Tilecomgm.com
    2007-12-19 22:09 . 2007-12-21 23:19 1,944 --a------ C:\WINDOWS\system32\tmp.reg
    2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
    2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2007-12-19 21:33 . 2007-12-19 21:33 56,320 ---hs---- C:\lo.exe
    2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
    2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-12-19 00:16 . 2007-12-19 00:16 303,104 --a------ C:\WINDOWS\system32\lfzqva.exe.ren
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-12-17 00:43 . 2007-12-17 00:48 81,984 --a------ C:\apekl.exe
    2007-12-11 07:11 . 2007-12-17 00:49 2 --a------ C:\1683552049
    2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
    2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
    2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
    2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
    2007-12-04 21:42 . 2007-12-04 21:42 29 --a------ C:\WINDOWS\system32\gofuteid.tmp
    2007-12-04 21:40 . 2007-12-04 21:38 162,304 ---hsc--- C:\WINDOWS\system32\dllcache\msfav32.exe
    2007-12-04 21:31 . 2007-12-04 21:31 29 --a------ C:\WINDOWS\system32\wtpwsgrs.tmp
    2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
    2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
    2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    2007-10-22 18:47 25,212 ----a-w C:\WINDOWS\system32\hderjsw.exe
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
    + 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
    - 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2007-12-21 20:41:00 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    - 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    + 2007-12-22 13:04:43 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    - 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    + 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
    "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]
    "Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" []

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

    *Newly Created Service* - PROCEXP90
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-22 14:06:28
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-22 14:07:18
    C:\ComboFix2.txt ... 2007-12-19 23:00

    Et le rapport hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:11:22, on 22/12/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\dllcache\msfav32.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-1844237615-1383384898-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe
    0
  2. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    Yes, on va y arriver, t inquietes pas ;)

    par contre si tu as d autres alertes notes le chemin exact s il te plait et le nom ou sinon, je t enverrais voir dans les rapports d antivir.

    1) Suppression d'un service malveillant


    « Démarrer » / « Exécuter» / puis tape

    sc stop "WindowsInternet Connection Sharing" valide par ok.

    « Démarrer » / « Exécuter» / puis tape

    sc delete "WindowsInternet Connection Sharing" valide par ok.

    2) ComboFix avec CFScript :

    * Sélectionne le texte suivant (en gras) dans son intégralité :


    Registry::
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsInternet Connection Sharing]

    File::
    C:\cp.exe
    C:\apekl.exe
    C:\lo.exe
    C:\WINDOWS\system32\dllcache\msfav32.exe
    C:\WINDOWS\system32\lfzqva.exe.ren
    C:\1683552049
    C:\WINDOWS\system32\gofuteid.tmp
    C:\WINDOWS\system32\wtpwsgrs.tmp
    C:\WINDOWS\system32\hderjsw.exe
    C:\WINDOWS\System32\dllcache\sxch0st.exe
    C:\WINDOWS\system\msnmsgr32.exe
    C:\WINDOWS\system32\2.tmp
    C:\WINDOWS\system\load.exe


    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt

    Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
    (Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt)

    et un nouveau rapport Hijackthis stp.

    @ suivre
    0
  3. Mariej2005
     
    re re,

    l'ordi va plus vite. J'ai toujours les alertes, j'ai noté les chemins (je les mets a la fin du post)

    sinon, voici les scan

    ComboFix 07-12-19.2 - Guillaume 2007-12-22 15:01:42.3 - NTFSx86

    Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Guillaume\My Documents\Télécharger\combofix\CFScript.txt

    FILE
    C:\1683552049
    C:\apekl.exe
    C:\cp.exe
    C:\lo.exe
    C:\WINDOWS\system\load.exe
    C:\WINDOWS\system\msnmsgr32.exe
    C:\WINDOWS\system32\2.tmp
    C:\WINDOWS\system32\dllcache\msfav32.exe
    C:\WINDOWS\System32\dllcache\sxch0st.exe
    C:\WINDOWS\system32\gofuteid.tmp
    C:\WINDOWS\system32\hderjsw.exe
    C:\WINDOWS\system32\lfzqva.exe.ren
    C:\WINDOWS\system32\wtpwsgrs.tmp
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\1683552049
    C:\lo.exe
    C:\Program Files\Helper
    C:\Program Files\Helper\superfinderusa.dll
    C:\WINDOWS\system32\2.tmp
    C:\WINDOWS\system32\dllcache\msfav32.exe
    C:\WINDOWS\system32\gofuteid.tmp
    C:\WINDOWS\system32\hderjsw.exe
    C:\WINDOWS\system32\koos.exe
    C:\WINDOWS\system32\kprof
    C:\WINDOWS\system32\lfzqva.exe.ren
    C:\WINDOWS\system32\poof
    C:\WINDOWS\system32\wtpwsgrs.tmp
    C:\WINDOWS\system32\xpdx.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

    .
    -------\LEGACY_KPROF
    -------\LEGACY_LDRSVC
    -------\LEGACY_POOF
    -------\ldrsvc

    ((((((((((((((((((((((((( Files Created from 2007-11-22 to 2007-12-22 )))))))))))))))))))))))))))))))
    .

    2007-12-22 14:57 . 2007-12-22 14:57 72,192 --a------ C:\bot.exe
    2007-12-22 14:57 . 2007-12-22 14:57 66,560 --a------ C:\gfifrww.exe
    2007-12-22 14:57 . 2007-12-22 14:57 57,856 --a------ C:\actgm.exe
    2007-12-21 21:41 . 2007-12-21 21:41 57 --a------ C:\WINDOWS\system32\x
    2007-12-21 21:29 . 2007-12-21 21:29 0 --a------ C:\WINDOWS\system32\Tilecomgm.com
    2007-12-19 22:09 . 2007-12-21 23:19 1,944 --a------ C:\WINDOWS\system32\tmp.reg
    2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
    2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
    2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
    2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
    2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
    2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
    2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
    2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
    2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
    + 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
    - 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2007-12-21 20:41:00 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    - 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    + 2007-12-22 13:04:43 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    - 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    + 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
    "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]
    "Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" []

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-22 15:06:07
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    **************************************************************************
    .
    Completion time: 2007-12-22 15:08:29 - machine was rebooted [Guillaume]
    C:\ComboFix2.txt ... 2007-12-22 14:07
    C:\ComboFix3.txt ... 2007-12-19 23:00

    ------------------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:09:48, on 22/12/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe (file missing)
    0
  4. mariej2005
     
    j'en ai eu une autre (antivir) :
    virus : W32/Sality.Q
    Dans: C:\Windows\system32\fenfjae.exe

    et ensuite j'ai eu un pop-up qui m' adit que mon ordi allait "shuting down " dans 49 sec...et je ne pouvais rien faire...
    j'ai l'impression que qd on arrive a corriger qqchose , autre chose arrive
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Marie

    Je vois ce que l on peut faire ensemble tout a l heure.

    @ +
    0
  7. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Marie

    1) Suppression d'un service malveillant

    « Démarrer » / « Exécuter» / puis tape

    sc stop "Windows Internet Connection Sharing" valide par ok.

    « Démarrer » / « Exécuter» / puis tape

    sc delete "Windows Internet Connection Sharing"
    valide par ok.

    2) ComboFix avec CFScript :

    Supprime les autres scripts qui se trouvent sur ton Bureau puis

    * Sélectionne le texte suivant (en gras) dans son intégralité :

    Registry::
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Windows Driver"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Internet Connection Sharing]

    File::
    C:\bot.exe
    C:\gfifrww.exe
    C:\actgm.exe
    C:\WINDOWS\system32\x
    C:\WINDOWS\system32\Tilecomgm.com
    C:\WINDOWS\system32\tmp.reg
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe

    Folder::
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1


    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt

    Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
    (Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt)

    et un nouveau rapport Hijackthis stp.

    @ suivre
    0
  8. mariej2005
     
    bonjour,

    voici le report de combofix:

    ComboFix 07-12-19.2 - Guillaume 2007-12-23 9:58:13.4 - NTFSx86
    Microsoft Windows XP Professional 5.1.2600.1.1252.1.1033.18.109 [GMT 1:00]
    Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Guillaume\Desktop\CFScript.txt
    * Created a new restore point

    FILE
    C:\actgm.exe
    C:\bot.exe
    C:\gfifrww.exe
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary
    C:\WINDOWS\system32\Tilecomgm.com
    C:\WINDOWS\system32\tmp.reg
    C:\WINDOWS\system32\x
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\actgm.exe
    C:\bot.exe
    C:\check_LSA7.txt
    C:\gfifrww.exe
    C:\WINDOWS\system32\orutv.bak1
    C:\WINDOWS\system32\orutv.ini
    C:\WINDOWS\system32\Tilecomgm.com
    C:\WINDOWS\system32\tmp.reg
    C:\WINDOWS\system32\vturo.dll
    C:\WINDOWS\system32\wvuvsrq.dll
    C:\WINDOWS\system32\x

    .
    ((((((((((((((((((((((((( Files Created from 2007-11-23 to 2007-12-23 )))))))))))))))))))))))))))))))
    .

    2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
    2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
    2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
    2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
    2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
    2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
    2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
    2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
    2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-21 20:41:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
    + 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
    - 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2007-12-21 20:41:00 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    - 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    + 2007-12-23 08:57:59 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    - 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    + 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
    "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
    R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\System32\drivers\A311.sys [2003-03-13 18:13]
    R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\System32\drivers\A310.sys [2003-03-13 18:13]
    R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\System32\DRIVERS\DP83815.SYS [2003-02-13 15:29]
    S2 isa32;isa32;C:\WINDOWS\System32\drivers\isa32.sys []
    S3 FA312;NETGEAR FA330/FA312/FA311 Fast Ethernet Adapter Driver;C:\WINDOWS\System32\DRIVERS\FA312nd5.sys [2001-08-17 13:12]

    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-23 10:04:05
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-23 10:06:47 - machine was rebooted
    C:\ComboFix2.txt ... 2007-12-22 15:08
    C:\ComboFix3.txt ... 2007-12-22 14:07

    et celui de hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:07:44, on 23/12/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    0
  9. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Re

    * Que fais tu quand tu a ces alertes , --> delete ou quarantine ?

    1) ComboFix avec CFScript :

    * Sélectionne le texte suivant (en gras) dans son intégralité :

    Driver ::
    isa32

    File::
    C:\WINDOWS\System32\drivers\isa32.sys

    * Copie le texte sélectionné (CTRL+C).
    * Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
    * Colle le texte copié dans ce bloc-notes (CTRL+V).
    * Sauvegarde ce fichier sous le nom de CFScript.txt

    Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement

    * Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe ( sur ton bureau)

    * Une fenêtre bleue va apparaître: au message qui apparaît Type 1 to continue, or 2 to abort , tape 1 puis valide.

    * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.

    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    2) OTMoveIt (de Old_Timer)

    Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

    Double clique sur OTMoveIt.exe pour le lancer.
    Copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :
    Paste List of Files/Folders to be moved.

    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1

    Clique sur MoveIt! pour lancer la suppression.
    Le résultat apparaîtra dans le cadre Results.
    Clique sur Exit pour fermer.

    Il te sera peut-être demander de redémarrer le PC pour achever la suppression.
    si c'est le cas accepte par Yes.


    3) Rapports :

    --> Poste en réponse :

    * Le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

    * Le rapport de ComboFix (qui se trouve ici > C:\ComboFix.txt) ainsi qu'un nouveau rapport HijackThis.

    @ suivre.
    0
  10. mjlat2005
     
    Salut, je fais souvent « delete » mais parfois quarantaine…il vaut mieux que je fasse quoi ??

    Sinon, voici les rapports :

    ComboFix 07-12-19.2 - Guillaume 2007-12-23 21:09:24.5 - NTFSx86
    Running from: C:\Documents and Settings\Guillaume\Desktop\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Guillaume\Desktop\CFScript.txt
    * Created a new restore point

    FILE
    C:\WINDOWS\System32\drivers\isa32.sys
    .

    ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\csrs.exe

    .
    ((((((((((((((((((((((((( Files Created from 2007-11-23 to 2007-12-23 )))))))))))))))))))))))))))))))
    .

    2007-12-23 21:09 . 2007-12-23 21:09 121 --a------ C:\WINDOWS\system32\phzmm.bat
    2007-12-23 21:07 . 2007-12-23 21:07 398,336 -r-hsc--- C:\WINDOWS\system32\dllcache\mravsc32.exe
    2007-12-19 22:08 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2007-12-19 22:08 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2007-12-19 22:08 . 2007-12-13 19:40 77,824 --a------ C:\WINDOWS\system32\IEDFix.exe
    2007-12-19 22:08 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2007-12-19 22:08 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2007-12-19 22:08 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2007-12-19 20:30 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
    2007-12-19 20:05 . 2007-12-19 20:20 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Program Files\Avira
    2007-12-18 23:20 . 2007-12-18 23:20 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2007-12-10 23:39 . 2007-12-11 00:08 <DIR> d-------- C:\WINDOWS\BDOSCAN8
    2007-12-10 23:25 . 2007-12-10 23:25 <DIR> d-------- C:\Program Files\Trend Micro
    2007-12-10 22:21 . 2007-12-19 19:42 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\Grisoft
    2007-12-10 21:02 . 2007-12-10 21:02 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2007-12-10 21:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
    2007-12-04 23:22 . 2007-12-04 23:22 <DIR> d-------- C:\Documents and Settings\Guillaume\Application Data\vlc
    2007-12-04 23:08 . 2007-12-04 23:08 <DIR> d-------- C:\Program Files\VideoLAN
    2007-12-02 23:59 . 2007-12-02 23:59 <DIR> d-------- C:\Program Files\Alwil Software
    2007-12-02 23:59 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

    .
    (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec AntiVirus
    2007-12-02 22:55 --------- d-----w C:\Program Files\Symantec
    2007-12-02 22:55 --------- d-----w C:\Program Files\Common Files\Symantec Shared
    2007-12-02 22:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
    .

    ((((((((((((((((((((((((((((( snapshot@2007-12-19_22.58.33.12 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    + 2007-12-23 20:08:35 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
    - 2007-12-19 20:33:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-23 20:08:35 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
    + 2007-12-21 20:41:05 127,217 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe
    + 2007-12-20 20:53:28 105,472 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe
    - 2007-12-19 20:33:06 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    + 2007-12-23 20:08:35 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
    - 2007-12-19 21:53:34 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    + 2007-12-23 08:57:59 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
    - 2007-01-06 17:23:03 135,664 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    + 2007-12-20 20:48:09 115,768 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
    .
    ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* empty entries & legit default entries are not shown
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-07-07 13:00]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-03-11 10:24]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-03-11 10:11]
    "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 19:42]
    "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-11-10 16:06]
    "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-07-07 13:00]

    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
    Assistant d'Acrobat.lnk - C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
    Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 06:01:04]

    R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
    R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
    R2 Distributed Allocated Memory Unit;Distributed Allocated Memory Unit;"C:\WINDOWS\system32\dllcache\mravsc32.exe" [2007-12-23 21:07]
    R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\System32\drivers\A311.sys [2003-03-13 18:13]
    R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\System32\drivers\A310.sys [2003-03-13 18:13]
    R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;C:\WINDOWS\System32\DRIVERS\DP83815.SYS [2003-02-13 15:29]
    S2 isa32;isa32;C:\WINDOWS\System32\drivers\isa32.sys []
    S2 MSN RAV;MSN RAV;"C:\WINDOWS\system\msnrav.exe" []
    S3 FA312;NETGEAR FA330/FA312/FA311 Fast Ethernet Adapter Driver;C:\WINDOWS\System32\DRIVERS\FA312nd5.sys [2001-08-17 13:12]

    *Newly Created Service* - DISTRIBUTED_ALLOCATED_MEMORY_UNIT
    *Newly Created Service* - MSN_RAV
    .
    **************************************************************************

    catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2007-12-23 21:11:26
    Windows 5.1.2600 Service Pack 1 NTFS

    scanning hidden processes ...

    scanning hidden autostart entries ...

    scanning hidden files ...

    scan completed successfully
    hidden files: 0

    **************************************************************************
    .
    Completion time: 2007-12-23 21:12:09
    C:\ComboFix2.txt ... 2007-12-23 10:06
    C:\ComboFix3.txt ... 2007-12-22 15:08

    Et OTMoveIT

    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB\84785_redworld[1].exe moved successfully.
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1\84785_redworld[1].exe moved successfully.
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\828BMUSB moved successfully.
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\GF1BRPL1 moved successfully.

    Created on 12/23/2007 21:13:43

    Merci merci

    Marie
    0
  11. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Marie

    Que donne lePC ? y a til un mieux ?

    Delete c est tres bien,quarantine aussi mais il faudra penser a vider cette quarantaine ;) je te dirais comment faire si besoin.

    @ +
    0
  12. mariej2005
     
    bonjour,

    oui il va bcp mieux,merci bcp !!
    mais parfois il se met à ralentir...et aussi, toujours bcp d'alertes...
    j'ai eu ressement: PWS.Sinowal.gen et aussi Crypt.XPACK.Gen et Crypt.U.gen

    je vais essayer de voir sur le forum si je vois des anti trojan qui enlevent ca...

    Tu sais ce que je peux essayer?

    merci
    0
  13. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonjour Marie et joyeux Noël

    On va essayer autre chose

    Navilog d'Il Mafioso option1

    Télécharge Navilog1 depuis-ce lien :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, Fais un Clic-droit sur le raccourci Navilog1 présent sur ton bureau .

    Au menu principal, Fais le choix 1
    Laisse toi guider et patiente.
    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuies sur une touche le bloc note va s'ouvrir.

    Copie-colle l'intégralité du rapport dans une réponse.
    Referme le bloc note
    Le rapport fixnavi.txt est en outre sauvegardé dans %systemdrive%.

    @ +
    0
  14. mariej2005
     
    Bonjour,
    Joyeux Noel également !

    vioci le rapport:

    Search Navipromo version 3.3.8 commencé le 26/12/2007 à 11:40:54,52

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 11.12.2007 à 18h00 par IL-MAFIOSO

    Microsoft Windows XP [Version 5.1.2600]
    Internet Explorer : 6.0.2800.1106
    Système de fichiers : NTFS

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\Guillaume\application data" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\STARTM~1\Programs ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\Guillaume\local settings\application data" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\Guillaume\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 26/12/2007 à 11:42:49,97 ***

    Merci
    Marie
    0
  15. Le sioux Messages postés 4907 Statut Contributeur sécurité 496
     
    Bonsoir Marie

    1) Supprime Navilog1 du PC

    - Via Démarrer / Paramètres / Panneau de config puis Ajout/suppression des programmes , navigue jusqu'a Navilog1 puis clique sur "Supprimer"

    Supprime également le dossier C:\programfiles\Navilog1 puis vide ta poubelle.

    2) Fais un scan en ligne chez Panda :

    * Tuto en image https://forum.pcastuces.com/sujet.asp?f=25&s=3902#haut à la lettre T

    * Fais un scan antivirus en ligne Panda (avec Internet Explorer. Désactive ton antivirus pendant le scan)
    ici --> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

    Et copie colle le résultat ici

    @ +
    0
Précédent
  • 1
  • 2