Sujet Précédent Sujet Suivant

Probleme de trojan et de dialer

Résolu/Fermé
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 - 2 janv. 2008 à 03:03
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 - 13 févr. 2008 à 20:34
Bonjour,
bonne annee a tous.j espere que qqun pourra m aider avec mon anti spyware (spywares doctor il me detecte un trojan nomé " trojan.pws.sinowal "et une autre menace nomée "dialer.instant.access" ce qui se traduit par 22 infections.j ai comme logiciel spyware doctor, avast,spyware terminator .mais je n'arrive pas a enlever ces spywares.Ils ont l 'air d'etre inscrit apparemment dans les registres de mon pc.je n'ose pas trop y modifier quelque chose dans ce genre d'entroit de mon pc car je sais que cela peu engendrer un mauvais fonctionnement de mon pc déja qu'il rame deja pas mal.Que faire cela fait des heures que j'essais divers choses mais sans que cela change quelque chose.merci d'avance pour toutes aide.
A voir également:

89 réponses

Précédent
Réponse 41 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
19 janv. 2008 à 06:42
salut manu,

Essayes de les installer en mode sans échec.
Sinon je vais essayes de demander de l'aide.

A+
0
Réponse 42 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
20 janv. 2008 à 19:06
Salut ça a était un peu long car toujours probléme a installer le pare feu même en mode sans échec sauf pour antivir qui lui a fonctionner d'ailleur je poste mon scan de antivir et a la suite le scan de combofix.En vous postant les 2 scan j'espére apporter assez d'indice pour le dépannage,je pense ne rien avoir oublier? Je vais refaire un scan avec spyware doctor pour voir les changements.

SCAN DE ANTIVIR:



AntiVir PersonalEdition Classic
Report file date: dimanche 20 janvier 2008 02:53

Scanning for 1058642 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: SYSTEM
Computer name: AMD800

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 01:49:11
ANTIVIR2.VDF : 7.0.2.0 948736 Bytes 15/01/2008 01:49:11
ANTIVIR3.VDF : 7.0.2.21 246272 Bytes 20/01/2008 01:49:12
AVEWIN32.DLL : 7.6.0.48 3080704 Bytes 20/01/2008 01:49:13
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 20/01/2008 01:49:14
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: dimanche 20 janvier 2008 02:53

Starting search for hidden objects.
'45297' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'aswclear(pour effacer avast.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'ServiceLayer.exe' - '1' Module(s) have been scanned
Scan process 'UAService7.exe' - '1' Module(s) have been scanned
Scan process 'ULCDRSvr.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdater.exe' - '1' Module(s) have been scanned
Scan process 'dna.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sp_rsser.exe' - '1' Module(s) have been scanned
Scan process 'RAC4Ut.exe' - '1' Module(s) have been scanned
Scan process 'MediaDico4Ut.exe' - '1' Module(s) have been scanned
Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned
Scan process 'rakusb.exe' - '1' Module(s) have been scanned
Scan process 'swdsvc.exe' - '1' Module(s) have been scanned
Scan process 'Spywareterminatorshield.Exe' - '1' Module(s) have been scanned
Scan process 'svcntaux.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'LaunchApplication.exe' - '1' Module(s) have been scanned
Scan process 'aptezbp.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'Ctmix32.exe' - '1' Module(s) have been scanned
Scan process 'InCD.exe' - '1' Module(s) have been scanned
Scan process 'LVComS.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'mmtask.exe' - '1' Module(s) have been scanned
Scan process 'incdsrv.exe' - '1' Module(s) have been scanned
Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned
Scan process 'Ctsvccda.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'realplay.exe' - '1' Module(s) have been scanned
Scan process 'SDTrayApp.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'LEXPPS.EXE' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'LEXBCES.EXE' - '1' Module(s) have been scanned
Scan process 'ashServ.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
50 processes with 50 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '33' files ).


Starting the file scan:

Begin scan in 'C:\' <disque principal>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\manu\Bureau\clean.zip
[0] Archive type: ZIP
--> clean/pskill.exe
[DETECTION] Contains detection pattern of the application APPL/Tool.PsKill.2
[INFO] The file was moved to '47f7ae4d.qua'!
C:\Documents and Settings\manu\Bureau\ComboFix.exe
[0] Archive type: RAR SFX (self extracting)
--> nircmd.com
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
--> nircmd.cfexe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[WARNING] The file was ignored!
C:\Documents and Settings\manu\Bureau\instalation de clean\clean\pskill.exe
[DETECTION] Contains detection pattern of the application APPL/Tool.PsKill.2
[INFO] The file was moved to '47fdaee4.qua'!
C:\Documents and Settings\manu\Mes documents\informatique\LOGICIEL FILM\DVDRIPP\Off2k.exe
[DETECTION] Contains detection pattern of the SPR/PsShutdown.101 program
[INFO] The file was moved to '47f9059e.qua'!
C:\Program Files\MultiMedia France Toolbar\MultiMedia - Installer.exe
[DETECTION] Contains detection pattern of the dropper DR/Shopper.L.8
[INFO] The file was moved to '47ff1b1f.qua'!
C:\Program Files\Navilog1\reboot.exe
[DETECTION] Contains detection pattern of the SPR/Tool.Reboot.C program
[WARNING] The file was ignored!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP53\A0049442.exe
[DETECTION] Contains detection pattern of the SPR/FakeAV.15.A program
[INFO] The file was moved to '47c33398.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP60\A0054783.exe
[DETECTION] Contains detection pattern of the dropper DR/FraudTool.SpywareSecure.A
[INFO] The file was moved to '47c333ef.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP65\A0062939.dll
[DETECTION] Is the Trojan horse TR/Agent.TT
[INFO] The file was moved to '47c33550.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP67\A0066516.com
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] The file was moved to '47c3357e.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP68\A0066560.com
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] The file was moved to '47c33586.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP68\A0066573.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] The file was moved to '47c3358e.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP69\A0066614.com
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] The file was moved to '47c33595.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP75\A0071478.exe
[DETECTION] Contains detection pattern of the application APPL/Tool.PsKill.2
[INFO] The file was moved to '47c335d9.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP75\A0071479.exe
[DETECTION] Contains detection pattern of the dropper DR/Shopper.L.8
[INFO] The file was moved to '47c335db.qua'!
C:\System Volume Information\_restore{FD8F1E25-988F-4B36-8093-5787D30B25D8}\RP75\A0071481.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] The file was moved to '47c335dd.qua'!


End of the scan: dimanche 20 janvier 2008 13:08
Used time: 10:15:30 min

The scan has been done completely.

5384 Scanning directories
192143 Files were scanned
17 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
14 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
192126 Files not concerned
2640 Archives were scanned
4 Warnings
0 Notes
45297 Objects were scanned with rootkit scan
0 Hidden objects were found

SCAN DE COMBOFIX:

ComboFix 08-01-14.4 - manu 2008-01-20 13:27:55.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.77 [GMT 1:00]
Running from: C:\Documents and Settings\manu\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\manu\Bureau\CFScript.txt
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-20 to 2008-01-20 ))))))))))))))))))))))))))))))))))))
.

