Sujet Précédent Sujet Suivant

Win32-dho-kd

Résolu
equs -  
philae83 Messages postés 12854 Statut Contributeur sécurité -
Bonjour,

Je suis également infecté par un trojan détecté par avast : win32bho kd trj

Avast ne peut ni le mettre en quarantaine, ni le supprimer.

comment faire pour détruire celui-ci,

Merci par avance

84 réponses

Précédent
Réponse 21 / 84
equs
 
bonsoir,

le même fichier qu'au début :

c:\windows\system32\cabine.dll\[UPX]

action recommandée : Mettre en quarantaine

A+
0
Réponse 22 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
relance hijackthis coche et fixe

O2 - BHO: (no name) - {4159B4D0-783A-44D4-93D0-32EF225F10E3} - C:\WINDOWS\System32\cabine.dll

puis Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\System32\cabine.dll

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

reposte un nouveau rapport hijackthis
0
Réponse 23 / 84
equs
 
bonsoir,

rapport situé dans C:\\\_OTMoveIt\MovedFiles.

LoadLibrary failed for C:\WINDOWS\System32\cabine.dll
C:\WINDOWS\System32\cabine.dll NOT unregistered.
File move failed. C:\WINDOWS\System32\cabine.dll scheduled to be moved on reboot.

Created on 01/06/2008 02:08:08

ainsi que le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:17:32, on 06/01/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\WINDOWS\kdx\KHost.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\E-Color\Common\IconMgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\AOL\1132396381\ee\aolsoftware.exe
C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
c:\program files\fichiers communs\aol\1132396381\ee\services\antiSpywareApp\ver2_0_28_1\AOLSP Scheduler.exe
c:\program files\fichiers communs\aol\1132396381\ee\aolsoftware.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\AOL\ACS\AOLacsd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\AOL 9.0c\waol.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\AOL 9.0c\shellmon.exe
C:\Program Files\Fichiers communs\Aol\aoltpspd.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4159B4D0-783A-44D4-93D0-32EF225F10E3} - C:\WINDOWS\System32\cabine.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AOLSAV] C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Icône AOL.lnk = C:\Program Files\AOL 9.0c\aoltray.exe
O4 - Global Startup: AOL Compagnon.lnk = C:\Program Files\AOL Compagnon\companion.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .avi: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/archives/ie4n4/teleir_cert.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1EDB5F44-334B-4C29-A0F6-55967554BD4B}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6E96CDE-B0EC-4B8B-85B8-CAF1BEAACFC5}: NameServer = 192.168.1.1
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: AOL Spyware Protection Service (AOLService) - Unknown owner - C:\Program Files\Fichiers communs\AOL\AOL Spyware Protection\\aolserv.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
0
Réponse 24 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

oui elle est tjs là. Pourquoi parce que la dll n'est pas toute seule vraisemblablement.

* Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
IMPORTANT

*désactive ton antivirus, antispyware, et spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite
puis

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

je reviendrais plus tard ou en soirée
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 84
equs
 
Bonsoir philae83,

je ne sais pas désactiver avast, spybot, ad-aware,et aol spyware.

Peux-tu me renseigner ?

et également dans le même temps comment les réactiver ?

merci, a+
0
Réponse 26 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonsoir, 

je ne sais pas désactiver avast, spybot, ad-aware,et aol spyware.


avast, je pense qu'en faisant un clic droit sur l'icone du systray, ce doit être possible de trouver désactiver ou quitter.

spybot, tu prends l'icone dans le systray tjs (à côté de l'horloge) du résident de spybot et clic droit----quitter

ad aware si tu n'as que la version free, il n'est pas en résident
pour aol spyware, je pense que tu peux le conserver

pour les réactiver
spybot le sera au prochain redémarrage
et avast je n'en sais trop rien à moins de cliquer sur l'icone de raccourci d'avast, en redémarrant le pc il sera là de toutes façons aussi

0
Réponse 27 / 84
equs
 
bonsoir,

voyant que je n'avait plus rien sur mon bureau depuis 1 h 00, alors que le scan me disait que en 10 minutes il avait terminé, j'ai coupé mon poste.

je n'est pas de rapport à te fournir, dois-je relancer l'oppération.

a+
0
Réponse 28 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
re

on va essayer d'abord comme ceci :

* Télécharge KillAFile (par Marckie) sur ton Bureau,
puis

* redémarre en mode sans échec, puis coche et fixe la ligne dans hijackthis

O2 - BHO: (no name) - {4159B4D0-783A-44D4-93D0-32EF225F10E3} - C:\WINDOWS\System32\cabine.dll

redémarre normalement et

* Double clique sur KillAFile.exe afin de le lancer. Une fenêtre DOS au fond rouge apparaîtra.
* Tape le chiffre 2 puis valide avec la touche Entrée pour choisir "Replace a file by a dummy on reboot".
* Tu verras maintenant une nouvelle invite : "Insert full path and filename to delete. and then press enter:"
* Tu dois taper ceci, au complet et très exactement : 

C:\WINDOWS\System32\cabine.dll


* Appuie sur la touche Entrée.
* À l'invite qui suit, appuie sur n'importe quelle touche pour valider (Entrée par exemple).
* Ton PC va maintenant redémarrer.
* Edite le rapport généré par killafile. Il se trouve aussi ici : C:\kaflog.txt
0
Réponse 29 / 84
equs
 
bonsoir,

tu ne m'a pas donné le lien pour KillAfile

merci, a+
0
Réponse 30 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
excuse moi

http://users.telenet.be/marcvn/tools/KillAFile.exe
0
Réponse 31 / 84
equs
 
voici le rapport de KillAFire :

KILLAFILE - logfile

Running from: "C:\Documents and Settings\PINARD\Bureau"

Replace on reboot: C:\WINDOWS\System32\cabine.dll

--- Rebooting the computer ---

dummyfile C:\WINDOWS\System32\cabine.dll not present
C:\WINDOWS\System32\cabine.dll not deleted

Finished!

a+
0
Réponse 32 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
ne veut pas partir visiblement.

réessaye avec combo, avant fait ceci :

Menu Démarrer / Executer , colle ceci et valide : 

"%Userprofile%\Bureau\Combofix.exe" /u
0
Réponse 33 / 84
equs
 
ok je relance combo ce soir et je laisse tourner le poste,

je te laisse pour ce soir, en te remerciant encore pour ton aide,

a bientôt
0
Réponse 34 / 84
equs
 
lorsque j'ai coller ton racourci et valider, l'icone de combo à disparu du bureau.

comment lancer Combo maintenant.
0
Réponse 35 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
retélécharge le, j'ai oublié de te le préciser

0
Réponse 36 / 84
equs
 
bonjours philae83,

voici le rapport de combofix :

ComboFix 08-01-04.1 - PINARD 2008-01-07 0:40:58.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.252 [GMT 1:00]
Running from: C:\Documents and Settings\PINARD\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-12-06 to 2008-01-06 ))))))))))))))))))))))))))))))))))))
.

2008-01-07 00:40 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 00:06 . 2008-01-07 00:06 <REP> d-------- C:\WINDOWS\system32\regdacl
2008-01-07 00:06 . 2008-01-07 00:06 90,112 --a------ C:\WINDOWS\system32\regdacl.exe
2008-01-07 00:06 . 2008-01-07 00:06 53,248 --a------ C:\WINDOWS\system32\process.exe
2008-01-07 00:06 . 2008-01-07 00:06 16,384 --a------ C:\WINDOWS\system32\restart.exe
2008-01-07 00:06 . 2008-01-07 00:06 4,096 --a------ C:\WINDOWS\system32\reboot.exe
2008-01-05 23:11 . 2008-01-06 00:46 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-05 21:15 . 2008-01-06 21:12 <REP> d-------- C:\Program Files\Navilog1
2008-01-05 08:31 . 2008-01-05 08:31 <REP> d-------- C:\Program Files\Trend Micro
2008-01-03 16:58 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-01-03 16:58 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-01-03 16:58 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-01-03 16:58 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-01-03 16:58 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-01-03 16:58 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-01-03 16:58 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-01-03 16:58 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-01-03 15:59 . 2008-01-03 15:59 10,624 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-01-03 15:52 . 2008-01-03 15:59 <REP> d-------- C:\Documents and Settings\PINARD\Application Data\PrevxCSI
2008-01-03 15:52 . 2008-01-03 15:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Prevx
2008-01-03 14:21 . 2008-01-03 14:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2007-12-27 19:52 . 2007-02-16 17:17 1,307,823 --------- C:\WINDOWS\TurfCalc.CAB
2007-12-27 19:52 . 2007-12-27 19:52 363 --a------ C:\WINDOWS\ST6UNST.002
2007-12-22 18:14 . 2007-09-07 19:39 1,374,079 --------- C:\WINDOWS\Turf2007.CAB
2007-12-22 18:14 . 2007-12-22 18:14 74,752 --------- C:\WINDOWS\ST6UNST.EXE
2007-12-22 18:14 . 2007-12-22 18:14 1,806 --a------ C:\WINDOWS\ST6UNST.001
2007-12-18 14:23 . 2007-12-18 14:23 18,620,376 --a------ C:\Program Files\setupfre.exe
2007-12-18 14:19 . 2008-01-03 16:57 19,013,736 --a------ C:\Program Files\setupfrepro.exe
2007-12-12 20:06 . 2007-12-12 20:09 <REP> d-------- C:\Program Files\Microsoft Picture It! 10

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 21:58 --------- d-----w C:\Program Files\AOL 9.0c
2008-01-04 15:08 --------- d-----w C:\Program Files\Fichiers communs\AOL
2008-01-03 13:21 16,927,232 ----a-w C:\Program Files\eav_nt32_enu.msi
2008-01-02 19:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-02 13:29 --------- d-----w C:\Program Files\AxBx
2007-12-12 19:11 64,352 -c--a-w C:\Documents and Settings\PINARD\Application Data\GDIPFONTCACHEV1.DAT
2007-12-07 16:46 19,456 ----a-w C:\WINDOWS\system32\drivers\fqityevc.dat
2007-11-23 20:00 --------- d-----w C:\Program Files\eMule
2007-11-02 08:42 17,712,424 ----a-w C:\Program Files\Setup.exe
2007-09-08 18:46 24,536,608 ----a-w C:\Program Files\AdbeRdr810_fr_FR.exe
2007-05-22 16:04 414,353 ----a-w C:\Program Files\spider.exe
2007-02-25 17:49 1,220,506 ----a-w C:\Program Files\mvc.zip
2006-06-07 20:21 1,107,787 ----a-w C:\Program Files\wrar351fr.exe
2006-06-05 09:07 578 ----a-w C:\Program Files\INSTALL.LOG
2006-05-25 18:40 113,152 --sha-w C:\Program Files\Thumbs.db
2006-05-19 19:06 2,208,148 ----a-w C:\Program Files\MediaInfo_0.7.2.1_GUI_Win32.exe
2006-04-05 16:39 2,842,383 ----a-w C:\Program Files\easycleaner_easycleaner_2.0.6.380_francais_11170.exe
2005-07-31 08:46 4,577,316 ----a-w C:\Program Files\eMule0.46c-Installer.exe
2005-06-09 09:11 1,895,855 ----a-w C:\Program Files\pcc22sp3en.zip
2005-06-01 13:53 533,574 ----a-w C:\Program Files\pllangs (traduction adaware).exe
2005-06-01 13:45 2,855,080 ----a-w C:\Program Files\aawsepersonal (adaware).exe
2005-05-22 14:43 4,354,084 ----a-w C:\Program Files\spybotsd13 sous systeme MSDOS 16 bits.exe
2004-07-26 16:18 483 ----a-w C:\Program Files\Raccourci vers MUSICMATCH.lnk
2004-04-17 13:35 3,848,919 -c--a-w C:\Program Files\Install_Questy3.exe
2004-03-12 20:10 1,067,351 -c--a-w C:\Program Files\Inst_i-MiniteV2.0.2L.EXE
2003-03-12 20:48 692,224 -c--a-w C:\Program Files\vkaraoke.exe
2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4159B4D0-783A-44D4-93D0-32EF225F10E3}]
2001-08-28 13:00 92928 --a------ C:\WINDOWS\System32\cabine.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2002-10-25 11:18 4239360]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2003-05-27 04:08 99840]
"AdslTaskBar"="stmctrl.dll" [2003-12-12 17:50 151552 C:\WINDOWS\system32\stmctrl.dll]
"AOLSAV"="C:\PROGRA~1\TECHCI~1\AOLSAV\AOLAgent.exe" [2004-11-10 16:18 80384]
"AOLDialer"="C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe" [2007-06-21 11:01 70952]
"kdx"="C:\WINDOWS\kdx\KHost.exe" [2004-01-20 10:45 1757184]
"MMTray"="C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2006-01-17 13:12 135168]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-06-16 00:15 366400]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23 75520]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
AOL 9.0 Ic“ne AOL.lnk - C:\Program Files\AOL 9.0c\aoltray.exe [2004-08-29 08:51:43]
AOL Compagnon.lnk - C:\Program Files\AOL Compagnon\companion.exe [2004-03-05 17:46:42]
D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 18:50:52]
E-Color.lnk - C:\Program Files\E-Color\Common\IconMgr.exe [2004-01-16 20:55:30]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 18:28:24]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IEXPLORE.EXE]
2001-08-28 13:00 91136 --a------ C:\Program Files\Internet Explorer\IEXPLORE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Instant Access]
rundll32.exe EGDACCESS_1057.dll,InstantAccess

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirusKeeper]
C:\Program Files\anti virus\VirusKeeper 2006 Pro Evaluation\VirusKeeper.exe

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\System32\DRIVERS\bsstor.sys [2002-06-06 00:07]
R0 hhrdvlpi;hhrdvlpi;C:\WINDOWS\System32\drivers\fqityevc.dat []
R3 ovt530;Webcam Deluxe;C:\WINDOWS\System32\Drivers\ov530vid.sys [2005-03-15 16:04]
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2004-07-06 14:28]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2001-08-17 20:53]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 21:03]
S3 pxark;pxark;C:\WINDOWS\System32\drivers\pxark.sys [2008-01-03 15:59]
S3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2004-07-06 14:51]
S4 BsUDF;InCD UDF Driver;C:\WINDOWS\System32\drivers\BsUDF.sys [2002-09-13 13:35]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-12-16 19:00:01 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
"2007-11-22 21:23:39 C:\WINDOWS\Tasks\ykfqfa.job"

je reviendrais plut tard

à bientôt.
0
Réponse 37 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

dans ce rapport je vois plusieurs choses, j'aimerais commencer par celle ci stp

Télécharge navilog1 (Merci il.mafioso!)

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

* Ensuite double clique sur navilog1.exe pour lancer l'installation.

* Une fois l'installation terminée, le fix s'exécutera automatiquement.

* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

* Laisse-toi guider. Au menu principal, choisis 1 et valides.

/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\

* Patiente jusqu'au message : *** Analyse terminée le ..... ***

* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.

* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.

* Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

ensuite je vois pour le reste

je m'absente vers 15h30 et ne reviendrais probablement pas avant diner
0
Réponse 38 / 84
equs
 
bonsoir philae83

voici le rapport navilog1 :

Search Navipromo version 3.3.9 commencé le 2008-01-07 à 17:12:23.73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 06.01.2008 à 20h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\PINARD\application data" ***

*** Recherche dossiers dans "C:\Documents and Settings\PINARD\MENUDM~1\PROGRA~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\PINARD\local settings\application data" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\PINARD\local settings\application data" :

3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

*** Analyse terminée le 2008-01-07 à 17:27:27.23 ***

à+
0
Réponse 39 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonsoir,

désolée, suis en retard sur mon "programme"

je regarde tout ça je te réponds d'ici un petit moment

0
Réponse 40 / 84
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
me revoilà

tu feras analyser ce fichier

C:\WINDOWS\system32\drivers\pxark.sys

sur VIRUS TOTAL
http://www.virustotal.com/en/indexf.html

Tuto : http://pageperso.aol.fr/loraline60/virus_total.htm

pour cela 

* Assure toi d'avoir accès à tous les fichiers

-démarrer

-poste de travail ou autre dossier

-menu outils

-options de dossier

-onglet affichage

puis

- activer la case : Afficher les fichiers et dossiers cachés

- désactiver la case : Masquer les extensions des fichiers dont le type est connu

- désactiver  la case : Masquer les fichier protégés du système d'exploitation

Puis  - Appliquer


puis

IMPORTANT avant toute manip dans la base de registre télécharge ERUNT

https://www.zebulon.fr/telechargements/utilitaires/systeme-utilitaires/erunt.html
tuto
http://pageperso.aol.fr/loraline60/tuto_erunt.htm

ensuite

Sélectionne le texte suivant : 


driver::
hhrdvlpi

file::
C:\WINDOWS\System32\drivers\fqityevc.dat

registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4159B4D0-783A-44D4-93D0-32EF225F10E3}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Instant Access]


# Copie le texte sélectionné (CTRL+C).
# Ouvre le bloc-note (programme>Accessoire>bloc-note).
# Colle le texte copié dans ce bloc-note (CTRL+V).
# Sauvegarde ce fichier sous le nom de CFScript.txt
# Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu.
# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Pb Windows 7, .EXE n'est pas app win32 valide
Witeric -
Lio -

15 réponses