IE lance seul des scan de virus en ligne !!!

Résolu
berni13 -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour,

Voici quelques jours que internet explorer m'affiche des pub d'antivirus et lance des scan de mon pc sans que je l'ai demandé.
Du coup mon pc plante et je dois faire un restet à l'arache!

Quelqu'un a déjà eu le problème ?

Merci de votre aide
Berni13
Configuration: Windows XP

18 réponses

  1. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Clique sur ce lien :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
    Clique sur navilog1.zip pour télécharger navilog1
    Choisis Enregistrer

    et enregistre-le sur ton bureau.

    Ensuite double clique sur navilog1.exe pour lancer l'installation.
    Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

    Laisse-toi guider. Au menu principal, choisis 1 et valides.
    (ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

    Patiente jusqu'au message :
    *** Analyse Termine le ..... ***
    Appuie sur une touche comme demandé, le bloc note va s'ouvrir.
    Copie-colle l'intégralité dans une réponse. Referme le bloc note.
    Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

    /télécharge et installe le logiciel HijackThis
    https://www.pcastuces.com/logitheque/hijackthis.htm
    tuto pour l’utiliser
    regarde ici c'est parfaitement expliqué en images
    http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
    1
  2. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    tu es pas mal infecté
    on commence
    Télécharge SDFix d’ Andy Manchesta sur ton bureau
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    clic double sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
    Redémarre ton ordinateur en mode sans échec
    Comment aller en Mode sans échec lettre C
    https://forum.pcastuces.com/sujet.asp?f=25&s=3902
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et clic double sur RunThis.cmd
    Appuie sur Y pour commencer le nettoyage.
    Il va supprimer les services et les entrées du Registre infectés puis te demandera d'appuyer sur une touche pour redémarrer.
    Appuie sur une touche pour redémarrer le PC.
    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    Enfin, poste le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

    Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
    Au menu principal, choisis 2 et valide.

    Le fix va t'informer qu'il va alors redémarrer ton PC
    Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
    Appuie sur une touche comme demandé.
    (si ton Pc ne redémarre pas automatiquement, fais le toi même)
    Au redémarrage de ton PC, choisis ta session habituelle.

    Patiente jusqu'au message :
    *** Nettoyage Termine le ..... ***
    Le bloc note va s'ouvrir.
    Sauvegarde le rapport de manière à le retrouver
    Referme le bloc note. Ton bureau va réapparaître

    PS:Si ton bureau ne réapparaît pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Cela te fera apparaître ton bureau.
    Démarrer > Panneau de configuration > Options Internet
    Clique sur l'onglet Contenu puis onglet Certificats et si tu trouves ceci, en particulier dans éditeurs approuvés :

    electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"

    > Supprime-les

    Télécharge combofix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
    Double clique combofix.exe.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
    1
  3. tarznague Messages postés 838 Statut Membre 105
     
    ouai tu as un spyware!!!
    Alors fait un scan et deconecte toi d'internet avant le scan!
    0
  4. berni13
     
    Bonjour,

    Voici le rapport de Navilog1

    ------------------------------------------------------------------------------------------------------------------------------------------------------------------
    Search Navipromo version 3.4.0 commencé le 16/01/2008 à 13:05:40,78

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2800.1106
    Système de fichiers : FAT32

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    C:\Program Files\MailSkinner trouvé !

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\David2\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\David2\MENUD?~1\PROGRA~1" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\David2\local settings\application data" *

    *** Recherche fichiers ***

    C:\WINDOWS\system32\axsetup.dll trouvé !

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\David2\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup absent !

    4)Recherche fichiers connus :

    C:\WINDOWS\system32\ttutv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\ihhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

    *** Analyse terminée le 16/01/2008 à 13:07:04,95 ***
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Si dessous le rapport de Hijackthis

    ------------------------------------------------------------------------------------------------------------------------------------------------------------------
    Logfile of HijackThis v1.99.1
    Scan saved at 13:10:21, on 16/01/2008
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\FTRTSVC.exe
    C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\PnkBstrA.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\Program Files\QuickTime\QTTask.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\Program Files\iPod\bin\iPodService.exe
    C:\Program Files\Wanadoo\GestionnaireInternet.exe
    C:\Program Files\Wanadoo\ComComp.exe
    C:\PROGRA~1\Wanadoo\Toaster.exe
    C:\PROGRA~1\Wanadoo\Inactivity.exe
    C:\PROGRA~1\Wanadoo\PollingModule.exe
    C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
    C:\Program Files\Wanadoo\Watch.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\NOTEPAD.EXE
    C:\Documents and Settings\David2\Bureau\Désinfection\Scanner.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
    O2 - BHO: BHO Class - {06358080-33BE-452b-9B31-E54E112ADCCA} - C:\WINDOWS\System32\MSIEMPlayer.DLL
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: {918edd48-8e99-16db-5a94-515085e917e1} - {1e719e58-0515-49a5-bd61-99e884dde819} - C:\WINDOWS\System32\kpiygskr.dll
    O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\System32\msjava32.dll
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\gebcawv.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {BDE91C12-A2F9-4483-9680-A942FD42DCA8} - C:\WINDOWS\System32\vtutt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\GestMaj.exe TaskBarIcon.exe
    O4 - HKLM\..\Run: [Microsoft Updates] svehost.exe
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [392e1446] rundll32.exe "C:\WINDOWS\System32\cgjnsseg.dll",b
    O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
    O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\GestMaj.exe GestionnaireInternet.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart16.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=https://www.google.fr/?gws_rd=ssl
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {C80B7FF6-CE60-4079-935E-520C045C30A6} - http://www.mailskinner.com/binaries/msaxsetup.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C3F426D7-06A6-427C-BF0D-DBC2452FBF44}: NameServer = 80.10.246.1 80.10.246.132
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - Winlogon Notify: gebcawv - C:\WINDOWS\SYSTEM32\gebcawv.dll
    O21 - SSODL: uzuPls - {392E14EA-9384-BE40-3F12-FBF4662D0D47} - C:\WINDOWS\system32\zz.dll
    O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
    O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
    O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
    O23 - Service: Cliché instantané de volume VSSstisvc (VSSstisvc) - Unknown owner - C:\WINDOWS\System32\csrssn.exe
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Merci de votre aide
    Berni13
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. tarznague Messages postés 838 Statut Membre 105
     
    je n'est pas comprit comment tu voit qu'il est infecte!pourrai tu m'expliquer et puis sa l'aidera aussi a le savoir la prochaine fois!
    0
  7. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, TROJAN/SDFIX
    O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\System32\msjava32.dll TROJAN
    O2 - BHO: (no name) - {BDE91C12-A2F9-4483-9680-A942FD42DCA8} - C:\WINDOWS\System32\vtutt.dll VUNDO/COMBOFIX
    O4 - HKLM\..\Run: [Microsoft Updates] svehost.exe TROJAN/SDFIX
    O4 - HKLM\..\Run: [392e1446] rundll32.exe "C:\WINDOWS\System32\cgjnsseg.dll",b COMBOFIX
    O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe TROJAN/SDFIX

    0
  8. tarznague Messages postés 838 Statut Membre 105
     
    okay, j'avai pas vu autant pour moi! et merci d em'avoir montrer
    0
  9. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    en recherchant plus à font et avec l'aide de Combofix on en trouvera d'autres....
    0
  10. berni13
     
    Bonsoir,

    J'ai donc effectué toutes les manipulations. Mais je ne retrouve pas le rapport de Navilog?

    Rapport SDFix

    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------

    SDFix: Version 1.58

    16/01/2008 - 17:30:58,57

    Microsoft Windows XP [version 5.1.2600]

    Running From: C:\Documents and Settings\David2\Bureau\D‚sinfection\SDFix\SDFix

    Safe Mode:

    Checking Services:

    Name:

    Path:

    Restoring Windows Registry Entries
    Restoring Default Hosts File

    Rebooting

    Normal Mode:

    Checking Files:

    Files will be copied to Backups folder then removed:

    C:\DOCUME~1\DAVID2\LOCALS~1\TEMP\MA1X1D~1.GAM - Deleted
    C:\SYSTEM~1\_RESTO~1\RP272\A0094896.EXE - Deleted
    C:\DOCUME~1\David2\LOCALS~1\Temp\setup.exe - Deleted
    C:\WINDOWS\system32\icf.exe - Deleted
    C:\WINDOWS\system32\winsys.exe - Deleted

    Alternate Stream Check:

    C:\WINDOWS\system32
    No streams found.
    Final Check:

    Remaining Services:
    ------------------

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "|"="|:*:Enabled:Windows Logon Service"
    "C:\\WINDOWS\\System32\\Winxp.exe"="C:\\WINDOWS\\System32\\Winxp.exe:*:Enabled:Internet"

    Remaining Files:
    ---------------

    Backups Folder: - C:\DOCUME~1\David2\Bureau\DSINF~1\SDFix\SDFix\backups\backups.zip

    Listing Files with hidden attributes:

    C:\NTDETECT.COM
    C:\Documents and Settings\David2\Mes documents\Ma musique\Musique Papa\Miguel.Rios.-.Rock.and.Rios.-.Edition.2005.2CD.[2005].-.WwW.LimiteMusic.CoM\Caratulas\Thumbs.db
    C:\Documents and Settings\All Users\Documents\Settings\partnership.dll
    C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setup.dll
    C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll
    C:\WINDOWS\system32\csrssn.exe
    C:\WINDOWS\system32\cdplayer.exe.manifest
    C:\WINDOWS\system32\logonui.exe.manifest
    C:\WINDOWS\system32\svehost.exe
    C:\WINDOWS\Temp\pop2x.exe
    C:\WINDOWS\Temp\load.exe
    C:\Documents and Settings\David2\Local Settings\Temp\ds8.exe
    C:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe
    C:\IO.SYS
    C:\MSDOS.SYS
    C:\pagefile.sys
    C:\WINDOWS\LastGood.Tmp\INF\oem2.inf
    C:\WINDOWS\LastGood.Tmp\INF\oem2.PNF

    Finished
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Rapport ComboFix
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------

    David2 - 08-01-16 18:16:56,78 Service Pack 1
    ComboFix 06.10.19 - Running from: "C:\Documents and Settings\David2\Bureau\D‚sinfection"

    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    C:\Documents and Settings\David2\Application Data\Install.dat
    C:\Documents and Settings\All Users\Documents\Settings

    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

    Folders Quarantined:

    C:\QooBox\Purity\WINDOWS\CURITY~1
    C:\QooBox\Purity\WINDOWS\SSEMBL~1
    C:\QooBox\Purity\WINDOWS\STEM~1
    C:\QooBox\Purity\WINDOWS\system32\MCROSO~1.NET
    C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET
    C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1
    C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET\??crosoft.NET
    C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1\s?stem32
    C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1
    C:\QooBox\Purity\Documents and Settings\David2\Mes documents\DOBE~1
    C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1\?ystem32
    C:\QooBox\Purity\Program Files\ICROSO~1.NET
    C:\QooBox\Purity\Program Files\SKS~1
    C:\QooBox\Purity\Program Files\SKS~1\ç?sks

    ((((((((((((((((((((((((((((((( Files Created from 2007-12-16 to 2008-01-16 ))))))))))))))))))))))))))))))))))

    2008-01-16 11:23 76,864 --a------ C:\WINDOWS\system32\kpiygskr.dll
    2008-01-16 11:20 86,592 --a------ C:\WINDOWS\system32\cgjnsseg.dll
    2008-01-15 08:36 79,936 --a------ C:\WINDOWS\system32\funbxqpf.dll
    2008-01-15 08:34 89,152 --a------ C:\WINDOWS\system32\mdouyotk.dll
    2008-01-14 08:25 79,424 --a------ C:\WINDOWS\system32\wmuupjym.dll
    2008-01-12 19:57 79,424 --a------ C:\WINDOWS\system32\ruvmbygr.dll
    2008-01-11 19:55 90,176 --a------ C:\WINDOWS\system32\xmxlgxny.dll
    2008-01-11 19:52 79,424 --a------ C:\WINDOWS\system32\xkwhcsvg.dll
    2008-01-10 21:16 9,728 --a------ C:\WINDOWS\system32\MSIEMPlayer.DLL
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123845.exe
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123844.exe
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\82.exe
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\249.exe
    2008-01-10 19:53 79,424 --a------ C:\WINDOWS\system32\kaugjurq.dll
    2008-01-07 20:56 88,704 --a------ C:\WINDOWS\system32\packet.dll
    2008-01-07 20:56 42,512 --a------ C:\WINDOWS\system32\drivers\npf.sys
    2008-01-07 20:56 240,240 --a------ C:\WINDOWS\system32\wpcap.dll
    2008-01-05 15:12 58,938 --a------ C:\WINDOWS\system32\atlu.dll
    2008-01-05 15:12 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
    2008-01-04 15:29 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe
    2008-01-04 15:29 36,864 --a------ C:\WINDOWS\system32\IfHelper.dll
    2008-01-04 10:24 94,208 --a------ C:\WINDOWS\system32\W32n50.dll
    2008-01-04 10:24 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS
    2007-12-31 14:11 5,606 --a------ C:\WINDOWS\system32\stci.dll
    2007-12-30 10:55 27,648 --a------ C:\WINDOWS\system32\drivers\viaagp1.sys
    2007-12-30 10:54 3,279 --a------ C:\WINDOWS\system32\drivers\VIAPFD.SYS
    2007-12-28 12:12 397,362 --ahs---- C:\WINDOWS\system32\ttutv.ini2
    2007-12-28 12:12 314,752 --a------ C:\WINDOWS\system32\vtutt.dll
    2007-12-28 12:07 24,288 --a------ C:\WINDOWS\system32\gebcawv.dll
    2007-12-25 17:57 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
    2007-12-25 17:57 8,704 --a------ C:\WINDOWS\system32\vidccleaner.exe
    2007-12-25 17:57 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2007-12-25 17:57 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
    2007-12-25 17:56 552,960 --a------ C:\WINDOWS\system32\xvidcore.dll
    2007-12-25 17:56 159,744 --a------ C:\WINDOWS\system32\xvidvfw.dll