2008-01-20 13:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-20 02:16 . 2008-01-20 02:16 <REP> d-------- C:\Program Files\Avira
2008-01-20 01:43 . 2008-01-20 01:59 <REP> d-------- C:\Program Files\Sierra
2008-01-18 22:52 . 2008-01-18 22:54 <REP> d-------- C:\Documents and Settings\manu\Application Data\BitTorrent
2008-01-18 22:51 . 2008-01-18 22:51 <REP> d-------- C:\Program Files\BitTorrent_DNA
2008-01-18 22:51 . 2008-01-20 13:32 <REP> d-------- C:\Documents and Settings\manu\Application Data\BitTorrent DNA
2008-01-18 22:09 . 2008-01-18 22:54 <REP> d-------- C:\Documents and Settings\manu\Application Data\Azureus
2008-01-18 22:09 . 2008-01-18 22:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Azureus
2008-01-18 22:06 . 2008-01-19 00:58 <REP> d-------- C:\Program Files\Azureus
2008-01-15 23:34 . 2008-01-15 23:34 <REP> d-------- C:\Program Files\test
2008-01-13 23:01 . 2008-01-13 23:14 <REP> d-------- C:\Program Files\RegCleaner
2008-01-11 16:43 . 2008-01-20 01:39 <REP> d-------- C:\Program Files\adslTV
2008-01-11 16:43 . 2008-01-20 01:38 <REP> d-------- C:\Documents and Settings\manu\Application Data\vlc
2008-01-10 18:33 . 2008-01-10 18:33 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-09 11:59 . 2008-01-09 11:59 <REP> d-------- C:\Documents and Settings\CECILE\Application Data\PC Suite
2008-01-09 11:58 . 2008-01-13 20:14 <REP> d-------- C:\Documents and Settings\CECILE\Application Data\Spyware Terminator
2008-01-09 06:15 . 2008-01-09 06:15 <REP> d-------- C:\Documents and Settings\manu\Application Data\Apple Computer
2008-01-09 06:13 . 2008-01-09 06:13 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-09 06:13 . 2008-01-09 06:13 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-08 02:16 . 2008-01-08 02:16 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-01-06 12:23 . 2008-01-06 12:23 <REP> d-------- C:\Program Files\CCleaner
2008-01-05 12:52 . 2008-01-05 12:52 <REP> d-------- C:\Program Files\Red Kawa
2008-01-04 22:59 . 2008-01-04 22:59 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-01-04 22:59 . 2008-01-04 22:59 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-01-04 22:59 . 2008-01-04 22:59 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-01-04 22:58 . 2008-01-04 22:58 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 22:58 . 2008-01-04 22:58 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-01-04 22:58 . 2008-01-04 22:58 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 22:56 . 2008-01-04 22:56 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-01-04 22:56 . 2008-01-04 22:56 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-01-04 22:56 . 2008-01-04 22:56 3,162 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-01-02 23:18 . 2008-01-03 21:43 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 21:10 . 2008-01-02 21:10 <REP> d-------- C:\Program Files\Infogrames
2008-01-02 02:25 . 2008-01-06 02:18 <REP> d-------- C:\Documents and Settings\manu\Application Data\Smart PC Solutions
2008-01-01 17:05 . 2008-01-03 21:54 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-01 17:05 . 2008-01-03 21:54 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-01 17:05 . 2008-01-01 17:05 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-01 17:05 . 2008-01-01 17:05 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-01 16:40 . 2008-01-01 16:40 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-01-01 16:35 . 2008-01-01 16:36 <REP> d-------- C:\Program Files\Crawler
2008-01-01 16:35 . 2008-01-17 11:01 <REP> d-------- C:\Documents and Settings\manu\Application Data\Spyware Terminator
2008-01-01 16:35 . 2008-01-19 17:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-01-01 16:34 . 2008-01-20 11:02 <REP> d-------- C:\Program Files\Spyware Terminator
2008-01-01 16:32 . 2008-01-06 12:06 <REP> d-------- C:\Program Files\Trend Micro
2007-12-31 16:46 . 2007-12-31 16:46 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2007-12-31 15:31 . 2007-12-31 15:31 <REP> d-------- C:\WINDOWS\LastGood.Tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-20 09:55 --------- d-----w C:\Program Files\MultiMedia France Toolbar
2008-01-20 01:43 257,536 -csha-w C:\Program Files\Thumbs.db
2008-01-20 01:21 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-20 01:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-20 00:36 --------- d-----w C:\Program Files\EA GAMES
2008-01-19 23:58 --------- d-----w C:\Program Files\eMule
2008-01-19 20:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-17 21:16 --------- d-----w C:\Program Files\DivX
2008-01-17 08:38 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-08 04:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-06 11:22 --------- d-----w C:\Program Files\Yahoo!
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-31 14:33 --------- d-----w C:\Program Files\Ubisoft
2007-12-31 14:33 --------- d-----w C:\Program Files\Soldier of Fortune II - SP Demo
2007-12-22 00:17 --------- d-----w C:\Program Files\Google
2007-12-10 05:16 --------- d-----w C:\Program Files\Activision
2007-12-08 15:19 --------- d-----w C:\Program Files\GStudio6
2007-12-07 18:24 --------- d-----w C:\Program Files\THQ
2007-12-05 19:24 --------- d-----w C:\Program Files\MSN Messenger
2007-12-02 14:42 --------- d-----w C:\Program Files\Common Files
2007-12-02 04:29 221,184 ----a-w C:\WINDOWS\system32\UAService7.exe
2007-12-02 04:29 --------- d--h--r C:\Documents and Settings\All Users\Application Data\SecuROM
2007-12-02 04:17 --------- d-----w C:\Program Files\Atari
2004-12-13 04:05 8,192 --sha-w C:\Program Files\Fichiers communs\Thumbs.db
.

((((((((((((((((((((((((((((( snapshot@2008-01-14_20.06.53.82 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-14 18:26:19 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2008-01-20 12:26:17 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-01-14 18:26:19 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-01-20 12:26:17 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-01-14 18:26:19 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
+ 2008-01-20 12:26:17 1,421,312 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000003\NTUSER.DAT
- 2008-01-14 18:26:19 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
+ 2008-01-20 12:26:17 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000004\UsrClass.dat
- 2008-01-14 18:26:20 6,664,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\ntuser.dat
+ 2008-01-20 12:26:18 6,713,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000005\ntuser.dat
- 2008-01-14 18:26:20 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
+ 2008-01-20 12:26:18 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0[/u]0000006\UsrClass.dat
- 2008-01-13 00:55:45 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-01-20 01:15:02 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-13 00:55:45 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-01-20 01:15:02 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-01-13 00:55:45 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-20 01:15:47 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2008-01-14 18:26:54 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-20 12:27:13 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-01-20 01:49:14 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
- 2002-12-11 23:14:32 46,592 ----a-w C:\WINDOWS\system32\dxdllreg.exe
+ 2005-07-22 18:57:48 62,672 ----a-w C:\WINDOWS\system32\dxdllreg.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaDICO4Ut"="C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe" [2005-08-11 20:34 252416]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-12 19:04 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]
"BitTorrent DNA"="C:\Program Files\BitTorrent_DNA\dna.exe" [2008-01-18 22:51 286016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2008-01-02 22:50 1065800]
"Register MediaRing Talk"="C:\Program Files\MediaRing Talk\register.exe" [1999-11-30 10:26 73728]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2005-08-11 20:55 20480]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-09-21 21:20 286720]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 17:14 8491008]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"mmtask"="C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe" [2004-08-29 12:36 53248]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE" [2005-08-11 20:55 98304]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2003-10-14 11:20 1224754]
"CreativeMixer"="C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.exe" [2005-08-11 20:55 20480]
"AEZBProc"="c:\ibmtools\aptezbtn\aptezbp.exe" [2005-08-11 20:55 372736]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe" [2008-01-01 16:39 2834432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-20 02:49 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-12-02 17:47 13312]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplDaemon"="NvQTwk" []

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2007-12-12 19:04:42]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\System32\drivers\sp_rsdrv2.sys [2008-01-01 16:40]
S1 lusbaudio;Logitech USB Microphone;C:\WINDOWS\System32\drivers\lvsound2.sys [2001-09-24 11:08]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINDOWS\System32\Drivers\Ca533av.sys [2002-10-21 10:37]
S2 MPManF50;MPMan F50 USB Driver;C:\WINDOWS\System32\Drivers\MPManF50.sys []
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 LVBulk;LVBulk Service;C:\WINDOWS\System32\DRIVERS\LVBulk.sys [2001-09-24 11:09]
S3 LVVI500A;LVVI500A Service;C:\WINDOWS\System32\DRIVERS\lvvi500a.sys [2001-09-20 02:39]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\System32\Drivers\Bulk533.sys [2002-07-25 10:19]

*Newly Created Service* - ANTIVIRSERVICE
*Newly Created Service* - SSMDRV
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2004-02-28 01:26:23 C:\WINDOWS\Tasks\Défragmenteur de disque.job"
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Défragmenteur de disque.lnk
"2008-01-20 01:20:00 C:\WINDOWS\Tasks\Nouveau Document texte.job"
- C:\Documents and Settings\CECILE\Mes documents\Nouveau Document texte.txt
"2008-01-20 01:20:00 C:\WINDOWS\Tasks\PHOTOCOPIE URGENT.job"
- C:\Documents and Settings\manu\Mes documents\ANPE\PHOTOCOPIE URGENT.txt
"2008-01-18 21:12:02 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-11-09 21:12:05 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-20 13:36:04
Windows 5.1.2600 NTFS

detected NTDLL code modification:
ZwClose

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-20 13:40:06
ComboFix-quarantined-files.txt 2008-01-20 12:39:54
ComboFix2.txt 2008-01-15 21:35:31
ComboFix3.txt 2008-01-14 19:36:00


RECAPITULTIF:antivir a été installer avec succés grace au mode sans échec,avast a été supprimer avec succés.Parefeu non installer.J'ai spyware terminator et IE 6 faut-ils que je les garde ou les modifier si nécessaire? j'ai aussi spybot d'installer faut-il le garder lui aussi.(état actif) .
0
Réponse 43 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
20 janv. 2008 à 23:13
manu,

-Spybot faut le garder actif.
Spyware terminator tu peux le garder si tu as vu son efficacité, sinon tu peux l'enlever car tu as Spyware doctor aussi.

-Internet explorer il faudrait faire la mise à jour :
https://support.microsoft.com/fr-fr/allproducts

-Antivir a mis 14 fichiers en quarantaine qui étaient dans tes fichiers restaurations en particulier.
Tu pourras vider la quarantaine si tu ne vois rien d'anormal d'ici 1 ou 2 jrs.

Ensuite
-----------------
1-Télécharge BTFix 1.017 (de bibi26) dans un de ces 2 liens :
http://cluster1.easy-hebergement.net/
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/40698.html

* Décompresser l'archive sur le Bureau (Clique-Droit/Extraire tout).
* Ouvrir le dossier BTFix
* Double cliquer sur BTFix.exe
* Cliquer sur Rechercher
* Un rapport va apparaître, copier/coller le dans la prochaine réponse.

2 Redémarrer en mode sans échec. Attention, il n’y a pas accès à Internet dans ce mode, copier et coller cette procédure dans un fichier texte (Pour ça un clic droit de la souris sur le bureau, puis choisir > Nouveau > Document Texte), et la sauver dans le bureau.
Démarrer l'ordinateur.
Après le bip, une fois le chargement du BIOS terminé, il y a un écran noir. Appuyer sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionner Mode sans échec et appuyer sur Entrée.

3 Lancer le nettoyage des fichiers temporaires à l´aide de CCleaner :
Dans Options/Avancés, décocher : effacer uniquement les fichiers du répertoires temp de windows de plus vieux que 48h.

Nettoyeur
->Coches toutes les cases dans les propriétés du nettoyeur de l´onglet "windows" et "applications"
décoche la dernière case (Avancée si elle est cochée) puis click sur Analyse quand il aura terminé le scan clic en bas a droite sur Lancer le nettoyage et acceptes par oui.

4 Ouvrir BTFix.
Cliquer sur Nettoyer.
Un rapport va apparaître (le copier et le coller dans un nouveau document texte, le sauvegarder dans le bureau).

5 Relance CCleaner pour nettoyer les erreurs de la base de registre : Registre
Coche intégrité du registre
Puis click en bas sur Chercher des erreurs une fois terminé, clic sur réparer les erreurs.
Tu auras un message pour sauvegarder ta base de registre, tu clic "oui" puis tu recommences jusqu'à ce qu'il ne trouve plus rien.

p.s. : les sauvegardes faites, pourront être supprimées ultérieurement si tout va bien.


6 Redémarrer normalement

7 Poste un second log HijackThis avec le rapport de BTFix.


Rien ne s'améliore?

A+
0
Réponse 44 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
21 janv. 2008 à 22:31
Salut

J'ai fini avec spyware doctor il m'a sorti le méme rapport que celui d'avant c'est pour cela que je ne te l'ai pas posté.
Pour la MAJ de IE 7 cela ne marche pas je clic et rien ne se passe. Je vais essayer tes autres astuces pour voir.

A +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
22 janv. 2008 à 04:47
Ok tiens nous au courant

A+
0
Réponse 46 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
22 janv. 2008 à 19:17
Salut

voila tu as de quoi lire :

1er-rapport de BTFix


TFix 1.071 (par bibi26) - 22/01/2008 18:19:11 - Analyse
Lancé depuis C:\Documents and Settings\manu\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/Dossiers trouvés


---> Analyse terminée


2éme rapport de BTFix


BTFix 1.071 (par bibi26) - 22/01/2008 18:36:00 - Nettoyage - Mode sans échec
Lancé depuis C:\Documents and Settings\manu\Bureau\BTFix\BTFix\BTFix.exe

---> Fichiers/dossiers supprimés (Première passe)

- Fichiers temporaires effacés

---> Nettoyage terminé

rapport de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:10, on 22/01/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\ibmtools\aptezbtn\aptezbp.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\BitTorrent_DNA\dna.exe
C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\MediaDICO4Ut.EXE
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\ibmtools\aptezbtn\rakusb.exe
C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\Rac4Ut.EXE
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\PROGRA~1\SPYWAR~4\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\UAService7.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Program Files\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MediaDICO4Ut] C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe Lancement
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\BitTorrent_DNA\dna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D3ACA3E-9107-4F38-8F4D-564133852CDB}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~4\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O24 - Desktop Component 0: (no name) - (no file)
0
Réponse 47 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
23 janv. 2008 à 02:59
Re,


1-J'avais oublié un fichier à vérifier (Nircmd.exe), il ne semble pas être dans son répertoire habituel :
---------------------------------
Vérifier le fichier dans le site: https://www.virustotal.com/gui/

Une fois dans le site, copier et coller le chemin du fichier ci dessous, dans le rectangle blanc devant le bouton Parcourir...

C:\WINDOWS\NirCmd.exe

Ensuite cliquer sur le bouton Envoyer le fichier

Le fichier va être examiner par environ 30 moteur anti virus, il va être mis en file d’attente dans un premier temps, soyez patient, laisser tourner.
Le rapport ne sera complet que si la mention "FINISHED" apparaît sur la droite.

Coller le rapport dans le prochain message.


2-Connais tu ces adresses 212.27.53.252, 212.27.54.252 ?
Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
75008 Paris
------------------------
SI non, alors télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe
http://swandog46.geekstogo.com/Fixwareout.exe

Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le.
Ton système mettra un peu plus de temps au démarrage, c'est normal.

Quand ton système aura redémarré, suis les invites des messages.

Ensuite lance HijackThis. Clique sur Do a scan only et coche les lignes suivantes:


O17 - HKLM\System\CCS\Services\Tcpip\..\{9D3ACA3E-9107-4F38-8F4D-564133852CDB}: NameServer = 212.27.53.252,212.27.54.252



Fermes toutes les applications et le navigateur.
Cliquer sur Fix Checked. Fermer HijackThis et cliquer sur OK pour continuer la procédure.

A la fin du fix, tu auras peut-être encore besoin de redémarrer le PC.

Au final, poste le contenu du fichier C:\fixwareout\report.txt avec un nouveau rapport HiJackthis

----------
Si et seulement si il y a des difficultés de connexion après cette manip:
Démarrer---->Paramètres---->Panneau de configuration---->Connexions réseau
Faire un clic droit sur la connexion par défaut, nommée en général "Connexion au réseau local" ou "Accès à distance" si tu utilises un modem téléphonique, et choisir Propriétés.
Faire un double clic sur l'élément Protocole Internet (TCP/IP) et choisir le bouton-radio Obtenir les adresses des serveurs DNS automatiquement.
Clique deux fois sur OK, et redémarre l'ordinateur.


3-Tu n'as pas de pare feu ou peut être juste celui de Windows mais vraiment inutile.
------------------------
Comme pare feu je conseillerais Sunbelt (ex Kerio), mais il y en a bien d'autre.
Dans les premiers jours, il y aura une période d’apprentissage (à chaque alerte d'un programme connu cocher la case : créer une règle pour cette communication et ne plus me demander)

Bien regarder le tutoriel ICI
Et pour la version la plus récente ICI


4-Tu as 3 antispywares qui démarrent avec Windows, Spyware terminator, le tea timer de Spybot, Spyware doctor.
Comme les antivirus il ne faut les faire tourner en résident en parallèle ils risquent de rentrer en conflit et de perdre leur efficacité.
J'ai enlevé le tea timer de ta liste de démarrage pour l'instant.
------------------------
Relancer HiJackthis cliquer sur Do a scan only et cocher les lignes en gras:


O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\BitTorrent_DNA\dna.exe"
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O24 - Desktop Component 0: (no name) - (no file)


Fermez toutes les applications et le navigateur et cliquer sur Fix Checked.

-Ton windows semble très ancien, il n'y même pas le SP1.
Idem pour Internet Explorer?
http://www.windowsupdate.com/windowsupdate/v6/default.aspx

-Tu ne peux pas faire les mises à jour, ton windows est piraté?

-Toujours les même symptômes?

A+
0
Réponse 48 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
26 janv. 2008 à 19:50
salut

je n'arrive pas a analyser ce fichier ainsi que son chemin :"C:\WINDOWS\NirCmd.exe ",une phrase en espagnole (je crois) s'affiche et marque "0 bytes size received / Se ha recibido un archivo vacio " je ne sais pas ce que veux dire cette phrase mais rien ne se passe!


Pour l'adresses :212.27.53.252, 212.27.54.252 ?
Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
75008 Paris
j'ai free comme fournisseur ça doit étre leur coordonnée,donc je n'ai pas fait la procédure que tu m'a décrite ci-dessus.Pour le pare feu "Sunbelt" cela ne marche toujours pas.

En ce qui concerne mon windows cela fait environ 7 ans qu'il est installé sur mon disque dur,je n'ai jamais eu de souci jusqu'a ce que je mette internet il y a quelque mois.Tout les problémes de trojan que je rencontre actuellement est peu étre dut a une mauvaise protection au début que je me suis mis au net et je pense que j'ai eu ces trojans au début sans le savoir.C'est seulement depuis que j'ai mis spyware doctor qui lui seul me les a détecté et aucun autre logiciel de protection ne les détecte.Le probléme avec cet antispyware et que je peu seulement m'arréter a cette analyse si je veux les supprimer il est payant.J'en suis a me demander si c'est pas ceux qui ont fait ce logiciel qui ont crée ces menaces afin que l'ont achéte leur produit,car il y a comme je me répéte que lui qui les détecte !!?Pour en revenir a mon windows je n'ai pas le cd car c'est une version copier,et donc je crois que les mise a jour sont a évité peur que windows se bloque ! j'en ai déja assez avec ces trojans.Je suis en train de voir pour acheté la version original de windows et donc avec le cd ce coup ci ! Car je crois que si je n'achéte pas spyware doctor on n'arrivera pas a se débarrasser de ces virus,et je n'ai pas l'intention de l'acheter.

Je ne sais plus quoi faire a présent, je crois que je vais continuer a voir tout tes conseils

a +

ps: je voulais savoir si tu pouvez répondre a cette question: est-ce que ces trojans que j'ai,peuvent contaminer d'autre pc en tchatant sur msn.car j'ai des amis sur msn et je ne communique plus avec eux de peur de leur contaminer leur pc?

NB:j'espére que tu comprendra ma question car j'ai eu du mal a tourner la phrase.merci d'avance.
0
Réponse 49 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
27 janv. 2008 à 00:56
manu002,

-j'ai free comme fournisseur ça doit étre leur coordonnée
Effectivement c'est free ton fournisseur d'accès, regarder ici http://www.proxad.net/

-Les mises à jour sont indispensables car tu t'exposes à de multiple soucis les infections utilisant les failles de windows, car sans MàJ pour te donner une image, tu es en possession de la pire des passoires qui soit disons le franchement.
Il arrive dans d'extrêmement rare cas que les MàJ crée des problème sur Windows mais elles sont toujours solvable.
Tu risque peut être de ne pas être autorisé à faire les mises à jour car tu as une copie, mais si sa clé n'a pas été utilisé par de nombreuse personne tu as une chance.

-Entre les 2 ou 3 scan Spyware doctor il est apparau un autre trojan, mais Antivir semble avoir fait le ménage en partie.

Tu avais écrit: J'ai fini avec spyware doctor il m'a sorti le méme rapport que celui d'avant
Peux tu recommencer la procédure du message 37 avec CFScript en mode sans échec choisi ton profil pas un autre.
Également faire une analyse complète en mode sans échec avec Antivir.

-Pour msn mets dans ton entête de message que tes amis ne doivent rien accepter même si cela vient de toi.

A+
0
Réponse 50 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
27 janv. 2008 à 01:59
voici le rapport de spyware doctor que j'ai fat tout a l'heure .

Trojan.NirCmd(35 infections)[degrés de risque:moyen]

--fichier

-C:\Documents and Settings\manu\Bureau\instalation de sdfix\SDFix\apps\ERDNT.E_E

-C:\System Volume Information\_restore(FD8F1E25-988F-4B36-8093-5787D30B25D8)\RP69\A0066591.EXE

-C:\System Volume Information\_restore(FD8F1E25-988F-4B36-8093-5787D30B25D8)\RP76\A0071485.EXE

-C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE

-C:\WINDOWS\erdnt\subs\ERDNT.EXE

-C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE

-C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE

-C:\WINDOWS\system32\swxcacls.exe

--Valeur de registre

-HKEY_LOCAL_MACHINE\SOFTWARE\swearware,combofix_wow

-HKEY_LOCAL_MACHINE\SOFTWARE\swearware,Runs

-HKEY_LOCAL_MACHINE\SOFTWARE\swearware,snapshot

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME,Nextinstance

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,Service

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,Legacy

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,ConfigFlags

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,Class

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,classGUID

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,DeviceDesc

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,Capabilities

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000,Driver

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme,Type

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme,ErrorControl

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme,Start

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme,ImagePath

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme,Group

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum,0

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum,Count

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum,Nextinstance

--clé de registre

-HKEY_LOCAL_MACHINE\SOFTWARE\swearware

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME\0000\LogConf

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME\0000\Control

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME\0000

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme


trojan-PWS.Transpy(1 infection) [degrés de risque:moyen]

--clé de registre

-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Load

trojan-PWS.Sinowal(2 infections)[degrés de risque:haut]

--valeur de registre

-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC,Nextinstance

--clé de registre

-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC


Je vais a présent faire ce que tu viens de m'écrire.a+
0
Réponse 51 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
27 janv. 2008 à 08:10
manu002,

As tu exécuté Antivir en mode sans échec a t-il trouvé quelque chose?
Si oui avant ou après Spyware doctor?

Les dernières clés reviennent, il faudrait exécuter la procédure en mode sans échec.

------------------------------
Créer un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et y coller les lignes suivantes :


Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\swearware]
’’combofix_wow’’= -
[HKEY_LOCAL_MACHINE\SOFTWARE\swearware]
’’Runs’’=-
[HKEY_LOCAL_MACHINE\SOFTWARE\swearware]
’’snapshot’’=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Load ]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum]
’’Nextinstance’’=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\swearware]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Load]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC]
’’Nextinstance’’=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ENUM\ROOT\LEGACY_NTMLSVC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME]
’’Nextinstance’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’Service’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’Legacy’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’ConfigFlags’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’Class’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’classGUID’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’DeviceDesc’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’Capabilities’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CATCHME\0000] ’’Driver’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme]
’’Type’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme]
‘’ErrorControl’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme]
’’Start’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme]
’’ImagePath’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme]
’’Group’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum]
’’0’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum]
’’Count’’=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum]
’’Nextinstance’’=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME\0000\LogConf]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME\0000\Control]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_CATCHME]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme\Enum]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\catchme]

File::
C:\Documents and Settings\manu\Bureau\instalation de sdfix\SDFix\apps\ERDNT.E_E
C:\System Volume Information\_restore(FD8F1E25-988F-4B36-8093-5787D30B25D8)\RP69\A0066591.EXE
C:\System Volume Information\_restore(FD8F1E25-988F-4B36-8093-5787D30B25D8)\RP76\A0071485.EXE
C:\WINDOWS\erdnt\Hiv-backup\ERDNT.EXE
C:\WINDOWS\erdnt\subs\ERDNT.EXE
C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
C:\WINDOWS\system32\swxcacls.exe


Enregistre ce fichier sous le nom CFScript

Redémarrer en mode sans échec.
Choisir son compte, pas celui de l'Administrateur ou autre.
*Faire un glisser/déposer du fichier CFScript sur le fichier ComboFix.exe

A+
0
Réponse 52 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
27 janv. 2008 à 12:38
salut

voici les rapports de combofix et de antivir fait bien entendu en mode sans echec ,suivant les consignes du messages 49 ci-dessus.

combofix:

ComboFix 08-01-23.1C - manu 2008-01-27 2:56:03.5 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.142 [GMT 1:00]
Endroit: C:\Documents and Settings\manu\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\manu\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Possible sites infectés -----

hxxp://gpdl.google.com
.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-27 to 2008-01-27 ))))))))))))))))))))))))))))))))))))
.

2008-01-27 02:40 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-26 23:58 . 2008-01-26 23:58 <REP> d-------- C:\WINDOWS\AU_Temp
2008-01-26 20:29 . 2008-01-26 20:29 <REP> d-------- C:\WINDOWS\report
2008-01-26 20:28 . 2008-01-26 20:29 <REP> d-------- C:\WINDOWS\AU_Backup
2008-01-26 20:28 . 2008-01-26 20:28 35,262,033 --a------ C:\WINDOWS\VPTNFILE.963
2008-01-26 20:28 . 2008-01-26 20:28 1,916,766 --a------ C:\WINDOWS\tsc.ptn
2008-01-26 20:28 . 2008-01-26 20:29 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2008-01-26 20:28 . 2008-01-26 20:28 267,845 --a------ C:\WINDOWS\tsc.exe
2008-01-26 20:28 . 2008-01-26 20:29 86,094 --a------ C:\WINDOWS\BPMNT.dll
2008-01-26 20:28 . 2008-01-26 20:28 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-01-26 20:28 . 2008-01-26 23:58 823 --a------ C:\WINDOWS\tsc.ini
2008-01-26 20:25 . 2008-01-26 20:25 <REP> d-------- C:\WINDOWS\AU_Log
2008-01-26 20:25 . 2008-01-26 20:25 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-01-26 20:25 . 2008-01-26 20:25 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-01-26 20:25 . 2008-01-26 20:25 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-01-26 20:25 . 2008-01-26 23:58 170 --a------ C:\WINDOWS\GetServer.ini
2008-01-20 02:16 . 2008-01-20 02:16 <REP> d-------- C:\Program Files\Avira
2008-01-20 01:43 . 2008-01-20 01:59 <REP> d-------- C:\Program Files\Sierra
2008-01-18 22:06 . 2008-01-19 00:58 <REP> d-------- C:\Program Files\Azureus
2008-01-15 23:34 . 2008-01-15 23:34 <REP> d-------- C:\Program Files\test
2008-01-13 23:01 . 2008-01-13 23:14 <REP> d-------- C:\Program Files\RegCleaner
2008-01-11 16:43 . 2008-01-20 01:39 <REP> d-------- C:\Program Files\adslTV
2008-01-10 18:33 . 2008-01-10 18:33 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-09 06:13 . 2008-01-09 06:13 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-09 06:13 . 2008-01-09 06:13 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-08 02:16 . 2008-01-08 02:16 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-01-06 12:23 . 2008-01-06 12:23 <REP> d-------- C:\Program Files\CCleaner
2008-01-05 12:52 . 2008-01-05 12:52 <REP> d-------- C:\Program Files\Red Kawa
2008-01-04 22:59 . 2008-01-04 22:59 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-01-04 22:59 . 2008-01-04 22:59 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-01-04 22:59 . 2008-01-04 22:59 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-01-04 22:58 . 2008-01-04 22:58 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 22:58 . 2008-01-04 22:58 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-01-04 22:58 . 2008-01-04 22:58 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 22:56 . 2008-01-04 22:56 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-01-04 22:56 . 2008-01-04 22:56 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-01-04 22:56 . 2008-01-04 22:56 3,162 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-01-02 23:18 . 2008-01-25 22:56 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 21:10 . 2008-01-02 21:10 <REP> d-------- C:\Program Files\Infogrames
2008-01-01 17:05 . 2008-01-03 21:54 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-01 17:05 . 2008-01-03 21:54 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-01 17:05 . 2008-01-01 17:05 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-01 17:05 . 2008-01-01 17:05 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-01 16:40 . 2008-01-01 16:40 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-01-01 16:34 . 2008-01-25 20:56 <REP> d-------- C:\Program Files\Spyware Terminator
2008-01-01 16:32 . 2008-01-06 12:06 <REP> d-------- C:\Program Files\Trend Micro
2007-12-31 15:31 . 2007-12-31 15:31 <REP> d-------- C:\WINDOWS\LastGood.Tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-26 23:00 --------- d-----w C:\Program Files\Google
2008-01-26 22:59 --------- d-----w C:\Program Files\DivX
2008-01-25 19:38 --------- d-----w C:\Program Files\eMule
2008-01-24 15:54 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-20 09:55 --------- d-----w C:\Program Files\MultiMedia France Toolbar
2008-01-20 01:43 257,536 -csha-w C:\Program Files\Thumbs.db
2008-01-20 01:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-20 00:36 --------- d-----w C:\Program Files\EA GAMES
2008-01-06 11:22 --------- d-----w C:\Program Files\Yahoo!
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-31 14:33 --------- d-----w C:\Program Files\Ubisoft
2007-12-31 14:33 --------- d-----w C:\Program Files\Soldier of Fortune II - SP Demo
2007-12-10 05:16 --------- d-----w C:\Program Files\Activision
2007-12-08 15:19 --------- d-----w C:\Program Files\GStudio6
2007-12-07 18:24 --------- d-----w C:\Program Files\THQ
2007-12-05 19:24 --------- d-----w C:\Program Files\MSN Messenger
2007-12-02 14:42 --------- d-----w C:\Program Files\Common Files
2007-12-02 04:29 221,184 ----a-w C:\WINDOWS\system32\UAService7.exe
2007-12-02 04:17 --------- d-----w C:\Program Files\Atari
2004-12-13 04:05 8,192 --sha-w C:\Program Files\Fichiers communs\Thumbs.db
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaDICO4Ut"="C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe" [2005-08-11 20:34 252416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2008-01-02 22:50 1065800]
"Register MediaRing Talk"="C:\Program Files\MediaRing Talk\register.exe" [1999-11-30 10:26 73728]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2005-08-11 20:55 20480]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 17:14 8491008]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE" [2005-08-11 20:55 98304]
"CreativeMixer"="C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.exe" [2005-08-11 20:55 20480]
"AEZBProc"="c:\ibmtools\aptezbtn\aptezbp.exe" [2005-08-11 20:55 372736]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe" [2008-01-01 16:39 2834432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-20 02:49 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-12-02 17:47 13312]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplDaemon"="NvQTwk" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
S1 lusbaudio;Logitech USB Microphone;C:\WINDOWS\System32\drivers\lvsound2.sys [2001-09-24 11:08]
S1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\System32\drivers\sp_rsdrv2.sys [2008-01-01 16:40]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINDOWS\System32\Drivers\Ca533av.sys [2002-10-21 10:37]
S2 MPManF50;MPMan F50 USB Driver;C:\WINDOWS\System32\Drivers\MPManF50.sys []
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 LVBulk;LVBulk Service;C:\WINDOWS\System32\DRIVERS\LVBulk.sys [2001-09-24 11:09]
S3 LVVI500A;LVVI500A Service;C:\WINDOWS\System32\DRIVERS\lvvi500a.sys [2001-09-20 02:39]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\System32\Drivers\Bulk533.sys [2002-07-25 10:19]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2004-02-28 01:26:23 C:\WINDOWS\Tasks\Défragmenteur de disque.job"
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Défragmenteur de disque.lnk
"2008-01-27 01:43:03 C:\WINDOWS\Tasks\Nouveau Document texte.job"
- C:\Documents and Settings\CECILE\Mes documents\Nouveau Document texte.txt
"2008-01-27 01:43:02 C:\WINDOWS\Tasks\PHOTOCOPIE URGENT.job"
- C:\Documents and Settings\manu\Mes documents\ANPE\PHOTOCOPIE URGENT.txt
"2008-01-18 21:12:02 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-11-09 21:12:05 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-27 02:59:14
Windows 5.1.2600 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-01-27 3:00:18
ComboFix-quarantined-files.txt 2008-01-27 01:59:51
ComboFix2.txt 2008-01-20 12:40:08


antivir:



AntiVir PersonalEdition Classic
Report file date: 2008-01-27 03:25

Scanning for 1070348 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: manu
Computer name: AMD800

Version information:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 01:49:11
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 2008-01-25 18:23:27
ANTIVIR3.VDF : 7.0.2.50 2048 Bytes 2008-01-25 18:23:27
AVEWIN32.DLL : 7.6.0.56 3215872 Bytes 2008-01-26 18:23:30
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-01-20 01:49:14
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: 2008-01-27 03:25

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'swdsvc.exe' - '1' Module(s) have been scanned
Scan process 'svcntaux.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '30' files ).


Starting the file scan:

Begin scan in 'C:\' <disque principal>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\manu\Bureau\ComboFix.exe
[0] Archive type: RAR SFX (self extracting)
--> nircmd.com
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
--> nircmd.cfexe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[WARNING] The file was ignored!
C:\WINDOWS\NirCmd.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] The file was moved to '480e5dd6.qua'!


End of the scan: 2008-01-27 11:53
Used time: 8:27:55 min

The scan has been done completely.

5190 Scanning directories
179644 Files were scanned
3 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
179641 Files not concerned
2363 Archives were scanned
2 Warnings
0 Notes
0
Réponse 53 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
27 janv. 2008 à 12:49
maintenant je vais tout recommencer avec la procédure que tu m'a décrite au message 51.Je vais faire combofix suivit de antivir et je terminerais par repasser spyware doctor .Je te dirai quoi dans le prochain message.Je vais donc tout faire en mode sans echec.Ha oui j'allais oublier antivir m'a détecté ce fichier: "APPL/NirCmd.3" ,je ne savais pas quoi en faire alors je l'ai mis en quarantaine.Je pense qu'avec les rapports précédents tu devrais le voir,car moi j'ai toujours du mal a exploité les rapports.

a+
0
Réponse 54 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
27 janv. 2008 à 21:01
salut

voici les rapports de combofix et de antivir fait bien entendu en mode sans echec.

combofix

ComboFix 08-01-23.1C - manu 2008-01-27 2:56:03.5 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.142 [GMT 1:00]
Endroit: C:\Documents and Settings\manu\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\manu\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Possible sites infectés -----

hxxp://gpdl.google.com
.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-27 to 2008-01-27 ))))))))))))))))))))))))))))))))))))
.

2008-01-27 02:40 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-26 23:58 . 2008-01-26 23:58 <REP> d-------- C:\WINDOWS\AU_Temp
2008-01-26 20:29 . 2008-01-26 20:29 <REP> d-------- C:\WINDOWS\report
2008-01-26 20:28 . 2008-01-26 20:29 <REP> d-------- C:\WINDOWS\AU_Backup
2008-01-26 20:28 . 2008-01-26 20:28 35,262,033 --a------ C:\WINDOWS\VPTNFILE.963
2008-01-26 20:28 . 2008-01-26 20:28 1,916,766 --a------ C:\WINDOWS\tsc.ptn
2008-01-26 20:28 . 2008-01-26 20:29 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2008-01-26 20:28 . 2008-01-26 20:28 267,845 --a------ C:\WINDOWS\tsc.exe
2008-01-26 20:28 . 2008-01-26 20:29 86,094 --a------ C:\WINDOWS\BPMNT.dll
2008-01-26 20:28 . 2008-01-26 20:28 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-01-26 20:28 . 2008-01-26 23:58 823 --a------ C:\WINDOWS\tsc.ini
2008-01-26 20:25 . 2008-01-26 20:25 <REP> d-------- C:\WINDOWS\AU_Log
2008-01-26 20:25 . 2008-01-26 20:25 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-01-26 20:25 . 2008-01-26 20:25 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-01-26 20:25 . 2008-01-26 20:25 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-01-26 20:25 . 2008-01-26 23:58 170 --a------ C:\WINDOWS\GetServer.ini
2008-01-20 02:16 . 2008-01-20 02:16 <REP> d-------- C:\Program Files\Avira
2008-01-20 01:43 . 2008-01-20 01:59 <REP> d-------- C:\Program Files\Sierra
2008-01-18 22:06 . 2008-01-19 00:58 <REP> d-------- C:\Program Files\Azureus
2008-01-15 23:34 . 2008-01-15 23:34 <REP> d-------- C:\Program Files\test
2008-01-13 23:01 . 2008-01-13 23:14 <REP> d-------- C:\Program Files\RegCleaner
2008-01-11 16:43 . 2008-01-20 01:39 <REP> d-------- C:\Program Files\adslTV
2008-01-10 18:33 . 2008-01-10 18:33 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-09 06:13 . 2008-01-09 06:13 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-09 06:13 . 2008-01-09 06:13 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-08 02:16 . 2008-01-08 02:16 630,784 --a------ C:\WINDOWS\system32\divxdec.ax
2008-01-06 12:23 . 2008-01-06 12:23 <REP> d-------- C:\Program Files\CCleaner
2008-01-05 12:52 . 2008-01-05 12:52 <REP> d-------- C:\Program Files\Red Kawa
2008-01-04 22:59 . 2008-01-04 22:59 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-01-04 22:59 . 2008-01-04 22:59 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-01-04 22:59 . 2008-01-04 22:59 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-01-04 22:58 . 2008-01-04 22:58 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 22:58 . 2008-01-04 22:58 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-01-04 22:58 . 2008-01-04 22:58 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-01-04 22:56 . 2008-01-04 22:56 156,992 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 22:56 . 2008-01-04 22:56 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-01-04 22:56 . 2008-01-04 22:56 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-01-04 22:56 . 2008-01-04 22:56 3,162 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-01-02 23:18 . 2008-01-25 22:56 <REP> d-------- C:\Program Files\Navilog1
2008-01-02 21:10 . 2008-01-02 21:10 <REP> d-------- C:\Program Files\Infogrames
2008-01-01 17:05 . 2008-01-03 21:54 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-01 17:05 . 2008-01-03 21:54 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-01 17:05 . 2008-01-01 17:05 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-01 17:05 . 2008-01-01 17:05 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-01 16:40 . 2008-01-01 16:40 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2008-01-01 16:34 . 2008-01-25 20:56 <REP> d-------- C:\Program Files\Spyware Terminator
2008-01-01 16:32 . 2008-01-06 12:06 <REP> d-------- C:\Program Files\Trend Micro
2007-12-31 15:31 . 2007-12-31 15:31 <REP> d-------- C:\WINDOWS\LastGood.Tmp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-26 23:00 --------- d-----w C:\Program Files\Google
2008-01-26 22:59 --------- d-----w C:\Program Files\DivX
2008-01-25 19:38 --------- d-----w C:\Program Files\eMule
2008-01-24 15:54 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-20 09:55 --------- d-----w C:\Program Files\MultiMedia France Toolbar
2008-01-20 01:43 257,536 -csha-w C:\Program Files\Thumbs.db
2008-01-20 01:05 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-20 00:36 --------- d-----w C:\Program Files\EA GAMES
2008-01-06 11:22 --------- d-----w C:\Program Files\Yahoo!
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-12-31 14:33 --------- d-----w C:\Program Files\Ubisoft
2007-12-31 14:33 --------- d-----w C:\Program Files\Soldier of Fortune II - SP Demo
2007-12-10 05:16 --------- d-----w C:\Program Files\Activision
2007-12-08 15:19 --------- d-----w C:\Program Files\GStudio6
2007-12-07 18:24 --------- d-----w C:\Program Files\THQ
2007-12-05 19:24 --------- d-----w C:\Program Files\MSN Messenger
2007-12-02 14:42 --------- d-----w C:\Program Files\Common Files
2007-12-02 04:29 221,184 ----a-w C:\WINDOWS\system32\UAService7.exe
2007-12-02 04:17 --------- d-----w C:\Program Files\Atari
2004-12-13 04:05 8,192 --sha-w C:\Program Files\Fichiers communs\Thumbs.db
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MediaDICO4Ut"="C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe" [2005-08-11 20:34 252416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2008-01-02 22:50 1065800]
"Register MediaRing Talk"="C:\Program Files\MediaRing Talk\register.exe" [1999-11-30 10:26 73728]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2005-08-11 20:55 20480]
"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 17:14 8491008]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE" [2005-08-11 20:55 98304]
"CreativeMixer"="C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.exe" [2005-08-11 20:55 20480]
"AEZBProc"="c:\ibmtools\aptezbtn\aptezbp.exe" [2005-08-11 20:55 372736]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 17:14 81920]
"SpywareTerminator"="C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe" [2008-01-01 16:39 2834432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-20 02:49 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-12-02 17:47 13312]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"NvCplDaemon"="NvQTwk" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"EditLevel"= 0 (0x0)
"NoCommonGroups"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
S1 lusbaudio;Logitech USB Microphone;C:\WINDOWS\System32\drivers\lvsound2.sys [2001-09-24 11:08]
S1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\System32\drivers\sp_rsdrv2.sys [2008-01-01 16:40]
S2 Ca533av;Icatch(IV) Video Camera Device;C:\WINDOWS\System32\Drivers\Ca533av.sys [2002-10-21 10:37]
S2 MPManF50;MPMan F50 USB Driver;C:\WINDOWS\System32\Drivers\MPManF50.sys []
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\System32\DRIVERS\fbxusb32.sys [2004-10-20 13:23]
S3 LVBulk;LVBulk Service;C:\WINDOWS\System32\DRIVERS\LVBulk.sys [2001-09-24 11:09]
S3 LVVI500A;LVVI500A Service;C:\WINDOWS\System32\DRIVERS\lvvi500a.sys [2001-09-20 02:39]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\System32\Drivers\Bulk533.sys [2002-07-25 10:19]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2004-02-28 01:26:23 C:\WINDOWS\Tasks\Défragmenteur de disque.job"
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Accessoires\Outils système\Défragmenteur de disque.lnk
"2008-01-27 01:43:03 C:\WINDOWS\Tasks\Nouveau Document texte.job"
- C:\Documents and Settings\CECILE\Mes documents\Nouveau Document texte.txt
"2008-01-27 01:43:02 C:\WINDOWS\Tasks\PHOTOCOPIE URGENT.job"
- C:\Documents and Settings\manu\Mes documents\ANPE\PHOTOCOPIE URGENT.txt
"2008-01-18 21:12:02 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
"2007-11-09 21:12:05 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"
- C:\Program Files\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-27 02:59:14
Windows 5.1.2600 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-01-27 3:00:18
ComboFix-quarantined-files.txt 2008-01-27 01:59:51
ComboFix2.txt 2008-01-20 12:40:08


antivir



AntiVir PersonalEdition Classic
Report file date: 2008-01-27 03:25

Scanning for 1070348 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (plain) [5.1.2600]
Username: manu
Computer name: AMD800

Version information:
BUILD.DAT : 270 15603 Bytes 2007-09-19 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 2007-08-23 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 2007-08-16 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 2007-08-14 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 2007-08-21 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 2007-12-14 01:49:11
ANTIVIR2.VDF : 7.0.2.49 1339904 Bytes 2008-01-25 18:23:27
ANTIVIR3.VDF : 7.0.2.50 2048 Bytes 2008-01-25 18:23:27
AVEWIN32.DLL : 7.6.0.56 3215872 Bytes 2008-01-26 18:23:30
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2007-02-26 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 2007-07-18 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 2007-04-16 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 2008-01-20 01:49:14
AVREG.DLL : 7.0.1.6 30760 Bytes 2007-07-18 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 2007-08-28 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 2007-07-18 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 2007-03-08 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 2007-08-07 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 2007-08-21 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2007-07-23 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Macro heuristic..................: on
File heuristic...................: medium
Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Start of the scan: 2008-01-27 03:25

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'swdsvc.exe' - '1' Module(s) have been scanned
Scan process 'svcntaux.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '30' files ).


Starting the file scan:

Begin scan in 'C:\' <disque principal>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\manu\Bureau\ComboFix.exe
[0] Archive type: RAR SFX (self extracting)
--> nircmd.com
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
--> nircmd.cfexe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[WARNING] The file was ignored!
C:\WINDOWS\NirCmd.exe
[DETECTION] Contains detection pattern of the application APPL/NirCmd.3
[INFO] The file was moved to '480e5dd6.qua'!


End of the scan: 2008-01-27 11:53
Used time: 8:27:55 min

The scan has been done completely.

5190 Scanning directories
179644 Files were scanned
3 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
179641 Files not concerned
2363 Archives were scanned
2 Warnings
0 Notes

spyware doctor n'a pas fini,et je fait finallement l'analise en mode normal j'espére avoir bien fait.Car c'est le logiciel lui meme qui me l'a conseillé.Je posterai le rapport qu'en il aura fini.


PS: j'ai vu sur d'autre forum que certain désactiver la restauration systéme dois-je le faire aussi car elle est restée activer ?
0
Réponse 55 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
27 janv. 2008 à 22:13
c'est pas vrai encore des nouveaux trojans!!!!!!!! A chaque fois que l'ont arrive a en effacé un il y en a d'autre qui reviennent.Voici ce que m'a trouveé spyware doctor:

Hidden Files(2 infections);Trojan.NirCmd (24 infections);Trojan.PWS.Sinowal (2 infections) et Trojan.Generic (1 infection) soit 4 menaces et 29 infections de détectées sur mon pc.Je vais esseyer de voir pour copier coller le rapport car pour la premiere menace il y a de drole de symbole qui ne sont pas sur clavier et donc que je ne peu pas recopier.Je n'arrive pas a trouver ou spyware doctor enregistre ses rapports afin que je puisse les copier coller.Pourtant j'ai été voir dans le dossier du programme mais je n'ai rien trouvé ;du moins rien ne ressembler a des fichiers texte.Tout ce que je peu faire a la rigueure c'est faire une capture d'écran ;mais je ne peux pas envoyer de fichier sur ce site.
0
Réponse 56 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
27 janv. 2008 à 23:37
manu002,

Oui une vraie passoire dirait on, je suis perdu là, mais on dirait qu'en général c'est les mêmes infection qui reviennent.

-Antivir est il toujours actif? Le petit parapluie rouge est tout le temps ouvert?

-As tu vidé la quarantaine de Antivir?

Repasses ensuite un coup de CCleaner (boutons Nettoyage et Registre)

Il trouve les clés mais il ne donne aucun fichier infecté?

-Et Azureus est cochonnerie et c'est souvent des fichiers avec copyright donc il est illégale de les transférer.
Mais le pire est que les infections sont des cadeaux fréquents avec le transfert en p2p, désinstalles le.

Je vais demander de l'aide.

Voici un anti trojan.
------------------------
- Scan a-squared free online
1-D'abord rends-toi ici =>http://techgenix.com/security/
2-Le scan doit être fait avec Internet explorer
3-Clic sur "Scan my computer for trojans"
4-Acceptes et installes l'active x...

Le logiciel va se mettre à jour, et télécharger sa base de signature (trojans connus + mise à jour)

A la fin une page s'ouvre, choisis DEEP SCAN... Ensuite laisse le faire son boulot...
Renvois le rapport dans ton prochain message.

Renvois un log HJthis également.

A+
0
Réponse 57 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
29 janv. 2008 à 06:35
salut
je peux juste te poster le rapport online que tu m'a fait faire le voici mais je pense qu'il ne va pas trop te renseigner (a la fin du scanne j'ai mis les elements en quarantaine):

a-squared Free - Version 2

Scan settings:

Objects: Memory, Traces, Cookies, C:\
Scan archives: On
Heuristics: Off
ADS Scan: On

Scan start: 2008-01-28 21:14:09


Scanned

Files: 82997
Traces: 160309
Cookies: 3
Processes: 43

Found

Files: 2
Traces: 21
Cookies: 0
Processes: 0

Scan end: 2008-01-28 22:29:31
Scan time: 01:15:22



le rapport de hijackthis je te le posterai quand je rentrerai du boulot (je me suis réveillé a labour).Si il faut je peux te recopier tous les détails des menaces que m'a donné le scan online. a tout a l'heure.
0
Réponse 58 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
29 janv. 2008 à 15:33
oui stp

car sans les fichiers, les clés seules sont inutile on risque de rien régler et de tourner en rond et même de faire des erreurs à utiliser combofix qui est très puissant.

A+
0
Réponse 59 / 89
manu002 Messages postés 52 Date d'inscription vendredi 16 novembre 2007 Statut Membre Dernière intervention 15 septembre 2008 2
29 janv. 2008 à 16:07
voici le rapport en ligne plus en détail :

Source

c:\documents and setting\manu\application data\bsplayer pro\bsplayer.xml
c:\program files\mediaring talk
c:\documents and setting\manu\application data\bsplayer pro\eq.xml
Value:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ST4UNST#1-->UninstallString
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\choixlangues-->Checksum
c:\documents and setting\manu\Bureau\instalation de sdfix\SDFix\apps\Process.exe
c:\documents and setting\manu\application data\bsplayer pro
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\choixlangues-->PositionOuverture
c:\documents and setting\manu\application data\bsplayer
c:\Program Files\Navilog1\Process.exe
c:\documents and setting\manu\application data\bsplayer\bslib\bspmlib.dat
c:\Windows\system32\polarziplight.dll
Value:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ST4UNST#1-->DisplayName
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\ballon-->PositionOuverture
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\choixlangues-->MaximiseeOuverture
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\ballon-->TailleOuverture
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\choixlangues-->TailleOuverture
Value:HKEY_CLASSES_ROOT\CLSID\{1AB22F59-FB66-4A06-BCA9-EA5A6D5785E0}\InprocServer32-->ThreadingModel
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\ballon-->Checksum
Value:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1AB22F59-FB66-BCA9-EA5A6D5785E0}\InprocServe...
Value:HKEY_CURRENT_USER\Software\WINSOS\WINSOS\ballon-->MaximiseeOuverture
c:\program files\mediaring talk\advert.dll


je vais lancer hijackthis et je poste le rapport dans la foulée.


ça y est le voila.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:15, on 2008-01-29
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTSvcCDA.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\PROGRA~1\SPYWAR~4\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\ibmtools\aptezbtn\aptezbp.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\ibmtools\aptezbtn\rakusb.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\MediaDICO4Ut.EXE
C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\Rac4Ut.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.commentcamarche.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Multi Media France Toolbar - {7009fcd4-05be-44f4-9583-93fe419ab7b0} - C:\Program Files\Multi_Media_France\tbMult.dll
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Program Files\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [CreativeMixer] C:\Program Files\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~4\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [MediaDICO4Ut] C:\Program Files\Micro Application\Les 4 Dictionnaires Utiles\LanceMediaDICO4Ut.exe Lancement
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - https://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D3ACA3E-9107-4F38-8F4D-564133852CDB}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~4\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe
O24 - Desktop Component 0: (no name) - (no file)
0
Réponse 60 / 89
DeNisCoOl Messages postés 2802 Date d'inscription vendredi 19 août 2005 Statut Membre Dernière intervention 28 février 2011 224
30 janv. 2008 à 05:21
Re,

As tu effacé ce que a-squared free online avait détecté?

-Spyware.ChatWatch : PolarZIPLight.dll monitors user Internet activity and private information.
Est un rootkit qui espionne les activités internet et les information privées.
-Spyware Aureate/Radiate : mediaring talk\advert.dll

-Les autres sont des traces de registre.

Si rien n'a été effacé alors:
Télécharger OTMoveIt (de Old_Timer) sur le Bureau. http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
Ou ici http://lanceyien-info.com/download/otmoveit.exe

Double cliquer sur OTMoveIt.exe pour le lancer.
Copier la liste de fichier ou de dossier qui se trouve en gras ci-dessous,
et coller-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.


c:\documents and setting\manu\application data\bsplayer pro\bsplayer.xml
c:\program files\mediaring talk
c:\documents and setting\manu\application data\bsplayer pro\eq.xml
c:\documents and setting\manu\application data\bsplayer pro
c:\documents and setting\manu\application data\bsplayer
c:\documents and setting\manu\application data\bsplayer\bslib\bspmlib.dat
c:\Windows\system32\polarziplight.dll
c:\program files\mediaring talk\advert.dll


Cliquer sur MoveIt! pour lancer la suppression.
Le résultat apparaîtra dans le cadre Results.
Cliquer sur Exit pour fermer.

Il sera peut-être demander de redémarrer le pc pour achever la suppression.
Si c'est le cas accepter par Yes.

--> Poster le rapport d'OTMoveIt situé dans C:\_OTMoveIt\MovedFiles (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date et l'heure)

------------------------
- Repasser CCleaner en mode sans échec (bouton Nettoyeur puis Registre 3 fois) voir procédure CCleaner dans message 8:
http://www.commentcamarche.net/forum/affich 4497674 probleme de trojan et de dialer#8

------------------------
Tiens moi au courant si spyware doctor détecte encore quelque chose.
Peux tu installer Kerio? car ta protection est encore réduite.

A+
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses