Sujet Précédent Sujet Suivant

Probleme de trojan et de dialer

Résolu/Fermé
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 - 2 janv. 2008 à 03:03
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 - 13 févr. 2008 à 20:34
Bonjour,
bonne annee a tous.j espere que qqun pourra m aider avec mon anti spyware (spywares doctor il me detecte un trojan nomé " trojan.pws.sinowal "et une autre menace nomée "dialer.instant.access" ce qui se traduit par 22 infections.j ai comme logiciel spyware doctor, avast,spyware terminator .mais je n'arrive pas a enlever ces spywares.Ils ont l 'air d'etre inscrit apparemment dans les registres de mon pc.je n'ose pas trop y modifier quelque chose dans ce genre d'entroit de mon pc car je sais que cela peu engendrer un mauvais fonctionnement de mon pc déja qu'il rame deja pas mal.Que faire cela fait des heures que j'essais divers choses mais sans que cela change quelque chose.merci d'avance pour toutes aide.
A voir également:

89 réponses

Précédent
Réponse 21 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
10 janv. 2008 à 20:02
j'ai oublier de donner le rapport de catchme le voici :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 18:42:26
Windows 5.1.2600 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
0
Réponse 22 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
11 janv. 2008 à 03:16
salut manu002,

Je demandes de l'aide en ce moment pour ton problème.
Quand tu as installé clean sur ton bureau, un dossier clean s'est bien installé?
Il doit y avoir 13 fichiers, et Clean.cmd était bien présent j'imagine?
Essayer de lancer Clean.cmd en mode sans échec pour avoir le rapport.

En attendant des compléments:
-------------------------
Télécharge CleanX-II de sUBs (merci mOe et Darkkiller) ici :
http://download.bleepingcomputer.com/sUBs/CleanX-II.exe

Déconnecte tes accès internet. Coupe tous les accès physiques (débranchement du modem, ...).
Ferme toutes les applications.

Double-clique sur CleanX-II.exe pour démarrer la réparation.
Clique OK lorsque tu reçois un message d'avertissement.
A la fin du scan (qui peut prendre plusieurs minutes, patiente le temps qu'il finisse), il va produire un message d'erreur (parce que l'outil ne prend pas en compte la copie pour un Windows français). Pour contourner cette erreur, fais ceci : clic sur Démarrer puis exécuter et tapes %temp%\report.txt . Le bloc-note va ouvrir le rapport.
Copies et colles le rapport ensuite.


a+
0
Réponse 23 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
11 janv. 2008 à 20:06
salut Denis

J'ai fait ce que tu m'a dit lors du lancement du programme CleanX-II ,une premiére fenêtre s'est ouverte avec ce texte en anglais:

"This tool will remove the brontok worm from your machine.Please be advised that usage is at own risk.Please close all opened windows before clicking OK to proceed."

ça si je ne me trompe pas il me dit en gros que le programme va enlever les vers de mon pc et qu' il faut que je ferme toute application.Aprés une seconde fenêtre s'est ouverte après que j'ai fait OK et ça marque:

"scanning for Brontok,exécutable
nom de commande ou de fichier incorrect.
Impossible de charger le support IPX/SPX VDM"

Cela me rappelle le même genre d'erreur que j'ai eu auparavant.Sinon voila le rapport de cleanX 6.05.30 :

#######################################################################

Brontok Worm Removal Tool - (Version - 06.09.17B)
by sUBs

#######################################################################

Current date: 11/01/2008 Current time: 19:23:58.67

=== PRE RUN ANALYSIS ===================================


=== POST RUN ANALYSIS ==================================



NOTE
The post-run analysis portion should be empty. If it's not, reboot and run the tool a second time.
19:26:02.25

======================================================

PS: (J'AI REFAIT 2 FOIS LA MANIP ET CELA M'A DONNE PAREIL)
0
Réponse 24 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
12 janv. 2008 à 00:11
manu002,

Le monde est un peu occupé donc je te proposes cette procédure.
Tu vas enlever les clés qui ont été détecté:

Comme tu n'auras pas accès à ton navigateur, recopies cette procédure Ctrl+c, dans un document texte (Clic bouton droit de la souris sur le bureau, menu : Nouveau > Document Texte) et y coller Ctrl+v les lignes suivantes la dans le bloc note ensuite sauvegarde la tout dans ton bureau, si tu ne sais pas le faire ne continues pas.

En premier lieu il faut faire une sauvegarde de la base de registre car sinon vous pourriez ne plus revenir en arrière.
Va dans >Démarrer> Exécuter puis tapes regedit et valides.
Dans le menu fichier en haut clic sur exporter.
Puis sauvegarder en indiquant juste la date d'aujourd'hui 11012008 par exemple puis valides, fermes regedit.

-Redémarres en mode sans échec (après le bip et l'écran noir, tapotes sur F8, puis choisi dans le menu qui apparait mode sans échec ensuite clic ton compte pas un autre et pas administrateur).

Ouvres la procédure.
Ouvres regedit de nouveau.
Et tu recherches dans l'arborescence la clé
HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC

Pour cela clic sur HKEY_LOCAL_MACHINE puis SYSTEM....

Tu clic sur la clé LEGACY_NTMLSVC et tu la supprimes.

Même chose pour la clé HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\SERVICES\NTMLSVC

Ensuite supprimer cette valeur de registre
HKEY_USERS\S-1-5-21-1229272821-1383384898-1708537768-1003\Software\Microsoft\Windows\Curr entVersion\WinTrust\Trust Providers\Software Publishing\Trust Data...\0,goicfboogidikkejccmcclpieicihhlpo jimddp

Pour trouver une clé taper sur F3 puis entrer le texte Trust Data, ou 0 (Dans les options de recherche décocher tout sauf : Clé) quand vous avez trouvé la bonne clé (Bien vérifier que c’est la bonne, la clé au complet est écrite sur la bas de la fenêtre de Regedit), enlever la valeur de registre goicfboogidikkejccmcclpieicihhlpo jimddp
cliquer sur la valeur puis la supprimer et confirmer.

Tu refermes regedit et redémarres.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
12 janv. 2008 à 01:10
ok je vais essayer
0
Réponse 26 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
12 janv. 2008 à 02:08
ça y est je vient de finir.J'ai bien supprimé la clé HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\SERVICES\NTMLSVC et goicfboogidikkejccmcclpieicihhlpo jimddp aussi mais celle-ci LEGACY_NTMLSVC je n'ai pas réussi un message d'erreur apparait:"suppression de LEGACY_NTMLSVC impossible.erreur lors de la suppression de la clé.

Je ne sais pas si je doit lancer spyware doctor pour voir si il y a eu des changements.j'attent tes conseils.
0
Réponse 27 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
12 janv. 2008 à 02:36
oui continues pour voir.
et passes un coup de CCleaner.
on essaiera combofix s'il faut ensuite.

a+
0
Réponse 28 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
12 janv. 2008 à 13:09
Salut Denis

voici le rapport de spyware doctor apres la manip de regedit il y a du changement une menace a disparue et trojan a perdu de sa grandeur mais une petite menace qui est dans les cookies est présente.Je vais vider le dossier de tempory files en attendant tu peu constater.

*trojan-PWS.Sinowal(9 infections):

valeurs de registre:

-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC,Nextinstance
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,service
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,Legacy
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,ConfigFlag
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,Class
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,ClassGuid
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,DeviceDe

clef registre:

--HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000
--HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC

*Application.TrackingCookies(1 infection)

cookies du navigateur
-xiti.com/xiti.com


je vais supprimer les cookies et passer un coup de ccleaner.ensuite je referais un autre rapport de spyware doctor.merci
0
Réponse 29 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
12 janv. 2008 à 18:21
Re manu,

Ok ça avance.

Tu as un méchant gateau empoisonné ;-), les cookies sont juste des traces de passage sur internet mais les spywares les utilisent pour les envoyer à des compagnies de marketing par exemple, mais ce n'est pas une infection en tant que tel ;-) quoi que vu le nombre souvent on en est infesté ;-)

Essayes pour commencer avec Regedit enlèves d'abord dans les clé chaque valeurs de Registre comme indiqué dans la liste:
LEGACY_NTMLSVC,Nextinstance
puis LEGACY_NTMLSVC\0000,service ....

Et ensuite essayes d'enlever les 2 clés qui seront vide j'imagine.

Sinon essayes de passer CCleaner en mode sans échec avec le bouton Registre (1 ou 2 fois).

Essayes de redémarrer en mode sans échec mais avec ton compte administrateur
Et essayes d'enlever les clés si impossible avec les autres méthodes.

Repasses Spyware doctor.

a+
0
Réponse 30 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
12 janv. 2008 à 20:46
Denis

voici le rapport de spyware doctor apres que j'ai passé 2 fois ccleaner .ça diminue encore un peu plus j'espére que ce trojan va finir par disparaitre lui aussi,encore merci tellement je suis content !

*trojan-PWS.Sinowal(9 infections):

valeurs de registre:

-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC,Nextinstance
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,service
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,Legacy
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,ConfigFlag
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,Class
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,ClassGuid
-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000,DeviceDe

clef registre:

--HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000
--HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC
0
Réponse 31 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
13 janv. 2008 à 13:42
salut

je n'arrive pas a effacer ce trojan et donc toutes les menaces décrite dans le rapport du message précédent.Que ce soit en tant qu'administrateur ou pas quand j'accéde au registre avec la commande regedit. exe,et que je supprime les clés correspondante au trojan toujours le même message d'erreur "impossible de supprimer de LEGACY_NTMLSVC .erreur lors de la suppression de la clé.
Je vais attendre maintenant si avec combofix comme tu m'a dit avant si cela peu résoudre ce probléme.Mais je ne connais pas ce logiciel.
0
Réponse 32 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
13 janv. 2008 à 23:07
salut,

Télécharger Combofix.exe (par sUBs) sur le Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Double clique combofix.exe et suivre les invites.
Lorsque le scan sera complété, un rapport apparaîtra.

Copie/colle ce rapport dans ta prochaine réponse

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait faire figer l'ordinateur.

Tu pourras t'en servir pour virer les clé ensuite.
Je te donnerais la procédure, c'est bientôt la fin ;-)

A+
0
Réponse 33 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
14 janv. 2008 à 21:29
Salut voici le rapport de combofix :

ComboFix 08-01-14.4 - manu 2008-01-14 20:27:27.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.84 [GMT 1:00]
Running from: C:\Documents and Settings\manu\Bureau\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-14 to 2008-01-14 ))))))))))))))))))))))))))))))))))))
.

