Sujet Précédent Sujet Suivant

IE lance seul des scan de virus en ligne !!!

Résolu/Fermé
berni13 - 16 janv. 2008 à 11:20
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 29 janv. 2008 à 13:56
Bonjour,

Voici quelques jours que internet explorer m'affiche des pub d'antivirus et lance des scan de mon pc sans que je l'ai demandé.
Du coup mon pc plante et je dois faire un restet à l'arache!

Quelqu'un a déjà eu le problème ?

Merci de votre aide
Berni13
A voir également:

18 réponses

Réponse 1 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
16 janv. 2008 à 11:28
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.zip pour télécharger navilog1
Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le bloc note.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

/télécharge et installe le logiciel HijackThis
https://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
1
Réponse 2 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
16 janv. 2008 à 14:56
tu es pas mal infecté
on commence
Télécharge SDFix d’ Andy Manchesta sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Comment aller en Mode sans échec lettre C
https://forum.pcastuces.com/sujet.asp?f=25&s=3902
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur

Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.cmd
Appuie sur Y pour commencer le nettoyage.
Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le bloc note va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le bloc note. Ton bureau va réapparaître

PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Cela te fera apparaître ton bureau.
Démarrer > Panneau de configuration > Options Internet
Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

> Supprime-les


Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
1
Réponse 3 / 18
tarznague Messages postés 829 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 6 mai 2010 104
16 janv. 2008 à 11:28
ouai tu as un spyware!!!
Alors fait un scan et deconecte toi d'internet avant le scan!
0
Réponse 4 / 18
berni13
16 janv. 2008 à 13:12
Bonjour,

Voici le rapport de Navilog1

------------------------------------------------------------------------------------------------------------------------------------------------------------------
Search Navipromo version 3.4.0 commencé le 16/01/2008 à 13:05:40,78

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***

C:\Program Files\MailSkinner trouvé !


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\David2\application data" ***



*** Recherche dossiers dans "C:\Documents and Settings\David2\MENUD?~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\David2\local settings\application data" *



*** Recherche fichiers ***


C:\WINDOWS\system32\axsetup.dll trouvé !


*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\David2\local settings\application data" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\ttutv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\ihhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 16/01/2008 à 13:07:04,95 ***
------------------------------------------------------------------------------------------------------------------------------------------------------------------


Si dessous le rapport de Hijackthis

------------------------------------------------------------------------------------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 13:10:21, on 16/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\NOTEPAD.EXE
C:\Documents and Settings\David2\Bureau\Désinfection\Scanner.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
O2 - BHO: BHO Class - {06358080-33BE-452b-9B31-E54E112ADCCA} - C:\WINDOWS\System32\MSIEMPlayer.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {918edd48-8e99-16db-5a94-515085e917e1} - {1e719e58-0515-49a5-bd61-99e884dde819} - C:\WINDOWS\System32\kpiygskr.dll
O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\System32\msjava32.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\gebcawv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BDE91C12-A2F9-4483-9680-A942FD42DCA8} - C:\WINDOWS\System32\vtutt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Microsoft Updates] svehost.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [392e1446] rundll32.exe "C:\WINDOWS\System32\cgjnsseg.dll",b
O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3F426D7-06A6-427C-BF0D-DBC2452FBF44}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebcawv - C:\WINDOWS\SYSTEM32\gebcawv.dll
O21 - SSODL: uzuPls - {392E14EA-9384-BE40-3F12-FBF4662D0D47} - C:\WINDOWS\system32\zz.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Cliché instantané de volume VSSstisvc (VSSstisvc) - Unknown owner - C:\WINDOWS\System32\csrssn.exe
------------------------------------------------------------------------------------------------------------------------------------------------------------------

Merci de votre aide
Berni13
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
tarznague Messages postés 829 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 6 mai 2010 104
16 janv. 2008 à 14:57
je n'est pas comprit comment tu voit qu'il est infecte!pourrai tu m'expliquer et puis sa l'aidera aussi a le savoir la prochaine fois!
0
Réponse 6 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
16 janv. 2008 à 15:02
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, TROJAN/SDFIX
O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\System32\msjava32.dll TROJAN
O2 - BHO: (no name) - {BDE91C12-A2F9-4483-9680-A942FD42DCA8} - C:\WINDOWS\System32\vtutt.dll VUNDO/COMBOFIX
O4 - HKLM\..\Run: [Microsoft Updates] svehost.exe TROJAN/SDFIX
O4 - HKLM\..\Run: [392e1446] rundll32.exe "C:\WINDOWS\System32\cgjnsseg.dll",b COMBOFIX
O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe TROJAN/SDFIX

0
Réponse 7 / 18
tarznague Messages postés 829 Date d'inscription vendredi 11 janvier 2008 Statut Membre Dernière intervention 6 mai 2010 104
16 janv. 2008 à 15:09
okay, j'avai pas vu autant pour moi! et merci d em'avoir montrer
0
Réponse 8 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
16 janv. 2008 à 15:14
en recherchant plus à font et avec l'aide de Combofix on en trouvera d'autres....
0
Réponse 9 / 18
berni13
16 janv. 2008 à 18:31
Bonsoir,

J'ai donc effectué toutes les manipulations. Mais je ne retrouve pas le rapport de Navilog?

Rapport SDFix
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------


SDFix: Version 1.58

16/01/2008 - 17:30:58,57

Microsoft Windows XP [version 5.1.2600]

Running From: C:\Documents and Settings\David2\Bureau\D‚sinfection\SDFix\SDFix

Safe Mode:

Checking Services:

Name:


Path:



Restoring Windows Registry Entries
Restoring Default Hosts File

Rebooting

Normal Mode:

Checking Files:


Files will be copied to Backups folder then removed:

C:\DOCUME~1\DAVID2\LOCALS~1\TEMP\MA1X1D~1.GAM - Deleted
C:\SYSTEM~1\_RESTO~1\RP272\A0094896.EXE - Deleted
C:\DOCUME~1\David2\LOCALS~1\Temp\setup.exe - Deleted
C:\WINDOWS\system32\icf.exe - Deleted
C:\WINDOWS\system32\winsys.exe - Deleted



Alternate Stream Check:

C:\WINDOWS\system32
No streams found.
Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"|"="|:*:Enabled:Windows Logon Service"
"C:\\WINDOWS\\System32\\Winxp.exe"="C:\\WINDOWS\\System32\\Winxp.exe:*:Enabled:Internet"


Remaining Files:
---------------

Backups Folder: - C:\DOCUME~1\David2\Bureau\DSINF~1\SDFix\SDFix\backups\backups.zip

Listing Files with hidden attributes:

C:\NTDETECT.COM
C:\Documents and Settings\David2\Mes documents\Ma musique\Musique Papa\Miguel.Rios.-.Rock.and.Rios.-.Edition.2005.2CD.[2005].-.WwW.LimiteMusic.CoM\Caratulas\Thumbs.db
C:\Documents and Settings\All Users\Documents\Settings\partnership.dll
C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setup.dll
C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll
C:\WINDOWS\system32\csrssn.exe
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\WINDOWS\system32\svehost.exe
C:\WINDOWS\Temp\pop2x.exe
C:\WINDOWS\Temp\load.exe
C:\Documents and Settings\David2\Local Settings\Temp\ds8.exe
C:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe
C:\IO.SYS
C:\MSDOS.SYS
C:\pagefile.sys
C:\WINDOWS\LastGood.Tmp\INF\oem2.inf
C:\WINDOWS\LastGood.Tmp\INF\oem2.PNF

Finished
------------------------------------------------------------------------------------------------------------------------------------------------------------------

Rapport ComboFix
------------------------------------------------------------------------------------------------------------------------------------------------------------------

David2 - 08-01-16 18:16:56,78 Service Pack 1
ComboFix 06.10.19 - Running from: "C:\Documents and Settings\David2\Bureau\D‚sinfection"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Documents and Settings\David2\Application Data\Install.dat
C:\Documents and Settings\All Users\Documents\Settings

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\CURITY~1
C:\QooBox\Purity\WINDOWS\SSEMBL~1
C:\QooBox\Purity\WINDOWS\STEM~1
C:\QooBox\Purity\WINDOWS\system32\MCROSO~1.NET
C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET
C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1
C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET\??crosoft.NET
C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1\s?stem32
C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1
C:\QooBox\Purity\Documents and Settings\David2\Mes documents\DOBE~1
C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1\?ystem32
C:\QooBox\Purity\Program Files\ICROSO~1.NET
C:\QooBox\Purity\Program Files\SKS~1
C:\QooBox\Purity\Program Files\SKS~1\ç?sks


((((((((((((((((((((((((((((((( Files Created from 2007-12-16 to 2008-01-16 ))))))))))))))))))))))))))))))))))


2008-01-16 11:23 76,864 --a------ C:\WINDOWS\system32\kpiygskr.dll
2008-01-16 11:20 86,592 --a------ C:\WINDOWS\system32\cgjnsseg.dll
2008-01-15 08:36 79,936 --a------ C:\WINDOWS\system32\funbxqpf.dll
2008-01-15 08:34 89,152 --a------ C:\WINDOWS\system32\mdouyotk.dll
2008-01-14 08:25 79,424 --a------ C:\WINDOWS\system32\wmuupjym.dll
2008-01-12 19:57 79,424 --a------ C:\WINDOWS\system32\ruvmbygr.dll
2008-01-11 19:55 90,176 --a------ C:\WINDOWS\system32\xmxlgxny.dll
2008-01-11 19:52 79,424 --a------ C:\WINDOWS\system32\xkwhcsvg.dll
2008-01-10 21:16 9,728 --a------ C:\WINDOWS\system32\MSIEMPlayer.DLL
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123845.exe
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123844.exe
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\82.exe
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\249.exe
2008-01-10 19:53 79,424 --a------ C:\WINDOWS\system32\kaugjurq.dll
2008-01-07 20:56 88,704 --a------ C:\WINDOWS\system32\packet.dll
2008-01-07 20:56 42,512 --a------ C:\WINDOWS\system32\drivers\npf.sys
2008-01-07 20:56 240,240 --a------ C:\WINDOWS\system32\wpcap.dll
2008-01-05 15:12 58,938 --a------ C:\WINDOWS\system32\atlu.dll
2008-01-05 15:12 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-01-04 15:29 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe
2008-01-04 15:29 36,864 --a------ C:\WINDOWS\system32\IfHelper.dll
2008-01-04 10:24 94,208 --a------ C:\WINDOWS\system32\W32n50.dll
2008-01-04 10:24 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS
2007-12-31 14:11 5,606 --a------ C:\WINDOWS\system32\stci.dll
2007-12-30 10:55 27,648 --a------ C:\WINDOWS\system32\drivers\viaagp1.sys
2007-12-30 10:54 3,279 --a------ C:\WINDOWS\system32\drivers\VIAPFD.SYS
2007-12-28 12:12 397,362 --ahs---- C:\WINDOWS\system32\ttutv.ini2
2007-12-28 12:12 314,752 --a------ C:\WINDOWS\system32\vtutt.dll
2007-12-28 12:07 24,288 --a------ C:\WINDOWS\system32\gebcawv.dll
2007-12-25 17:57 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
2007-12-25 17:57 8,704 --a------ C:\WINDOWS\system32\vidccleaner.exe
2007-12-25 17:57 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-12-25 17:57 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
2007-12-25 17:56 552,960 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-12-25 17:56 159,744 --a------ C:\WINDOWS\system32\xvidvfw.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2008-01-16 13:04 -------- d-------- C:\Program Files\Navilog1
2008-01-15 21:19 48384 --a------ C:\Documents and Settings\David2\Application Data\GDIPFONTCACHEV1.DAT
2008-01-14 21:31 -------- d-------- C:\Program Files\AnswerWorks 4.0
2008-01-14 21:27 -------- d-------- C:\Program Files\AutoCAD 2006
2008-01-14 21:24 -------- d-------- C:\Program Files\Autodesk
2008-01-12 18:28 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-12 18:28 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-01-12 18:26 -------- d-------- C:\Program Files\VirtualDJ
2008-01-07 22:02 -------- d-------- C:\Program Files\iTunes
2008-01-07 22:02 -------- d-------- C:\Program Files\iPod
2008-01-07 21:59 -------- d-------- C:\Program Files\Apple Software Update
2008-01-05 16:24 -------- d-------- C:\Program Files\mp3DirectCut
2008-01-04 10:22 -------- d-------- C:\Program Files\Securitoo
2007-12-25 17:57 -------- d-------- C:\Program Files\Samsung
2007-12-18 16:30 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-12-15 14:52 43008 --a------ C:\winyikb.exe
2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\oleauth32.dll
2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\mstscex.dll
2007-10-18 20:42 10752 -r-hs---- C:\WINDOWS\system32\csrssn.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"AlcoholAutomount"="\"C:\\Program Files\\Alcohol Soft\\Alcohol 120\\axcmd.exe\" /automount"
"WOOKIT"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe GestionnaireInternet.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\QTTask.exe\" -atboottime"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"WOOWATCH"="C:\\PROGRA~1\\WANADOO\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe TaskBarIcon.exe"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"392e1446"="rundll32.exe \"C:\\WINDOWS\\System32\\cgjnsseg.dll\",b"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Program Files\\Internet Explorer\\zytety.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Program Files\\WindowsUpdate\\woryroky.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,10,03,00,00,1f,00,00,00,e0,00,00,00,d6,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
"Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
@=".exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"Winsock2 wqr1s"="EM32\\LOL.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
"Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
@=".exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"Winsock2 wqr1s"="EM32\\LOL.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"uzuPls"="{392E14EA-9384-BE40-3F12-FBF4662D0D47}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 08-01-16 18:18:48.81
C:\ComboFix2.txt ... 07-06-10 14:59
C:\ComboFix.txt ... 08-01-16 18:18
C:\ComboFix3.txt ... 06-11-05 17:28
------------------------------------------------------------------------------------------------------------------------------------------------------------------

Rapport Navilog
------------------------------------------------------------------------------------------------------------------------------------------------------------------
Search Navipromo version 3.4.0 commencé le 16/01/2008 à 18:26:35,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : FAT32

Executé en mode normal

*** Recherche Programmes installés ***




*** Recherche dossiers dans C:\WINDOWS ***



*** Recherche dossiers dans C:\Program Files ***



*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***




*** Recherche dossiers dans "C:\Documents and Settings\David2\application data" ***



*** Recherche dossiers dans "C:\Documents and Settings\David2\MENUD?~1\PROGRA~1" ***


*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\David2\local settings\application data" *



*** Recherche fichiers ***




*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :


* Dans "C:\Documents and Settings\David2\local settings\application data" :


3)Recherche Certificats :

Certificat Egroup absent !

4)Recherche fichiers connus :

C:\WINDOWS\system32\ttutv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\ihhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 16/01/2008 à 18:27:39,25 ***
------------------------------------------------------------------------------------------------------------------------------------------------------------------

Merci de vorte aide
Berni13
0
Réponse 10 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
17 janv. 2008 à 10:01
Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-note) et copie-colle le texte en citation : 
Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] 
"392e1446"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 
"Acrlfmg"=-
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Acrlfmg"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv]

Folder::
C:\WINDOWS\??curity

File::
C:\WINDOWS\system32\kpiygskr.dll
C:\WINDOWS\system32\cgjnsseg.dll
C:\WINDOWS\system32\funbxqpf.dll
C:\WINDOWS\system32\mdouyotk.dll
C:\WINDOWS\system32\wmuupjym.dll
C:\WINDOWS\system32\ruvmbygr.dll
C:\WINDOWS\system32\xmxlgxny.dll
C:\WINDOWS\system32\xkwhcsvg.dll
C:\Documents and Settings\David2\957123845.exe
C:\Documents and Settings\David2\957123844.exe
C:\Documents and Settings\David2\82.exe
C:\Documents and Settings\David2\249.exe
C:\WINDOWS\system32\kaugjurq.dll
C:\WINDOWS\system32\ttutv.ini2
C:\WINDOWS\system32\vtutt.dll
C:\WINDOWS\system32\gebcawv.dll


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 11 / 18
berni13
17 janv. 2008 à 12:53
Re Bonjour,

J'ai effectué la manip. Ci dessous le rapport.

Encore merci de votre aide
Berni13

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
David2 - 08-01-17 12:19:20,14 Service Pack 1
ComboFix 06.10.19 - Running from: "C:\"
Command switches used :: "C:\Documents and Settings\David2\Bureau\D‚sinfection\CFScript.txt"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\CURITY~1
C:\QooBox\Purity\WINDOWS\SSEMBL~1
C:\QooBox\Purity\WINDOWS\STEM~1
C:\QooBox\Purity\WINDOWS\system32\MCROSO~1.NET
C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET
C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1
C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET\??crosoft.NET
C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1\s?stem32
C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1
C:\QooBox\Purity\Documents and Settings\David2\Mes documents\DOBE~1
C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1\?ystem32
C:\QooBox\Purity\Program Files\ICROSO~1.NET
C:\QooBox\Purity\Program Files\SKS~1
C:\QooBox\Purity\Program Files\SKS~1\ç?sks


((((((((((((((((((((((((((((((( Files Created from 2007-12-17 to 2008-01-17 ))))))))))))))))))))))))))))))))))


2008-01-16 11:23 76,864 --a------ C:\WINDOWS\system32\kpiygskr.dll
2008-01-16 11:20 86,592 --a------ C:\WINDOWS\system32\cgjnsseg.dll
2008-01-15 08:36 79,936 --a------ C:\WINDOWS\system32\funbxqpf.dll
2008-01-15 08:34 89,152 --a------ C:\WINDOWS\system32\mdouyotk.dll
2008-01-14 08:25 79,424 --a------ C:\WINDOWS\system32\wmuupjym.dll
2008-01-12 19:57 79,424 --a------ C:\WINDOWS\system32\ruvmbygr.dll
2008-01-11 19:55 90,176 --a------ C:\WINDOWS\system32\xmxlgxny.dll
2008-01-11 19:52 79,424 --a------ C:\WINDOWS\system32\xkwhcsvg.dll
2008-01-10 21:16 9,728 --a------ C:\WINDOWS\system32\MSIEMPlayer.DLL
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123845.exe
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123844.exe
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\82.exe
2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\249.exe
2008-01-10 19:53 79,424 --a------ C:\WINDOWS\system32\kaugjurq.dll
2008-01-07 20:56 88,704 --a------ C:\WINDOWS\system32\packet.dll
2008-01-07 20:56 42,512 --a------ C:\WINDOWS\system32\drivers\npf.sys
2008-01-07 20:56 240,240 --a------ C:\WINDOWS\system32\wpcap.dll
2008-01-05 15:12 58,938 --a------ C:\WINDOWS\system32\atlu.dll
2008-01-05 15:12 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
2008-01-04 15:29 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe
2008-01-04 15:29 36,864 --a------ C:\WINDOWS\system32\IfHelper.dll
2008-01-04 10:24 94,208 --a------ C:\WINDOWS\system32\W32n50.dll
2008-01-04 10:24 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS
2007-12-31 14:11 5,606 --a------ C:\WINDOWS\system32\stci.dll
2007-12-30 10:55 27,648 --a------ C:\WINDOWS\system32\drivers\viaagp1.sys
2007-12-30 10:54 3,279 --a------ C:\WINDOWS\system32\drivers\VIAPFD.SYS
2007-12-28 12:12 347,216 --ahs---- C:\WINDOWS\system32\ttutv.ini2
2007-12-28 12:12 314,752 --a------ C:\WINDOWS\system32\vtutt.dll
2007-12-28 12:07 24,288 --a------ C:\WINDOWS\system32\gebcawv.dll
2007-12-25 17:57 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
2007-12-25 17:57 8,704 --a------ C:\WINDOWS\system32\vidccleaner.exe
2007-12-25 17:57 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-12-25 17:57 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
2007-12-25 17:56 552,960 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-12-25 17:56 159,744 --a------ C:\WINDOWS\system32\xvidvfw.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2008-01-16 13:04 -------- d-------- C:\Program Files\Navilog1
2008-01-15 21:19 48384 --a------ C:\Documents and Settings\David2\Application Data\GDIPFONTCACHEV1.DAT
2008-01-14 21:31 -------- d-------- C:\Program Files\AnswerWorks 4.0
2008-01-14 21:27 -------- d-------- C:\Program Files\AutoCAD 2006
2008-01-14 21:24 -------- d-------- C:\Program Files\Autodesk
2008-01-12 18:28 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-12 18:28 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-01-12 18:26 -------- d-------- C:\Program Files\VirtualDJ
2008-01-07 22:02 -------- d-------- C:\Program Files\iTunes
2008-01-07 22:02 -------- d-------- C:\Program Files\iPod
2008-01-07 21:59 -------- d-------- C:\Program Files\Apple Software Update
2008-01-05 16:24 -------- d-------- C:\Program Files\mp3DirectCut
2008-01-04 10:22 -------- d-------- C:\Program Files\Securitoo
2007-12-25 17:57 -------- d-------- C:\Program Files\Samsung
2007-12-18 16:30 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-12-15 14:52 43008 --a------ C:\winyikb.exe
2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\oleauth32.dll
2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\mstscex.dll
2007-10-18 20:42 10752 -r-hs---- C:\WINDOWS\system32\csrssn.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"AlcoholAutomount"="\"C:\\Program Files\\Alcohol Soft\\Alcohol 120\\axcmd.exe\" /automount"
"WOOKIT"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe GestionnaireInternet.exe"
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\QTTask.exe\" -atboottime"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"WOOWATCH"="C:\\PROGRA~1\\WANADOO\\Watch.exe"
"WOOTASKBARICON"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe TaskBarIcon.exe"
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"392e1446"="rundll32.exe \"C:\\WINDOWS\\System32\\cgjnsseg.dll\",b"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="C:\\Program Files\\Internet Explorer\\zytety.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
"Source"="C:\\Program Files\\WindowsUpdate\\woryroky.html"
"SubscribedURL"=""
"FriendlyName"=""
"Flags"=dword:00002000
"Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
"CurrentState"=dword:40000001
"OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
00,00,01,00,00,00
"RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,ec,\
03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,10,03,00,00,1f,00,00,00,e0,00,00,00,d6,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
"Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
@=".exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"Winsock2 wqr1s"="EM32\\LOL.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
"Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
@=".exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
"Winsock2 wqr1s"="EM32\\LOL.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"uzuPls"="{392E14EA-9384-BE40-3F12-FBF4662D0D47}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 08-01-17 12:21:23.78
C:\ComboFix3.txt ... 07-06-10 14:59
C:\ComboFix.txt ... 08-01-17 12:21
C:\ComboFix2.txt ... 08-01-16 18:18
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
0
Réponse 12 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
17 janv. 2008 à 21:28
cela n'a pas fonctionné recommence stp
Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-note) et copie-colle le texte en citation : 
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] 
"392e1446"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 
"Acrlfmg"=-
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"Acrlfmg"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv]
Folder::
C:\WINDOWS\??curity
File::
C:\WINDOWS\system32\kpiygskr.dll
C:\WINDOWS\system32\cgjnsseg.dll
C:\WINDOWS\system32\funbxqpf.dll
C:\WINDOWS\system32\mdouyotk.dll
C:\WINDOWS\system32\wmuupjym.dll
C:\WINDOWS\system32\ruvmbygr.dll
C:\WINDOWS\system32\xmxlgxny.dll
C:\WINDOWS\system32\xkwhcsvg.dll
C:\Documents and Settings\David2\957123845.exe
C:\Documents and Settings\David2\957123844.exe
C:\Documents and Settings\David2\82.exe
C:\Documents and Settings\David2\249.exe
C:\WINDOWS\system32\kaugjurq.dll
C:\WINDOWS\system32\ttutv.ini2
C:\WINDOWS\system32\vtutt.dll
C:\WINDOWS\system32\gebcawv.dll




Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 13 / 18
berni13
19 janv. 2008 à 16:49
Bonjour,

J'ai refait la manip mais le résultat est le meme.

Je ne sais pas pourquoi ?

Merci
Berni13
0
Réponse 14 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
19 janv. 2008 à 16:53
Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

http://www.spywareinfo.dk/download/mwav.exe

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisi la première option : Sans Échec, et valide avec "Entrée"
5) Choisi ton compte régulier, et non Administrateur


Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
0
Réponse 15 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
28 janv. 2008 à 18:54
Salut,

Merci d'effectuer les opérations suivantes :

Vas sur http://upload.malekal.com
clic sur parcourir et sélectionne le fichier : C:\_OTMoveIT\MovedFiles\WINDOWS\system32\MSIEMPlayer.DLL (clic sur poste de travail à gauche puis Disque C --> OTMoveIT --> MovedFiles -> Dossier Windows --> Dossier System32 --> MSIEMPlayer.DLL )
Ne touche pas au champs "Choisir le dossier de destination"
Clic sur envoyer fichier
0
Réponse 16 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
29 janv. 2008 à 12:01
Malekal_morte, bonjour
OTMoveIT n'a pas été utilisé sur ce topic....
ou alors il faut que je m'achète des lunettes...
0
Réponse 17 / 18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 629
29 janv. 2008 à 13:35
Oui d'où le fait qu'il faille aller le chercher dans les MovedFiles.
Le fichier a été récupéré mais je veux bien ceux là:

C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\957123845.exe
C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\957123844.exe
C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\82.exe
C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\249.exe
0
Réponse 18 / 18
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
29 janv. 2008 à 13:56
ok
espèrons que Berni13 revienne et te les envoie
0

Discussions similaires

Trouver le mot réellement écrit en lettres capitales PIX
ETHAN -
kirikou -

4 réponses
Statut « en ligne » alors que non
GgBono -
Slickk -

1 réponse
Prélèvement Google Ireland Limited
jaffa1961 -
gill34051 -

32 réponses
scan comics
daraen -
dsyren -

1 réponse
Que veut dire "correspondant occupé" lors d'un appel ?
veroaaa -
mamybigoud68 -

9 réponses