Win32:Trojan-gen {Other}
Résolu/Fermé
A voir également:
- Win32:Trojan-gen {Other}
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Win32 pup gen ✓ - Forum Linux / Unix
- Télécharger win32 valide pour windows 7 gratuit - Forum Windows
- Virtool win32/defendertamperingrestore ✓ - Forum Antivirus
69 réponses
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
14 janv. 2008 à 10:33
14 janv. 2008 à 10:33
https://imageshack.com/
Voila voila
Voila voila
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
14 janv. 2008 à 11:03
14 janv. 2008 à 11:03
Me gonfle ton truc ;;)) lol
Tu as passé Spybot en Mode sans Echec ?
Tu as passé Spybot en Mode sans Echec ?
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
14 janv. 2008 à 11:09
14 janv. 2008 à 11:09
Erf je dois avoir l'air un peu kéké mais, comment fait-on ? :s
J'ai du mal chercher sur le net, je ne trouve aucune explication '^^
J'ai du mal chercher sur le net, je ne trouve aucune explication '^^
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
14 janv. 2008 à 11:24
14 janv. 2008 à 11:24
2 Redémarre en mode sans échec.
Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyez sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuyez sur Entrée.
Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuyez sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuyez sur Entrée.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
14 janv. 2008 à 11:33
14 janv. 2008 à 11:33
loool aaaah redémarrer windows en sans échec '^^ oui effectivement je suis kéké , je croyais "démarrer Spybot en mode sans échec" ''''^^
Hop, je m'y met ^^
Hop, je m'y met ^^
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
14 janv. 2008 à 12:08
14 janv. 2008 à 12:08
Résultat : 2 cookies retiré ... c'est tout :s
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
14 janv. 2008 à 12:53
14 janv. 2008 à 12:53
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse
ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer.
* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
* Clique sur le bouton Scan for Vundo.
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
* Démarre ton PC à nouveau.
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse
ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
14 janv. 2008 à 18:22
14 janv. 2008 à 18:22
Vundofix, a rien trouvé,et pour VirtumondoBegone pareil :
[01/14/2008, 18:21:08] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Benji\Bureau\ergfeg\VirtumondoBegone\VirtumundoBeGone.exe" )
[01/14/2008, 18:21:17] - Detected System Information:
[01/14/2008, 18:21:17] - Windows Version: 5.1.2600, Service Pack 2
[01/14/2008, 18:21:17] - Current Username: Benji (Admin)
[01/14/2008, 18:21:17] - Windows is in NORMAL mode.
[01/14/2008, 18:21:17] - Searching for Browser Helper Objects:
[01/14/2008, 18:21:17] - BHO 1: {0055C089-8582-441B-A0BF-17B458C2A3A8} (IDMIEHlprObj Class)
[01/14/2008, 18:21:17] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[01/14/2008, 18:21:17] - BHO 3: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} (BitComet Helper)
[01/14/2008, 18:21:17] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[01/14/2008, 18:21:17] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[01/14/2008, 18:21:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/14/2008, 18:21:17] - No filename found. Continuing.
[01/14/2008, 18:21:17] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/14/2008, 18:21:17] - BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[01/14/2008, 18:21:17] - Finished Searching Browser Helper Objects
[01/14/2008, 18:21:17] - Finishing up...
[01/14/2008, 18:21:17] - Nothing found! Exiting...
Mais en même temps mon trojan comme d'ab au démarrage du pc je l'ai mis en quarantaine avec avast!, est-ce que c'est pour ça ?
[01/14/2008, 18:21:08] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Benji\Bureau\ergfeg\VirtumondoBegone\VirtumundoBeGone.exe" )
[01/14/2008, 18:21:17] - Detected System Information:
[01/14/2008, 18:21:17] - Windows Version: 5.1.2600, Service Pack 2
[01/14/2008, 18:21:17] - Current Username: Benji (Admin)
[01/14/2008, 18:21:17] - Windows is in NORMAL mode.
[01/14/2008, 18:21:17] - Searching for Browser Helper Objects:
[01/14/2008, 18:21:17] - BHO 1: {0055C089-8582-441B-A0BF-17B458C2A3A8} (IDMIEHlprObj Class)
[01/14/2008, 18:21:17] - BHO 2: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[01/14/2008, 18:21:17] - BHO 3: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} (BitComet Helper)
[01/14/2008, 18:21:17] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[01/14/2008, 18:21:17] - BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[01/14/2008, 18:21:17] - WARNING: BHO has no default name. Checking for Winlogon reference.
[01/14/2008, 18:21:17] - No filename found. Continuing.
[01/14/2008, 18:21:17] - BHO 6: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[01/14/2008, 18:21:17] - BHO 7: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[01/14/2008, 18:21:17] - Finished Searching Browser Helper Objects
[01/14/2008, 18:21:17] - Finishing up...
[01/14/2008, 18:21:17] - Nothing found! Exiting...
Mais en même temps mon trojan comme d'ab au démarrage du pc je l'ai mis en quarantaine avec avast!, est-ce que c'est pour ça ?
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
15 janv. 2008 à 09:02
15 janv. 2008 à 09:02
alors ????
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
15 janv. 2008 à 09:31
15 janv. 2008 à 09:31
Au lieu de le mettre en quarantaine, supprime le et vide le coffre.
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
15 janv. 2008 à 11:08
15 janv. 2008 à 11:08
Bon c'est ce que j'ai fais aujourd'hui , demain au démarrage du pc je te dirais si il est toujours présent ou pas
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
15 janv. 2008 à 11:11
15 janv. 2008 à 11:11
ok
Argh, cette s****ie est toujours présente au démarrage :'(
Pourtant je ne vois pas qu'elle répercussion elle a sur mon pc, que fait-elle au juste ?
Pourtant je ne vois pas qu'elle répercussion elle a sur mon pc, que fait-elle au juste ?
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
16 janv. 2008 à 11:10
16 janv. 2008 à 11:10
Coucou Marie,
Est-ce toujours la même localisation du fichier responsable de l'alerte ?
Salut NeoCetras ==> connais-tu ce logiciel, et t'en sers-tu ? ==> Tu le trouves via "Poste de travail" > disque local C:\ > "Program Files"\"Common Files"\"Microsoft Shared" > Speech
Et c'est quoi ce "Wab64" ?
Merci
Al.
Est-ce toujours la même localisation du fichier responsable de l'alerte ?
Salut NeoCetras ==> connais-tu ce logiciel, et t'en sers-tu ? ==> Tu le trouves via "Poste de travail" > disque local C:\ > "Program Files"\"Common Files"\"Microsoft Shared" > Speech
Et c'est quoi ce "Wab64" ?
Merci
Al.
^^Marie^^
Messages postés
113901
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 275
16 janv. 2008 à 11:12
16 janv. 2008 à 11:12
Coucou Al. -- Merci
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
16 janv. 2008 à 11:28
16 janv. 2008 à 11:28
(suite)
De rien Marie; amitiés.
Je remarque aussi 2 choses:
A)- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-09-03 13:16 67128]
BackWeb est un outil client-serveur.
-Il est identifié pour être livré, au moins, par les vendeurs IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec (dans ses drivers!) , F-Secure, McAffee, Western Digital, Kodak digital camera sync software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf...etc....
-C'est un prog espion qui soi-disant sert à faire des mises à jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise à jour.
-Mais il peut aussi se trouver dans d'autres programmes.
-Le problème majeur étant qu'il provoque une faille de sécurité.
-• Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs:
-Désinstaller "Logitech Desktop Messenger" dans « Panneau de Configuration » > "Ajout/Suppr.de programmes" et le prog « backweb-8876480.exe » disparaîtra.
- Il ne sert pas à grand-chose sinon à bouffer de la mémoire et de la bande passante internet.
- Les mises à jour de logiciels "Logitech" se font aisément à partir des progs eux-mêmes ( en manuel : tu cliques sur la miniature de ta WebCam près de l’horloge ), donc pas de soucis de ce côté.
Une fiche bien détaillée :< http://assiste.com.free.fr/p/parasites/backweb.html > qui stipule que si l’on supprime le processus BackWeb « IadHide3.dll » , cela interrompera le téléchargement automatique des mises à jour. Pour lesquelles, il est inutile qu’elles soient en automatique !!
B)- • [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
• [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b42c4 44-a33c-11dc-a450-0015af0de2d2}]
\Shell\AutoRun\command - G:\Eautorun.exe
• [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b2055 c3-4e75-11dc-a375-806d6172696f}]
\Shell\AutoRun\command - D:\AUTORUN.EXE
As-tu des disques externes/amovibles ( DD, clés USB, GSM, ...) ?
Si oui, fais ceci:
Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra, connecte au PC: clé USB, DD externes, susceptibles d'avoir été infectés.
ATTENTION: Ne jamais faire double-clic pour ouvrir disque externe ==> faire plutôt "clic-droit", puis "ouvrir".
Puis clic sur [Ok]
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!]
Appuies ensuite sur OK, pour faire réapparaitre le bureau.
C)- Il faudra ensuite probablement utliser SDFix ou DrWeb. J'attends informations de l'internaute.
Bonne chance
Al.
De rien Marie; amitiés.
Je remarque aussi 2 choses:
A)- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-09-03 13:16 67128]
BackWeb est un outil client-serveur.
-Il est identifié pour être livré, au moins, par les vendeurs IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec (dans ses drivers!) , F-Secure, McAffee, Western Digital, Kodak digital camera sync software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf...etc....
-C'est un prog espion qui soi-disant sert à faire des mises à jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise à jour.
-Mais il peut aussi se trouver dans d'autres programmes.
-Le problème majeur étant qu'il provoque une faille de sécurité.
-• Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs:
-Désinstaller "Logitech Desktop Messenger" dans « Panneau de Configuration » > "Ajout/Suppr.de programmes" et le prog « backweb-8876480.exe » disparaîtra.
- Il ne sert pas à grand-chose sinon à bouffer de la mémoire et de la bande passante internet.
- Les mises à jour de logiciels "Logitech" se font aisément à partir des progs eux-mêmes ( en manuel : tu cliques sur la miniature de ta WebCam près de l’horloge ), donc pas de soucis de ce côté.
Une fiche bien détaillée :< http://assiste.com.free.fr/p/parasites/backweb.html > qui stipule que si l’on supprime le processus BackWeb « IadHide3.dll » , cela interrompera le téléchargement automatique des mises à jour. Pour lesquelles, il est inutile qu’elles soient en automatique !!
B)- • [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
• [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b42c4 44-a33c-11dc-a450-0015af0de2d2}]
\Shell\AutoRun\command - G:\Eautorun.exe
• [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b2055 c3-4e75-11dc-a375-806d6172696f}]
\Shell\AutoRun\command - D:\AUTORUN.EXE
As-tu des disques externes/amovibles ( DD, clés USB, GSM, ...) ?
Si oui, fais ceci:
Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra, connecte au PC: clé USB, DD externes, susceptibles d'avoir été infectés.
ATTENTION: Ne jamais faire double-clic pour ouvrir disque externe ==> faire plutôt "clic-droit", puis "ouvrir".
Puis clic sur [Ok]
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!]
Appuies ensuite sur OK, pour faire réapparaitre le bureau.
C)- Il faudra ensuite probablement utliser SDFix ou DrWeb. J'attends informations de l'internaute.
Bonne chance
Al.
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
16 janv. 2008 à 18:46
16 janv. 2008 à 18:46
(Dsl pour le flood : si presser de répondre, j'en ai oublier de me connecter et donc je peu pas éditer le message d'avant '^^)
Donc, non je n'ai pas de Disque dur externe,ni de clef usb , ensuite j'ai bien effacer ce logiciel Logitech Desktop Messenger
Et enfin : Paré pour la suite des opérations chef !
Donc, non je n'ai pas de Disque dur externe,ni de clef usb , ensuite j'ai bien effacer ce logiciel Logitech Desktop Messenger
Et enfin : Paré pour la suite des opérations chef !
afideg
Messages postés
10517
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
12 avril 2022
602
16 janv. 2008 à 18:54
16 janv. 2008 à 18:54
(suite)
OK
Merci
Fais ceci SVP
A)- Vérifie que ce service NetCM = Network Connection Manager est déjà bien désactivé ou arrêté .(S2 = il devrait être stoppé)
Tuto en image ici : https://www.zebulon.fr/dossiers/windows/31-services.html
B)- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
1°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller les deux lignes en gras ci-dessous ... :
C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll
C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe
- ... dans le cadre de gauche de _OTMoveIt: " Paste List of Files/Folders to be moved ".
(La case Unregister Dll's and OCX's doit être cochée.) ==> Astuce:
Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) : déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher ... ==> ... de telle sorte que tous les fichiers de la liste comprenant des DLL soient supprimés avec _OTMoveIt
-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci
3°-Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes. Sinon, fais-le.
4°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )
5°- Relance une analyse avec ComboFix, comme ceci:
Il faut supprimer la version précédente, si ce n'est déjà fait (#16).
Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum
Bonne chance
Al.
OK
Merci
Fais ceci SVP
A)- Vérifie que ce service NetCM = Network Connection Manager est déjà bien désactivé ou arrêté .(S2 = il devrait être stoppé)
Tuto en image ici : https://www.zebulon.fr/dossiers/windows/31-services.html
B)- Télécharger _OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
1°- Désactiver la restauration système.
( Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] )
2°- Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller les deux lignes en gras ci-dessous ... :
C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll
C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe
- ... dans le cadre de gauche de _OTMoveIt: " Paste List of Files/Folders to be moved ".
(La case Unregister Dll's and OCX's doit être cochée.) ==> Astuce:
Si cette option n'est pas disponible (ce peut être le cas si vous avez entré une liste de fichiers) : déroulez la liste, sélectionnez un fichier dll quelconque pour activer l'option et pouvoir la cocher ... ==> ... de telle sorte que tous les fichiers de la liste comprenant des DLL soient supprimés avec _OTMoveIt
-clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur "Exit" pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le SVP, merci
3°-Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas accepte par Yes. Sinon, fais-le.
4°- Réactiver la restauration système
( Clic droit sur poste de travail puis,
propriétés, tu cliques sur onglet restauration système
tu décoches la case « désactiver la restauration » et [appliquer]. )
5°- Relance une analyse avec ComboFix, comme ceci:
Il faut supprimer la version précédente, si ce n'est déjà fait (#16).
Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum
Bonne chance
Al.
NeoCetras
Messages postés
15
Date d'inscription
mardi 8 janvier 2008
Statut
Membre
Dernière intervention
1 juillet 2008
16 janv. 2008 à 19:13
16 janv. 2008 à 19:13
C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe moved successfully.
File/Folder C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll not found.
Created on 01/16/2008 19:04:00
----------------------------------------------------------------------------------------------------------------------------------------------------------------
ComboFix 08-01-16.4 - Benji 2008-01-16 19:06:21.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1463 [GMT 1:00]
Running from: C:\Documents and Settings\Benji\Bureau\ergfeg\Combofix\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-16 to 2008-01-16 ))))))))))))))))))))))))))))))))))))
.
2008-01-16 11:38 . 2008-01-16 11:38 <REP> d--h----- C:\WINDOWS\PIF
2008-01-14 18:00 . 2008-01-14 18:00 <REP> d-------- C:\VundoFix Backups
2008-01-14 09:29 . 2008-01-14 17:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-13 18:22 . 2008-01-13 18:23 <REP> d-------- C:\Program Files\Lavasoft
2008-01-13 18:22 . 2008-01-14 09:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-13 14:46 . 2008-01-13 14:46 <REP> d-------- C:\Documents and Settings\Benji\Application Data\Microsoft Games
2008-01-13 13:49 . 2008-01-13 13:49 <REP> d-------- C:\Program Files\Microsoft Games
2008-01-13 11:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-12 18:42 . 2008-01-12 18:42 <REP> d-------- C:\Documents and Settings\Benji\Application Data\BitDefender
2008-01-12 18:41 . 2008-01-12 18:41 <REP> d-------- C:\Program Files\BitDefender
2008-01-12 18:41 . 2008-01-12 18:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-01-12 18:40 . 2008-01-12 19:43 <REP> d-------- C:\Program Files\Fichiers communs\BitDefender
2008-01-12 18:06 . 2008-01-12 18:06 <REP> d-------- C:\Documents and Settings\Benji\Application Data\Grisoft
2008-01-11 17:20 . 2008-01-12 19:41 <REP> d-------- C:\Program Files\SPYWAREfighter
2008-01-07 20:37 . 2008-01-07 20:37 268 --ah----- C:\sqmdata01.sqm
2008-01-07 20:37 . 2008-01-07 20:37 244 --ah----- C:\sqmnoopt01.sqm
2007-12-23 15:51 . 2007-12-23 15:54 <REP> d-------- C:\Documents and Settings\Benji\Application Data\U3
2007-12-22 15:01 . 2006-09-20 16:58 40,960 --a------ C:\WINDOWS\system32\psfind.dll
2007-12-22 14:57 . 2007-12-22 14:57 <REP> d-------- C:\Program Files\THQ
2007-12-20 16:40 . 2007-07-23 09:39 202,160 --a------ C:\WINDOWS\system32\idmmbc.dll
2007-12-19 15:09 . 2007-12-19 15:09 <REP> d-------- C:\Documents and Settings\Benji\Application Data\InstallShield Installation Information
2007-12-19 14:59 . 2007-12-19 14:59 <REP> d-------- C:\Program Files\Unreal Tournament 3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-16 17:59 --------- d-----w C:\Documents and Settings\Benji\Application Data\DMCache
2008-01-16 17:40 --------- d-----w C:\Program Files\Logitech
2008-01-16 17:28 --------- d-----w C:\Program Files\Warcraft III
2008-01-16 08:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-16 08:24 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-14 16:57 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-13 17:21 --------- d-----w C:\Documents and Settings\Benji\Application Data\IDM
2008-01-13 13:45 --------- d-----w C:\Program Files\Internet Download Manager
2008-01-13 13:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-08 10:35 --------- d-----w C:\Program Files\Activision
2007-12-13 10:26 --------- d-----w C:\Program Files\OCCT
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-01 21:30 --------- d-----w C:\Program Files\Bullfrog
2007-12-01 10:58 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2007-11-27 19:55 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-11-27 19:55 --------- d-----w C:\Program Files\Diablo II
2007-11-27 11:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-27 11:05 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-27 08:00 --------- d-----w C:\Program Files\Alwil Software
2007-11-18 19:47 --------- d-----w C:\Program Files\XAudioTools
2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-10-28 13:33 22,400,503 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_28_12_22_12_full.dmp.zip
2007-10-25 16:52 22,331,516 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_25_11_10_40_full.dmp.zip
2007-10-23 07:36 25,615,512 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_22_23_05_31_full.dmp.zip
2007-10-13 21:07 2,561,024 -c--a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-08 16:09 1,738,510 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-09-08 16:15 2,249,728 -c--a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-09-08 13:02 920,576 -c--a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-09-08 13:02 2,241,024 -c--a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-09-02 17:29 1,485,312 -c--a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2006-06-23 06:48 32,768 -c--a-r C:\WINDOWS\inf\UpdateUSB.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-02 17:25 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 07:36 36864]
"36X Raid Configurer"="C:\WINDOWS\System32\xRaidSetup.exe" [2007-03-21 09:23 1953792]
"Launch LCDMon"="C:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 11:45 49152 C:\WINDOWS\KHALMNPR.Exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 15:37 286720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"Ai Nap"="C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe" [2007-04-09 14:49 1423360]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Launch PC Probe II"="C:\Program Files\ASUS\PC Probe II\Probe2.exe" [2007-01-05 16:36 2129920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-17 19:24:30]
ASUS WiFi-AP Solo.lnk - C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe [2007-09-02 16:10:44]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-08-19 18:35:21]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Benji^Menu Démarrer^Programmes^Démarrage^Xfire.lnk]
path=C:\Documents and Settings\Benji\Menu Démarrer\Programmes\Démarrage\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-08-22 13:06 167368 C:\Program Files\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-09-02 17:25 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-14 23:22 35328 C:\Program Files\Winamp\winampa.exe
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-03-31 03:39]
S3 naecd;naecd;C:\DOCUME~1\Benji\LOCALS~1\Temp\naecd.sys []
S3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 16:12]
S4 NetCM;Network Connection Manager;C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b42c444-a33c-11dc-a450-0015af0de2d2}]
\Shell\AutoRun\command - G:\Eautorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b2055c3-4e75-11dc-a375-806d6172696f}]
\Shell\AutoRun\command - D:\AUTORUN.EXE
*Newly Created Service* - SJYPKT
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 19:06:57
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\Program Files\Logitech\SetPoint\GameHook.dll
.
Completion time: 2008-01-16 19:07:09
ComboFix2.txt 2008-01-13 10:14:21
Pour OTMoveit la haut , si il n'a pas trouver C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll (***) c'est sans doute parce que comme d'habitude j'ai supprimer le trojan au démarrage du pc avec avast!,
Est-ce qu'il vaut mieux que je ressaye en désactivant avast! au démarrage du pc ? comme ça le fichier n'est pas touché et je pourrais alors définitivement le supprimer ! ... non ?
(***Petite précision , je ne sais pas du tout ce que c'est que ce fichier)
File/Folder C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll not found.
Created on 01/16/2008 19:04:00
----------------------------------------------------------------------------------------------------------------------------------------------------------------
ComboFix 08-01-16.4 - Benji 2008-01-16 19:06:21.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1463 [GMT 1:00]
Running from: C:\Documents and Settings\Benji\Bureau\ergfeg\Combofix\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-16 to 2008-01-16 ))))))))))))))))))))))))))))))))))))
.
2008-01-16 11:38 . 2008-01-16 11:38 <REP> d--h----- C:\WINDOWS\PIF
2008-01-14 18:00 . 2008-01-14 18:00 <REP> d-------- C:\VundoFix Backups
2008-01-14 09:29 . 2008-01-14 17:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-01-13 18:22 . 2008-01-13 18:23 <REP> d-------- C:\Program Files\Lavasoft
2008-01-13 18:22 . 2008-01-14 09:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-01-13 14:46 . 2008-01-13 14:46 <REP> d-------- C:\Documents and Settings\Benji\Application Data\Microsoft Games
2008-01-13 13:49 . 2008-01-13 13:49 <REP> d-------- C:\Program Files\Microsoft Games
2008-01-13 11:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-12 18:42 . 2008-01-12 18:42 <REP> d-------- C:\Documents and Settings\Benji\Application Data\BitDefender
2008-01-12 18:41 . 2008-01-12 18:41 <REP> d-------- C:\Program Files\BitDefender
2008-01-12 18:41 . 2008-01-12 18:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BitDefender
2008-01-12 18:40 . 2008-01-12 19:43 <REP> d-------- C:\Program Files\Fichiers communs\BitDefender
2008-01-12 18:06 . 2008-01-12 18:06 <REP> d-------- C:\Documents and Settings\Benji\Application Data\Grisoft
2008-01-11 17:20 . 2008-01-12 19:41 <REP> d-------- C:\Program Files\SPYWAREfighter
2008-01-07 20:37 . 2008-01-07 20:37 268 --ah----- C:\sqmdata01.sqm
2008-01-07 20:37 . 2008-01-07 20:37 244 --ah----- C:\sqmnoopt01.sqm
2007-12-23 15:51 . 2007-12-23 15:54 <REP> d-------- C:\Documents and Settings\Benji\Application Data\U3
2007-12-22 15:01 . 2006-09-20 16:58 40,960 --a------ C:\WINDOWS\system32\psfind.dll
2007-12-22 14:57 . 2007-12-22 14:57 <REP> d-------- C:\Program Files\THQ
2007-12-20 16:40 . 2007-07-23 09:39 202,160 --a------ C:\WINDOWS\system32\idmmbc.dll
2007-12-19 15:09 . 2007-12-19 15:09 <REP> d-------- C:\Documents and Settings\Benji\Application Data\InstallShield Installation Information
2007-12-19 14:59 . 2007-12-19 14:59 <REP> d-------- C:\Program Files\Unreal Tournament 3
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-16 17:59 --------- d-----w C:\Documents and Settings\Benji\Application Data\DMCache
2008-01-16 17:40 --------- d-----w C:\Program Files\Logitech
2008-01-16 17:28 --------- d-----w C:\Program Files\Warcraft III
2008-01-16 08:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-16 08:24 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-14 16:57 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-01-13 17:21 --------- d-----w C:\Documents and Settings\Benji\Application Data\IDM
2008-01-13 13:45 --------- d-----w C:\Program Files\Internet Download Manager
2008-01-13 13:16 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-08 10:35 --------- d-----w C:\Program Files\Activision
2007-12-13 10:26 --------- d-----w C:\Program Files\OCCT
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-12-01 21:30 --------- d-----w C:\Program Files\Bullfrog
2007-12-01 10:58 139,264 ----a-w C:\WINDOWS\War3Unin.exe
2007-11-27 19:55 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-11-27 19:55 --------- d-----w C:\Program Files\Diablo II
2007-11-27 11:06 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-27 11:05 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-11-27 08:00 --------- d-----w C:\Program Files\Alwil Software
2007-11-18 19:47 --------- d-----w C:\Program Files\XAudioTools
2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-10-28 13:33 22,400,503 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_28_12_22_12_full.dmp.zip
2007-10-25 16:52 22,331,516 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_25_11_10_40_full.dmp.zip
2007-10-23 07:36 25,615,512 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_10_22_23_05_31_full.dmp.zip
2007-10-13 21:07 2,561,024 -c--a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-08 16:09 1,738,510 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2007-09-08 16:15 2,249,728 -c--a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-09-08 13:02 920,576 -c--a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-09-08 13:02 2,241,024 -c--a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-09-02 17:29 1,485,312 -c--a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2006-06-23 06:48 32,768 -c--a-r C:\WINDOWS\inf\UpdateUSB.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-02 17:25 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [2007-03-20 07:36 36864]
"36X Raid Configurer"="C:\WINDOWS\System32\xRaidSetup.exe" [2007-03-21 09:23 1953792]
"Launch LCDMon"="C:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 11:45 49152 C:\WINDOWS\KHALMNPR.Exe]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 14:34 868352]
"SoundMAX"="C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" [2006-07-13 06:12 729088]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 15:37 286720]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"Ai Nap"="C:\Program Files\ASUS\AI Suite\AiNap\AiNap.exe" [2007-04-09 14:49 1423360]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Launch PC Probe II"="C:\Program Files\ASUS\PC Probe II\Probe2.exe" [2007-01-05 16:36 2129920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-17 19:24:30]
ASUS WiFi-AP Solo.lnk - C:\Program Files\ASUS WiFi-AP Solo\RtWLan.exe [2007-09-02 16:10:44]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2007-08-19 18:35:21]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Benji^Menu Démarrer^Programmes^Démarrage^Xfire.lnk]
path=C:\Documents and Settings\Benji\Menu Démarrer\Programmes\Démarrage\Xfire.lnk
backup=C:\WINDOWS\pss\Xfire.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-08-22 13:06 167368 C:\Program Files\DAEMON Tools\daemon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-09-02 17:25 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-05-14 23:22 35328 C:\Program Files\Winamp\winampa.exe
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys [2006-06-16 08:30]
R3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2006-03-31 03:39]
S3 naecd;naecd;C:\DOCUME~1\Benji\LOCALS~1\Temp\naecd.sys []
S3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys [2004-10-14 16:12]
S4 NetCM;Network Connection Manager;C:\Program Files\Common Files\Microsoft Shared\Speech\svchost.exe []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b42c444-a33c-11dc-a450-0015af0de2d2}]
\Shell\AutoRun\command - G:\Eautorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b2055c3-4e75-11dc-a375-806d6172696f}]
\Shell\AutoRun\command - D:\AUTORUN.EXE
*Newly Created Service* - SJYPKT
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 19:06:57
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.2180]
-> C:\Program Files\Logitech\SetPoint\GameHook.dll
.
Completion time: 2008-01-16 19:07:09
ComboFix2.txt 2008-01-13 10:14:21
Pour OTMoveit la haut , si il n'a pas trouver C:\Program Files\Common Files\Microsoft Shared\Speech\Wab64.dll (***) c'est sans doute parce que comme d'habitude j'ai supprimer le trojan au démarrage du pc avec avast!,
Est-ce qu'il vaut mieux que je ressaye en désactivant avast! au démarrage du pc ? comme ça le fichier n'est pas touché et je pourrais alors définitivement le supprimer ! ... non ?
(***Petite précision , je ne sais pas du tout ce que c'est que ce fichier)