2008-01-14 19:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 23:01 . 2008-01-13 23:14 <REP> d-------- C:\Program Files\RegCleaner
2008-01-11 16:43 . 2008-01-13 21:48 <REP> d-------- C:\Program Files\adslTV
2008-01-11 16:43 . 2008-01-13 21:02 <REP> d-------- C:\Documents and Settings\manu\Application Data\vlc
2008-01-10 18:33 . 2008-01-10 18:33 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-09 11:59 . 2008-01-09 11:59 <REP> d-------- C:\Documents and Settings\CECILE\Application Data\PC Suite
2008-01-09 11:58 . 2008-01-13 20:14 <REP> d-------- C:\Documents and Settings\CECILE\Application Data\Spyware Terminator
2008-01-09 06:15 . 2008-01-09 06:15 <REP> d-------- C:\Documents and Settings\manu\Application Data\Apple Computer
2008-01-09 06:13 . 2008-01-09 06:13 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-09 06:13 . 2008-01-09 06:13 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-08 02:16 . 2008-01-08 02:16 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-01-06 12:23 . 2008-01-06 12:23 <REP> d-------- C:\Program Files\CCleaner
2008-01-05 12:52 . 2008-01-05 12:52 <REP> d-------- C:\Program Files\Red Kawa
2008-01-04 22:59 . 2008-01-04 22:59 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-01-04 22:59 . 2008-01-04 22:59 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-01-04 22:59 . 2008-01-04 22:59 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-01-04 22:58 . 2008-01-04 22:58 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 22:58 . 2008-01-04 22:58 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-01-04 22:58 . 2008-01-04 22:58 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 22:56 . 2008-01-04 22:56 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-01-04 22:56 . 2008-01-04 22:56 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-01-04 22:56 . 2008-01-04 22:56 3,162 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-01-02 23:18 . 2008-01-03 21:43 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 21:10 . 2008-01-02 21:10 <REP> d-------- C:\Program Files\Infogrames
2008-01-02 02:25 . 2008-01-06 02:18 <REP> d-------- C:\Documents and Settings\manu\Application Data\Smart PC Solutions
2008-01-01 17:05 . 2008-01-03 21:54 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-01 17:05 . 2008-01-03 21:54 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-01 17:05 . 2008-01-01 17:05 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-01 17:05 . 2008-01-01 17:05 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-01 16:40 . 2008-01-01 16:40 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-01-01 16:35 . 2008-01-01 16:36 <REP> d-------- C:\Program Files\Crawler
2008-01-01 16:35 . 2008-01-14 11:01 <REP> d-------- C:\Documents and Settings\manu\Application Data\Spyware Terminator
2008-01-01 16:35 . 2008-01-12 11:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-01-01 16:34 . 2008-01-13 11:00 <REP> d-------- C:\Program Files\Spyware Terminator
2008-01-01 16:32 . 2008-01-06 12:06 <REP> d-------- C:\Program Files\Trend Micro
2007-12-31 16:46 . 2007-12-31 16:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-12-31 15:31 . 2007-12-31 15:31 <REP> d-------- C:\WINDOWS\LastGood.Tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 18:35 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-14 14:55 --------- d-----w C:\Program Files\eMule
2008-01-14 10:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-13 22:14 257,536 -csha-w C:\Program Files\Thumbs.db
2008-01-11 08:06 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-10 15:55 --------- d-----w C:\Program Files\DivX
2008-01-08 04:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-06 11:22 --------- d-----w C:\Program Files\Yahoo!
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-31 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 14:33 --------- d-----w C:\Program Files\Ubisoft
2007-12-31 14:33 --------- d-----w C:\Program Files\Soldier of Fortune II - SP Demo
2007-12-22 00:17 --------- d-----w C:\Program Files\Google
2007-12-10 05:16 --------- d-----w C:\Program Files\Activision
2007-12-08 15:19 --------- d-----w C:\Program Files\GStudio6
2007-12-07 18:24 --------- d-----w C:\Program Files\THQ
2007-12-06 14:11 --------- d-----w C:\Program Files\EA GAMES
2007-12-05 19:24 --------- d-----w C:\Program Files\MSN Messenger
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-02 14:42 --------- d-----w C:\Program Files\Common Files
2007-12-02 04:29 221,184 ----a-w C:\WINDOWS\system32\UAService7.exe
2007-12-02 04:29 --------- d--h--r C:\Documents and Settings\All Users\Application Data\SecuROM
2007-12-02 04:17 --------- d-----w C:\Program Files\Atari
2007-10-14 20:10 729,088 -c--a-w C:\WINDOWS\iun6002.exe
2004-12-13 04:05 8,192 --sha-w C:\Program Files\Fichiers communs\Thumbs.db
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaDICO4Ut"="C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe" [2005-08-11 20:34 252416]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-12 19:04 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2008-01-02 22:50 1065800]
"Register MediaRing Talk"="C:\Program Files\MediaRing Talk\register.exe" [1999-11-30 10:26 73728]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2005-08-11 20:55 20480]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-21 21:20 286720]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 17:14 8491008]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"mmtask"="C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2004-08-29 12:36 53248]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE" [2005-08-11 20:55 98304]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2003-10-14 11:20 1224754]
"CreativeMixer"="C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.exe" [2005-08-11 20:55 20480]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"AEZBProc"="c:\ibmtools\aptezbtn\aptezbp.exe" [2005-08-11 20:55 372736]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe" [2008-01-01 16:39 2834432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-12-02 17:47 13312]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplDaemon"="NvQTwk" []

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-12-12 19:04:42]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\System32\drivers\sp_rsdrv2.sys [2008-01-01 16:40]
S1 lusbaudio;Logitech USB Microphone;C:\WINDOWS\System32\drivers\lvsound2.sys [2001-09-24 11:08]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINDOWS\System32\Drivers\Ca533av.sys [2002-10-21 10:37]
S2 MPManF50;MPMan F50 USB Driver;C:\WINDOWS\System32\Drivers\MPManF50.sys []
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 LVBulk;LVBulk Service;C:\WINDOWS\System32\DRIVERS\LVBulk.sys [2001-09-24 11:09]
S3 LVVI500A;LVVI500A Service;C:\WINDOWS\System32\DRIVERS\lvvi500a.sys [2001-09-20 02:39]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\System32\Drivers\Bulk533.sys [2002-07-25 10:19]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2004-02-28 01:26:23 C:\WINDOWS\Tasks\Défragmenteur de disque.job"
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Défragmenteur de disque.lnk
"2008-01-14 19:01:24 C:\WINDOWS\Tasks\Nouveau Document texte.job"
- C:\Documents and Settings\CECILE\Mes documents\Nouveau Document texte.txt
"2008-01-14 19:01:23 C:\WINDOWS\Tasks\PHOTOCOPIE URGENT.job"
- C:\Documents and Settings\manu\Mes documents\ANPE\PHOTOCOPIE URGENT.txt
"2008-01-08 21:12:01 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-11-09 21:12:05 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-14 20:33:03
Windows 5.1.2600 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-14 20:35:58
ComboFix-quarantined-files.txt 2008-01-14 19:35:50
0
Réponse 34 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
15 janv. 2008 à 01:40
salut manu,

Pour le moment je ne vois rien dans le log combofix, on va s'en servir pour enlever les clés récalcitrantes.

------------------------------
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :


Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\controlSet002\ENUM\ROOT\LEGACY_NTMLSVC]


Enregistre ce fichier sous le nom CFScript

*Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme montré sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
*Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
*Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.
*Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.

*Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt

a+
0
Réponse 35 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
16 janv. 2008 à 14:38
salut voici le rapport,

ComboFix 08-01-14.4 - manu 2008-01-15 22:25:57.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.76 [GMT 1:00]
Running from: C:\Documents and Settings\manu\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\manu\Bureau\CFScript.txt
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-15 to 2008-01-15 ))))))))))))))))))))))))))))))))))))
.

2008-01-14 19:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 23:01 . 2008-01-13 23:14 <REP> d-------- C:\Program Files\RegCleaner
2008-01-11 16:43 . 2008-01-13 21:48 <REP> d-------- C:\Program Files\adslTV
2008-01-11 16:43 . 2008-01-13 21:02 <REP> d-------- C:\Documents and Settings\manu\Application Data\vlc
2008-01-10 18:33 . 2008-01-10 18:33 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-09 11:59 . 2008-01-09 11:59 <REP> d-------- C:\Documents and Settings\CECILE\Application Data\PC Suite
2008-01-09 11:58 . 2008-01-13 20:14 <REP> d-------- C:\Documents and Settings\CECILE\Application Data\Spyware Terminator
2008-01-09 06:15 . 2008-01-09 06:15 <REP> d-------- C:\Documents and Settings\manu\Application Data\Apple Computer
2008-01-09 06:13 . 2008-01-09 06:13 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-09 06:13 . 2008-01-09 06:13 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-08 02:16 . 2008-01-08 02:16 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-01-06 12:23 . 2008-01-06 12:23 <REP> d-------- C:\Program Files\CCleaner
2008-01-05 12:52 . 2008-01-05 12:52 <REP> d-------- C:\Program Files\Red Kawa
2008-01-04 22:59 . 2008-01-04 22:59 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-01-04 22:59 . 2008-01-04 22:59 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-01-04 22:59 . 2008-01-04 22:59 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-01-04 22:58 . 2008-01-04 22:58 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 22:58 . 2008-01-04 22:58 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-01-04 22:58 . 2008-01-04 22:58 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 22:56 . 2008-01-04 22:56 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-01-04 22:56 . 2008-01-04 22:56 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-01-04 22:56 . 2008-01-04 22:56 3,162 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-01-02 23:18 . 2008-01-03 21:43 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 21:10 . 2008-01-02 21:10 <REP> d-------- C:\Program Files\Infogrames
2008-01-02 02:25 . 2008-01-06 02:18 <REP> d-------- C:\Documents and Settings\manu\Application Data\Smart PC Solutions
2008-01-01 17:05 . 2008-01-03 21:54 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-01 17:05 . 2008-01-03 21:54 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-01 17:05 . 2008-01-01 17:05 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-01 17:05 . 2008-01-01 17:05 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-01 16:40 . 2008-01-01 16:40 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-01-01 16:35 . 2008-01-01 16:36 <REP> d-------- C:\Program Files\Crawler
2008-01-01 16:35 . 2008-01-15 22:11 <REP> d-------- C:\Documents and Settings\manu\Application Data\Spyware Terminator
2008-01-01 16:35 . 2008-01-12 11:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-01-01 16:34 . 2008-01-15 22:12 <REP> d-------- C:\Program Files\Spyware Terminator
2008-01-01 16:32 . 2008-01-06 12:06 <REP> d-------- C:\Program Files\Trend Micro
2007-12-31 16:46 . 2007-12-31 16:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-12-31 15:31 . 2007-12-31 15:31 <REP> d-------- C:\WINDOWS\LastGood.Tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-15 20:05 --------- d-----w C:\Program Files\eMule
2008-01-15 11:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-15 01:26 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-14 18:35 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-13 22:14 257,536 -csha-w C:\Program Files\Thumbs.db
2008-01-10 15:55 --------- d-----w C:\Program Files\DivX
2008-01-08 04:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-06 11:22 --------- d-----w C:\Program Files\Yahoo!
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-31 14:33 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-31 14:33 --------- d-----w C:\Program Files\Ubisoft
2007-12-31 14:33 --------- d-----w C:\Program Files\Soldier of Fortune II - SP Demo
2007-12-22 00:17 --------- d-----w C:\Program Files\Google
2007-12-10 05:16 --------- d-----w C:\Program Files\Activision
2007-12-08 15:19 --------- d-----w C:\Program Files\GStudio6
2007-12-07 18:24 --------- d-----w C:\Program Files\THQ
2007-12-06 14:11 --------- d-----w C:\Program Files\EA GAMES
2007-12-05 19:24 --------- d-----w C:\Program Files\MSN Messenger
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-02 14:42 --------- d-----w C:\Program Files\Common Files
2007-12-02 04:29 221,184 ----a-w C:\WINDOWS\system32\UAService7.exe
2007-12-02 04:29 --------- d--h--r C:\Documents and Settings\All Users\Application Data\SecuROM
2007-12-02 04:17 --------- d-----w C:\Program Files\Atari
2004-12-13 04:05 8,192 --sha-w C:\Program Files\Fichiers communs\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2008-01-14_20.06.53.82 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-14 18:26:19 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-01-15 21:24:48 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-01-14 18:26:19 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-01-15 21:24:48 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-01-14 18:26:19 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
+ 2008-01-15 21:24:49 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
- 2008-01-14 18:26:19 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
+ 2008-01-15 21:24:49 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
- 2008-01-14 18:26:20 6,664,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\ntuser.dat
+ 2008-01-15 21:24:49 6,664,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\ntuser.dat
- 2008-01-14 18:26:20 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
+ 2008-01-15 21:24:49 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
- 2008-01-14 18:26:54 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-15 21:25:28 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaDICO4Ut"="C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe" [2005-08-11 20:34 252416]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-12 19:04 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2008-01-02 22:50 1065800]
"Register MediaRing Talk"="C:\Program Files\MediaRing Talk\register.exe" [1999-11-30 10:26 73728]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2005-08-11 20:55 20480]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-21 21:20 286720]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 17:14 8491008]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"mmtask"="C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2004-08-29 12:36 53248]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE" [2005-08-11 20:55 98304]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2003-10-14 11:20 1224754]
"CreativeMixer"="C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.exe" [2005-08-11 20:55 20480]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"AEZBProc"="c:\ibmtools\aptezbtn\aptezbp.exe" [2005-08-11 20:55 372736]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe" [2008-01-01 16:39 2834432]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-12-02 17:47 13312]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplDaemon"="NvQTwk" []

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-12-12 19:04:42]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\System32\drivers\sp_rsdrv2.sys [2008-01-01 16:40]
S1 lusbaudio;Logitech USB Microphone;C:\WINDOWS\System32\drivers\lvsound2.sys [2001-09-24 11:08]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINDOWS\System32\Drivers\Ca533av.sys [2002-10-21 10:37]
S2 MPManF50;MPMan F50 USB Driver;C:\WINDOWS\System32\Drivers\MPManF50.sys []
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 LVBulk;LVBulk Service;C:\WINDOWS\System32\DRIVERS\LVBulk.sys [2001-09-24 11:09]
S3 LVVI500A;LVVI500A Service;C:\WINDOWS\System32\DRIVERS\lvvi500a.sys [2001-09-20 02:39]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\System32\Drivers\Bulk533.sys [2002-07-25 10:19]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2004-02-28 01:26:23 C:\WINDOWS\Tasks\Défragmenteur de disque.job"
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Défragmenteur de disque.lnk
"2008-01-14 19:01:24 C:\WINDOWS\Tasks\Nouveau Document texte.job"
- C:\Documents and Settings\CECILE\Mes documents\Nouveau Document texte.txt
"2008-01-14 19:01:23 C:\WINDOWS\Tasks\PHOTOCOPIE URGENT.job"
- C:\Documents and Settings\manu\Mes documents\ANPE\PHOTOCOPIE URGENT.txt
"2008-01-08 21:12:01 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-11-09 21:12:05 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 22:32:19
Windows 5.1.2600 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-15 22:35:29
ComboFix-quarantined-files.txt 2008-01-15 21:35:20
ComboFix2.txt 2008-01-14 19:36:00


je vais faire un scan avec spyware doctor pour voir si il y a eu du changement.Car avec les rapport comme celui ci je n'arrive pas a l'interpréter et donc a savoir si il y a problème
0
Réponse 36 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
16 janv. 2008 à 15:56
me revoila sans bonne nouvelle il y a de nouveau trojan,je n'ai rien fait d'autre que de faire le scan de spyware doctor et en plus je ne surf plus sur le web je vais seulement sur ce site et plus précisement a cette discution tant que je ne me serai pas débarrasser de ces trojans je reste tranquille.Sinon voici le dernier rapport de spyware doctor :


voici le nouveau rapport de spyware doctor

Trojan-PWS.Transpy

-clé registre:

*HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\Windows\CurrentVersion\Control Panel\load


Trojan-PWS.Sinowal

-valeur de registre:
*HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC,Nextinstance

-clé registre:
*HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC

Trojan-Generic

-clé registre:
*HKEY-USERS\S-1-5-21-1229272821-1383384898-1708537768-1003\Software\Wget
0
Réponse 37 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
17 janv. 2008 à 05:01
Re manu002,

Oui tu sembles être réinfecté.
Pour éviter cela, il faut déjà installer un parefeu et changer Avast pour Antivir.

------------------------
- Comme pare feu je conseilles Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI

------------------------
Antivir de Avira, bien meilleur que Avast qui lui n’a que peu, voir pas évolué depuis 2 ou 3ans.

Un comparatif intéressant Avast-Antivir ICI

Et un autre comparatif complet: https://www.av-comparatives.org/

-Avant d'arrêter et d'enlever Avast:
télécharger Antivir de Avira ICI: le sauvegarder dans votre bureau
télécharger le patch pour enlever Avast ICI
le sauvegarder dans votre bureau
voir tutoriel de Antivir ICI :
Il est en anglais mais cela ne change rien car les AV en français utilisent tous des mots anglais également.

Ensuite installer Antivir.
Après qu'il vous ait été demandé de redémarrer, faire la mise à jour de Antivir

Ensuite lancer une Analyse complète.

Pendant ce temps là fermer Avast, puis dans le panneau de configuration, ajout/suppr. de programme enlever Avast ensuite exécuter aswClear.exe


Ensuite recommencer avec Combofix et CFScript pour les clés suivantes:
------------------------------
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :

Registry::
[-HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\Windows\CurrentVersion\Control Panel\load]
[-HKEY-USERS\S-1-5-21-1229272821-1383384898-1708537768-1003\Software\Wget]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC]
"Nextinstance"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC]


Enregistre ce fichier sous le nom CFScript

*Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
*Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) ,taper 1 puis valider.
*Patienter le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne toucher à rien tant que le scan n'est pas terminé.
*Une fois le scan achevé, un rapport va s'afficher: poster son contenu, en précisant où en sont les soucis.
*Si le fichier ne s'ouvre pas, il se trouve ici ==> C:\ComboFix.txt

----------------------
À propos de ce message:
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

Il faudrait installer la console de récupération.
Pour installer la console de récupération, procédez comme suit :
1. Insérez le CD-ROM Windows XP dans le lecteur de CD-ROM.
2. Cliquez sur Démarrer, puis sur Exécuter.
3. Dans la zone Ouvrir, tapez d:\i386\winnt32.exe /cmdcons, où d correspond à la lettre du lecteur de CD-ROM.
4. Une boîte de dialogue Installation de Windows s'affiche à l'écran. Cette boîte de dialogue décrit l'option Console de récupération. Pour confirmer l'installation, cliquez sur Oui.
5. Redémarrez l'ordinateur. Lors du prochain démarrage de l'ordinateur, l'entrée "Console de récupération Microsoft Windows" apparait dans le menu de démarrage.


A+
0
Réponse 38 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
17 janv. 2008 à 21:04
salut Denis

merci pour toutes ces indications qui sont bien explicites et bien détaillées.Pour le problème du cd de windows xp je ne l'ai pas car c'est un ancien copain qui me l'avait installer il y a un bon moment.J'espére que cela ne dérangera pas pour les prochaines manip.Si vraiment cela est nécessaire il ne me restera qu'a acheter ce cd et je formaterai le disque dur est tous les virus seront iradier et donc cela ne sert pas a grand chose de se prendre la tete;enfin seulement si le cd de windows n'est pas nécessaire,car cd un peu chér quand même.J'espére que vous me comprenez et je pense que vous étes du même avis que moi ;-) .
Sinon a propos de ce cd de récupération windows je ne sais pas trop a quoi il sert,peut-étre a récupérer des fichier systéme endommager voir effacer mais j'ai un doute ?

J'ai lu les tutoriels cela n'a pas l'air trés compliqué car eux aussi sont bien expliqué enfin je verrai bien.Cela fais un bon petit moment que l'ont est sur ces trojans je me demande si ont va y arriver car je ne suis pas un as en informatique,quoi avec vous j'ai déja pas mal appris !

Je ne sais quel en est la cause mais mon pc "rame" en ce moment.Sur tous ces conseils a moi maintenant d'essayer.Je vous posterez tous ça dans le prochain message..merci
0
Réponse 39 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
18 janv. 2008 à 03:34
Re manu002,

Je ne suis pas sure d'avoir compris mais semble t-il tu as un CD de récupération tu pourras l'utiliser pour réinstaller windows effectivement.

Windows est toujours beaucoup moins cher en version OEM (Original Equipment Manufacturer: installé lors de l'achat de l'ordinateur).

As tu effectuer le reste des opérations?
D'autres infections?

Tiens moi au courant...

A+
0
Réponse 40 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
18 janv. 2008 à 21:34
salut

J'ai mis un peu de temps a répondre mais je n'ai que des problémes avec mon pc.En effet je n'ai réussi a installer aucun logiciel que tu m'a demander dés que je veux lancer une installation que ce soi avec sunbelt ou antivir c'est pareil une fenêtre apparait et me dit que ce programme a rencontré un probléme et doit fermer.J'ai beau faire n'importe quoi rien y fait je suis dans l'impasse.Pour les menaces spyware doctor détecte toujour les même,rien a changer.
Pour répondre a ta question je n'ai aucun cd ni de windows,ni de récupération.Alors que faire?
Même quand j'ai une page web comme celle ci une fenétre s'ouvre pour me dire que i.explorer doit fermé pour les même raison.Je vois que mon pc est trés instable ! Je crois que nous sommes bloqué a présent ?
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses