Sujet Précédent Sujet Suivant

Pc tres infecte aidez moi svp

zazou -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
je crois que mon pc est tres infecte pouvez vous m'aidé de plus j'ai un "system alert" qui est en bas a coté de la date et heure
Merci de me dire ce que je dois faire
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
hworang Messages postés 1375 Statut Membre 115
 
Utilise un scan d'antivirus.
Si vraiment sa deconne trop,réinstalle le systeme.

------------Ceci est une signature
Je suis contre le telechargement illégal et l'écriture sms sur les forums !
0
Réponse 2 / 26
alin44 Messages postés 1958 Statut Membre 233
 
salut

essaye un scan en ligne

http://www.secuser.com/antivirus/index.htm

et prendre l'option " desinfecter"

c'est gratos, mais il faut du temps pour l'analyse

@+
0
Réponse 3 / 26
zazou
 
Bonjour
je suis désolée mais le scan en ligne ne marche pas malgré que j'ai suivi les consignes
que dois je faire merci
0
Réponse 4 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
salut zazou,

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´installation (images) :

-> http://pchelpbordeaux.free.fr/tuto.html

Tutoriel d´utilisation (video) :

-> http://pageperso.aol.fr/balltrap34/demohijack.htm

Post le rapport généré ici stp...

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
alin44 Messages postés 1958 Statut Membre 233
 
bonjour,

dans secuser, le pc doit installer active update ( en fait les parametres de l'ordinateur) une ligne bleue apparait et apres les 100% de charge on a acces au tableau de scan
est-ce le cas?

sinon reessayer ici
http://www.secuser.com/antivirus/

@

ne pas faire un copier coller du lien, MAIS LE TAPER SOI MEME dans le navigateur , google par exemple
0
Réponse 6 / 26
zazou
 
voici le rapport
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57:00, on 11/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\WinPCDoctor\strpmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.restoredhomepage.com/?cm=414246&lt=2&it=2007-11-19%2012%3A25%3A49&dt=2007-11-29%2012%3A57%3A03&q=about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LtMoh] C:\Program Files\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
O4 - HKLM\..\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB002" /M "Stylus DX4800"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\WinPCDoctor\strpmon.exe" dm=http://winpcdoctor.com; ad=http://winpcdoctor.com
O4 - HKLM\..\Run: [WinPCDoctor] C:\Program Files\WinPCDoctor\SysRep.exe
O4 - HKLM\..\Run: [a0d3e8f2] rundll32.exe "C:\WINDOWS\system32\bxptncej.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.topsoftwarefeed.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.topsoftwarefeed.com/redirect.php (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O22 - SharedTaskScheduler: haeckel - {8373a2e0-bdd0-42bd-b4ec-ba5451eb6607} - C:\WINDOWS\system32\moywh.dll
O23 - Service: Service de configuration Atheros (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
0
Réponse 7 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
re,

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

@+
0
Réponse 8 / 26
zazou
 
voili voila le rapport
ComboFix 07-12-09.1 - ELSA MISSONNIER 2007-12-11 13:22:11.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.114 [GMT 1:00]
Running from: C:\Documents and Settings\ELSA MISSONNIER\Bureau\ComboFix.exe
* Created a new restore point
.
[i] ADS - svchost.exe: deleted 68 bytes in 1 streams. [/i]

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data.\salesmonitor
C:\Documents and Settings\ELSA MISSONNIER\Application Data\setup_en[1].exe
C:\WINDOWS\system32\bxptncej.dll
C:\WINDOWS\system32\dvgroqyf.ini
C:\WINDOWS\system32\fyqorgvd.dll
C:\WINDOWS\system32\ghhkj.bak1
C:\WINDOWS\system32\ghhkj.bak2
C:\WINDOWS\system32\ghhkj.ini
C:\WINDOWS\system32\gyfjvqxs.exe
C:\WINDOWS\system32\jecntpxb.ini
C:\WINDOWS\system32\jkhhg.dll
C:\WINDOWS\system32\jxtnysqf.dll
C:\WINDOWS\system32\ovalxmtn.dll
C:\WINDOWS\system32\qqxilmhi.dll
C:\WINDOWS\system32\rqrsqpm.dll
C:\WINDOWS\system32\vycwysvv.dll
C:\WINDOWS\system32\wfbfqjlr.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-11 to 2007-12-11 ))))))))))))))))))))))))))))))))))))
.

2007-12-11 12:56 . 2007-12-11 12:56 <REP> d-------- C:\Program Files\Trend Micro
2007-12-10 18:41 . 2007-12-10 18:41 74,304 --a------ C:\WINDOWS\system32\qpkocgpp.exe
2007-12-09 10:17 . 2007-12-10 18:41 921,019 ---hs---- C:\WINDOWS\system32\bbymrrky.ini
2007-12-09 10:17 . 2007-12-09 10:17 74,304 --a------ C:\WINDOWS\system32\ypapbyan.exe
2007-12-04 21:15 . 2007-12-09 10:16 834,160 ---hs---- C:\WINDOWS\system32\attowydc.ini
2007-12-01 19:27 . 2007-12-04 21:09 143 --a------ C:\WINDOWS\system32\mcrh.tmp
2007-11-21 13:31 . 2007-11-21 20:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-19 12:29 . 2007-11-19 12:29 <REP> d-------- C:\Documents and Settings\ELSA MISSONNIER\Application Data\winpcdoctor
2007-11-19 12:24 . 2007-11-19 12:24 <REP> d-------- C:\Program Files\Fichiers communs\WinPCDoctor
2007-11-19 12:24 . 2007-11-19 12:24 <REP> dr------- C:\Documents and Settings\All Users\Application Data\winpcdoctor
2007-11-13 21:14 . 2007-11-19 13:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-13 21:06 . 2007-11-13 21:06 <REP> d-------- C:\Program Files\Windows Live
2007-11-13 21:04 . 2007-11-15 19:12 <REP> d-------- C:\Program Files\Adverts
2007-11-13 21:03 . 2007-11-15 19:32 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-11-13 20:40 . 2007-11-26 19:46 <REP> d-------- C:\Program Files\Windows Live Safety Center

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-29 17:14 --------- d-----w C:\Program Files\eMule
2007-11-22 13:34 --------- d-----w C:\Documents and Settings\ELSA MISSONNIER\Application Data\DivX
2007-11-21 11:24 --------- d-----w C:\Program Files\MSN Messenger
2007-11-19 11:22 --------- d-----w C:\Program Files\DivX
2007-10-15 19:29 --------- d-----w C:\Program Files\Google
2007-05-09 12:55 1,486 ----a-w C:\Documents and Settings\ELSA MISSONNIER\Application Data\wklnhst.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23B760D6-C98B-450B-9B32-26C7775CDF83}]
C:\Program Files\Video Add-on\isfmdl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 17:51]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-10 19:14 C:\WINDOWS\RTHDCPL.exe]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-14 23:28]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-14 23:26]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2005-05-19 15:57]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 14:29 C:\WINDOWS\agrsmmsg.exe]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2005-12-08 12:53]
"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25]
"TPSMain"="TPSMain.exe" [2005-08-03 16:09 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" []
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24]
"PadTouch"="C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 12:31]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-01 05:10]
"CFSServ.exe"="CFSServ.exe" []
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-01-01 19:35]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 17:50]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"WinPCDoctor"="C:\Program Files\WinPCDoctor\SysRep.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{8373a2e0-bdd0-42bd-b4ec-ba5451eb6607}"= C:\WINDOWS\system32\moywh.dll [2007-11-14 12:47 12800]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c68b880-595f-11db-9937-0011f5e419c4}]
\Shell\AutoRun\command - F:\setupSNK.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-10 20:37:18 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\moywh.dll
-> C:\DOCUME~1\ELSAMI~1\LOCALS~1\Temp\tdbnylec.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-11 13:34:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-11 13:36:58 - machine was rebooted
.
--- E O F ---
0
Réponse 9 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
re,

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\qpkocgpp.exe
C:\WINDOWS\system32\bbymrrky.ini
C:\WINDOWS\system32\ypapbyan.exe
C:\WINDOWS\system32\attowydc.ini
C:\WINDOWS\system32\mcrh.tmp
C:\Program Files\Video Add-on\isfmdl.dll
C:\WINDOWS\system32\moywh.dll
C:\DOCUME~1\ELSAMI~1\LOCALS~1\Temp\tdbnylec.dll
C:\Program Files\WinPCDoctor\SysRep.exe

Folder::
C:\Program Files\Video Add-on
C:\Program Files\WinPCDoctor

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23B760D6-C98B-450B-9B32-26C7775CDF83}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler ]
"{8373a2e0-bdd0-42bd-b4ec-ba5451eb6607}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPCDoctor"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix2.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+
0
Réponse 10 / 26
zazou
 
je sais pas si j'ai fait comme il faut enfin voila :
ComboFix 07-12-09.1 - ELSA MISSONNIER 2007-12-11 14:00:00.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.105 [GMT 1:00]
Running from: C:\Documents and Settings\ELSA MISSONNIER\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\ELSA MISSONNIER\Bureau\CFScript.lnk
* Created a new restore point
.

((((((((((((((((((((((((((((( Fichiers créés 2007-11-11 to 2007-12-11 ))))))))))))))))))))))))))))))))))))
.

2007-12-11 12:56 . 2007-12-11 12:56 <REP> d-------- C:\Program Files\Trend Micro
2007-12-10 18:41 . 2007-12-10 18:41 74,304 --a------ C:\WINDOWS\system32\qpkocgpp.exe
2007-12-09 10:17 . 2007-12-10 18:41 921,019 ---hs---- C:\WINDOWS\system32\bbymrrky.ini
2007-12-09 10:17 . 2007-12-09 10:17 74,304 --a------ C:\WINDOWS\system32\ypapbyan.exe
2007-12-04 21:15 . 2007-12-09 10:16 834,160 ---hs---- C:\WINDOWS\system32\attowydc.ini
2007-12-01 19:27 . 2007-12-04 21:09 143 --a------ C:\WINDOWS\system32\mcrh.tmp
2007-11-21 13:31 . 2007-11-21 20:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-19 12:29 . 2007-11-19 12:29 <REP> d-------- C:\Documents and Settings\ELSA MISSONNIER\Application Data\winpcdoctor
2007-11-19 12:24 . 2007-11-19 12:24 <REP> d-------- C:\Program Files\Fichiers communs\WinPCDoctor
2007-11-19 12:24 . 2007-11-19 12:24 <REP> dr------- C:\Documents and Settings\All Users\Application Data\winpcdoctor
2007-11-13 21:14 . 2007-11-19 13:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-13 21:06 . 2007-11-13 21:06 <REP> d-------- C:\Program Files\Windows Live
2007-11-13 21:04 . 2007-11-15 19:12 <REP> d-------- C:\Program Files\Adverts
2007-11-13 21:03 . 2007-11-15 19:32 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-11-13 20:40 . 2007-11-26 19:46 <REP> d-------- C:\Program Files\Windows Live Safety Center

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-11-29 17:14 --------- d-----w C:\Program Files\eMule
2007-11-22 13:34 --------- d-----w C:\Documents and Settings\ELSA MISSONNIER\Application Data\DivX
2007-11-21 11:24 --------- d-----w C:\Program Files\MSN Messenger
2007-11-19 11:22 --------- d-----w C:\Program Files\DivX
2007-11-14 11:47 12,800 --s-a-w C:\WINDOWS\system32\moywh.dll
2007-10-15 19:29 --------- d-----w C:\Program Files\Google
2007-09-28 16:08 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-28 16:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-09-28 16:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-09-28 16:07 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-09-28 16:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-09-28 16:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-09-28 16:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-09-28 16:07 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-09-28 16:05 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-09-28 16:05 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-09-28 16:05 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-09-28 16:05 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-09-28 16:05 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-09-28 16:05 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-09-28 16:05 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-09-28 16:05 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-09-28 16:05 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-09-28 16:05 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-09-28 16:05 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-09-28 16:05 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-09-28 16:05 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-05-09 12:55 1,486 ----a-w C:\Documents and Settings\ELSA MISSONNIER\Application Data\wklnhst.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23B760D6-C98B-450B-9B32-26C7775CDF83}]
C:\Program Files\Video Add-on\isfmdl.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 17:51]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-10 19:14 C:\WINDOWS\RTHDCPL.exe]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-14 23:28]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-14 23:26]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2005-05-19 15:57]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 14:29 C:\WINDOWS\agrsmmsg.exe]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2005-12-08 12:53]
"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25]
"TPSMain"="TPSMain.exe" [2005-08-03 16:09 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" []
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24]
"PadTouch"="C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 12:31]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-01 05:10]
"CFSServ.exe"="CFSServ.exe" []
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-01-01 19:35]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 17:50]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]
"WinPCDoctor"="C:\Program Files\WinPCDoctor\SysRep.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00]

C:\Documents and Settings\ELSA MISSONNIER\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide de Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-06-17 08:03:44]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 23:05:56]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{8373a2e0-bdd0-42bd-b4ec-ba5451eb6607}"= C:\WINDOWS\system32\moywh.dll [2007-11-14 12:47 12800]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c68b880-595f-11db-9937-0011f5e419c4}]
\Shell\AutoRun\command - F:\setupSNK.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-11 12:37:15 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\WINDOWS\system32\moywh.dll
-> C:\DOCUME~1\ELSAMI~1\LOCALS~1\Temp\tdbnylec.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-11 14:01:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-11 14:02:29
C:\ComboFix2.txt ... 2007-12-11 13:36
.
--- E O F ---
0
Réponse 11 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
je crois bien que tu as raté une etape

as tu bien copier collé ceci pour en faire un script a placer sur l´icone combofix? j´en doute?

File::
C:\WINDOWS\system32\qpkocgpp.exe
C:\WINDOWS\system32\bbymrrky.ini
C:\WINDOWS\system32\ypapbyan.exe
C:\WINDOWS\system32\attowydc.ini
C:\WINDOWS\system32\mcrh.tmp
C:\Program Files\Video Add-on\isfmdl.dll
C:\WINDOWS\system32\moywh.dll
C:\DOCUME~1\ELSAMI~1\LOCALS~1\Temp\tdbnylec.dll
C:\Program Files\WinPCDoctor\SysRep.exe

Folder::
C:\Program Files\Video Add-on
C:\Program Files\WinPCDoctor

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23B760D6-C98B-450B-9B32-26C7775CDF83}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler ]
"{8373a2e0-bdd0-42bd-b4ec-ba5451eb6607}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinPCDoctor"=-
0
Réponse 12 / 26
zazou
 
la c'est normalement bon
ComboFix 07-12-09.1 - ELSA MISSONNIER 2007-12-11 14:28:14.3 - NTFSx86
Running from: C:\Documents and Settings\ELSA MISSONNIER\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\ELSA MISSONNIER\Bureau\CFScript.txt
* Created a new restore point

FILE
C:\DOCUME~1\ELSAMI~1\LOCALS~1\Temp\tdbnylec.dll
C:\Program Files\Video Add-on\isfmdl.dll
C:\Program Files\WinPCDoctor\SysRep.exe
C:\WINDOWS\system32\attowydc.ini
C:\WINDOWS\system32\bbymrrky.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\moywh.dll
C:\WINDOWS\system32\qpkocgpp.exe
C:\WINDOWS\system32\ypapbyan.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\attowydc.ini
C:\WINDOWS\system32\bbymrrky.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\moywh.dll
C:\WINDOWS\system32\qpkocgpp.exe
C:\WINDOWS\system32\ypapbyan.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-11 to 2007-12-11 ))))))))))))))))))))))))))))))))))))
.

2007-12-11 12:56 . 2007-12-11 12:56 <REP> d-------- C:\Program Files\Trend Micro
2007-11-21 13:31 . 2007-11-21 20:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-11-19 12:29 . 2007-11-19 12:29 <REP> d-------- C:\Documents and Settings\ELSA MISSONNIER\Application Data\winpcdoctor
2007-11-19 12:24 . 2007-11-19 12:24 <REP> d-------- C:\Program Files\Fichiers communs\WinPCDoctor
2007-11-19 12:24 . 2007-11-19 12:24 <REP> dr------- C:\Documents and Settings\All Users\Application Data\winpcdoctor
2007-11-13 21:14 . 2007-11-19 13:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-13 21:06 . 2007-11-13 21:06 <REP> d-------- C:\Program Files\Windows Live
2007-11-13 21:04 . 2007-11-15 19:12 <REP> d-------- C:\Program Files\Adverts
2007-11-13 21:03 . 2007-11-15 19:32 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-11-13 20:40 . 2007-11-26 19:46 <REP> d-------- C:\Program Files\Windows Live Safety Center

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-11-29 17:14 --------- d-----w C:\Program Files\eMule
2007-11-22 13:34 --------- d-----w C:\Documents and Settings\ELSA MISSONNIER\Application Data\DivX
2007-11-21 11:24 --------- d-----w C:\Program Files\MSN Messenger
2007-11-19 11:22 --------- d-----w C:\Program Files\DivX
2007-10-15 19:29 --------- d-----w C:\Program Files\Google
2007-05-09 12:55 1,486 ----a-w C:\Documents and Settings\ELSA MISSONNIER\Application Data\wklnhst.dat
.

((((((((((((((((((((((((((((( snapshot@2007-12-11_13.36.25.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-11 13:32:02 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_560.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00]
"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 16:08]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 17:51]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 21:05]
"RTHDCPL"="RTHDCPL.EXE" [2005-11-10 19:14 C:\WINDOWS\RTHDCPL.exe]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-14 23:28]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-14 23:26]
"LtMoh"="C:\Program Files\ltmoh\Ltmoh.exe" [2005-05-19 15:57]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 14:29 C:\WINDOWS\agrsmmsg.exe]
"THotkey"="C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe" [2005-12-08 12:53]
"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2005-11-30 12:25]
"TPSMain"="TPSMain.exe" [2005-08-03 16:09 C:\WINDOWS\system32\TPSMain.exe]
"NDSTray.exe"="NDSTray.exe" []
"SmoothView"="C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 09:24]
"PadTouch"="C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 12:31]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-01 05:10]
"CFSServ.exe"="CFSServ.exe" []
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-01-01 19:35]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2006-05-16 17:50]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{8373a2e0-bdd0-42bd-b4ec-ba5451eb6607}"= C:\WINDOWS\system32\moywh.dll [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c68b880-595f-11db-9937-0011f5e419c4}]
\Shell\AutoRun\command - F:\setupSNK.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-12-11 12:37:15 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\DOCUME~1\ELSAMI~1\LOCALS~1\Temp\tdbnylec.dll
.
**************************************************************************

catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-11 14:32:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-12-11 14:35:00 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-11 14:02
C:\ComboFix3.txt ... 2007-12-11 13:36
.
--- E O F ---
0
Réponse 13 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
bien joué pour combofix ;-)

c´est mieux mais c´est pas encore ca :

Télécharge Clean:

-> http://www.malekal.com/download/clean.zip

-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1.

Un rapport va s'ouvrir, copie et colle le contenu sur le forum.

-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier :

http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914

et remet un nouveau rapport hijack this stp

@+
0
Réponse 14 / 26
zazou
 
je n'ai pas de rapport on me demande d'envoyer le fichier à une adresse qu'est ce que je fait ?
merci
0
Réponse 15 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
peux tu l´envoyer stp a l´adresse specifier, ca doit etre sur le site de malekal morte si je n´me trompe

post un nouveau rapport hijack this alors

@+
0
Réponse 16 / 26
zazou
 
j'envoie bien le fichier indiqué mais rien ne se passe ??
0
Réponse 17 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
bon laisse tomber clean

post un nouveau hijack this stp

je vais m´absenter un moment, je regarderais ca a mon retour...

@+
0
Réponse 18 / 26
zazou
 
ok désolé de ne pas être douée
voici le rapport sans envoyer à l'adresse
Merci

11/12/2007 a 16:01:51,43

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\Adverts\" FOUND
*** Fin du rapport !
0
Réponse 19 / 26
g!rly Messages postés 18462 Statut Contributeur 406
 
tu t´en sort tres bien ;-)

voila justement ce que je voulais qu´il trouve adverts

-> Redémarre en mode sans échec :

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

-> Une fois en mode sans echec, ouvre le dossier que tu auvais crée et click sur clean.cmd et choisis l'option 2.

-> Redémarre normalement et poste le rapport de clean.

puis repost un nouveau rapport hijack this car je pensse qu´il reste quelques cochoneries

@+
0
Réponse 20 / 26
zazou
 
voici le rapport clean
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 11/12/2007 a 17:40:06,04

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\Adverts\"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
le " hijack " c'est quoi ?
pardon d'être bouchée
0