    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

    2008-01-16 13:04 -------- d-------- C:\Program Files\Navilog1
    2008-01-15 21:19 48384 --a------ C:\Documents and Settings\David2\Application Data\GDIPFONTCACHEV1.DAT
    2008-01-14 21:31 -------- d-------- C:\Program Files\AnswerWorks 4.0
    2008-01-14 21:27 -------- d-------- C:\Program Files\AutoCAD 2006
    2008-01-14 21:24 -------- d-------- C:\Program Files\Autodesk
    2008-01-12 18:28 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-01-12 18:28 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
    2008-01-12 18:26 -------- d-------- C:\Program Files\VirtualDJ
    2008-01-07 22:02 -------- d-------- C:\Program Files\iTunes
    2008-01-07 22:02 -------- d-------- C:\Program Files\iPod
    2008-01-07 21:59 -------- d-------- C:\Program Files\Apple Software Update
    2008-01-05 16:24 -------- d-------- C:\Program Files\mp3DirectCut
    2008-01-04 10:22 -------- d-------- C:\Program Files\Securitoo
    2007-12-25 17:57 -------- d-------- C:\Program Files\Samsung
    2007-12-18 16:30 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2007-12-15 14:52 43008 --a------ C:\winyikb.exe
    2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\oleauth32.dll
    2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\mstscex.dll
    2007-10-18 20:42 10752 -r-hs---- C:\WINDOWS\system32\csrssn.exe

    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
    "AlcoholAutomount"="\"C:\\Program Files\\Alcohol Soft\\Alcohol 120\\axcmd.exe\" /automount"
    "WOOKIT"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe GestionnaireInternet.exe"
    "msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "nwiz"="nwiz.exe /install"
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
    "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
    65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\QTTask.exe\" -atboottime"
    "TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
    "WOOWATCH"="C:\\PROGRA~1\\WANADOO\\Watch.exe"
    "WOOTASKBARICON"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe TaskBarIcon.exe"
    "iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
    "392e1446"="rundll32.exe \"C:\\WINDOWS\\System32\\cgjnsseg.dll\",b"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
    "DeskHtmlVersion"=dword:00000110
    "DeskHtmlMinorVersion"=dword:00000005
    "Settings"=dword:00000001
    "GeneralFlags"=dword:00000000

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
    "Source"="C:\\Program Files\\Internet Explorer\\zytety.html"
    "SubscribedURL"=""
    "FriendlyName"=""
    "Flags"=dword:00002000
    "Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
    03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
    "CurrentState"=dword:40000001
    "OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
    00,00,01,00,00,00
    "RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
    00,00,00,00,00,00

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
    "Source"="C:\\Program Files\\WindowsUpdate\\woryroky.html"
    "SubscribedURL"=""
    "FriendlyName"=""
    "Flags"=dword:00002000
    "Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
    03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
    "CurrentState"=dword:40000001
    "OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
    00,00,01,00,00,00
    "RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
    00,00,00,00,00,00

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"
    "Flags"=dword:00000002
    "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,ec,\
    03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
    "CurrentState"=dword:40000004
    "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
    ff,ff,04,00,00,00
    "RestoredStateInfo"=hex:18,00,00,00,10,03,00,00,1f,00,00,00,e0,00,00,00,d6,00,\
    00,00,01,00,00,00

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
    "Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
    "Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
    @=".exe"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
    "Winsock2 wqr1s"="EM32\\LOL.EXE"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
    "Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
    "Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
    @=".exe"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
    "Winsock2 wqr1s"="EM32\\LOL.EXE"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
    "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoDriveTypeAutoRun"=hex:95,00,00,00

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "dontdisplaylastusername"=dword:00000000
    "legalnoticecaption"=""
    "legalnoticetext"=""
    "shutdownwithoutlogon"=dword:00000001
    "undockwithoutlogon"=dword:00000001

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
    "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
    "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
    "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
    "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
    "uzuPls"="{392E14EA-9384-BE40-3F12-FBF4662D0D47}"

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    Completion time: 08-01-16 18:18:48.81
    C:\ComboFix2.txt ... 07-06-10 14:59
    C:\ComboFix.txt ... 08-01-16 18:18
    C:\ComboFix3.txt ... 06-11-05 17:28
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Rapport Navilog
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------
    Search Navipromo version 3.4.0 commencé le 16/01/2008 à 18:26:35,81

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Mise à jour le 09.01.2008 à 20h00 par IL-MAFIOSO

    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2800.1106
    Système de fichiers : FAT32

    Executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans C:\WINDOWS ***

    *** Recherche dossiers dans C:\Program Files ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

    *** Recherche dossiers dans "C:\Documents and Settings\David2\application data" ***

    *** Recherche dossiers dans "C:\Documents and Settings\David2\MENUD?~1\PROGRA~1" ***

    *** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans C:\WINDOWS\system32 *

    * Recherche dans "C:\Documents and Settings\David2\local settings\application data" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans C:\WINDOWS\system32 :

    * Dans "C:\Documents and Settings\David2\local settings\application data" :

    3)Recherche Certificats :

    Certificat Egroup absent !

    4)Recherche fichiers connus :

    C:\WINDOWS\system32\ttutv.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
    C:\WINDOWS\system32\ihhkj.bak1 trouvé ! infection Vundo possible non traitée par cet outil !

    *** Analyse terminée le 16/01/2008 à 18:27:39,25 ***
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------

    Merci de vorte aide
    Berni13
    0
  11. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-note) et copie-colle le texte en citation :
    Registry::
    
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] 
    "392e1446"=-
    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 
    "Acrlfmg"=-
    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
    "Acrlfmg"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv]
    
    Folder::
    C:\WINDOWS\??curity
    
    File::
    C:\WINDOWS\system32\kpiygskr.dll
    C:\WINDOWS\system32\cgjnsseg.dll
    C:\WINDOWS\system32\funbxqpf.dll
    C:\WINDOWS\system32\mdouyotk.dll
    C:\WINDOWS\system32\wmuupjym.dll
    C:\WINDOWS\system32\ruvmbygr.dll
    C:\WINDOWS\system32\xmxlgxny.dll
    C:\WINDOWS\system32\xkwhcsvg.dll
    C:\Documents and Settings\David2\957123845.exe
    C:\Documents and Settings\David2\957123844.exe
    C:\Documents and Settings\David2\82.exe
    C:\Documents and Settings\David2\249.exe
    C:\WINDOWS\system32\kaugjurq.dll
    C:\WINDOWS\system32\ttutv.ini2
    C:\WINDOWS\system32\vtutt.dll
    C:\WINDOWS\system32\gebcawv.dll


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

    Sauvegarde ce fichier sous le nom de CFScript.txt

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  12. berni13
     
    Re Bonjour,

    J'ai effectué la manip. Ci dessous le rapport.

    Encore merci de votre aide
    Berni13

    -----------------------------------------------------------------------------------------------------------------------------------------------------------------------
    David2 - 08-01-17 12:19:20,14 Service Pack 1
    ComboFix 06.10.19 - Running from: "C:\"
    Command switches used :: "C:\Documents and Settings\David2\Bureau\D‚sinfection\CFScript.txt"

    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

    Folders Quarantined:

    C:\QooBox\Purity\WINDOWS\CURITY~1
    C:\QooBox\Purity\WINDOWS\SSEMBL~1
    C:\QooBox\Purity\WINDOWS\STEM~1
    C:\QooBox\Purity\WINDOWS\system32\MCROSO~1.NET
    C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET
    C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1
    C:\QooBox\Purity\WINDOWS\system32\CROSOF~1.NET\??crosoft.NET
    C:\QooBox\Purity\WINDOWS\system32\SSTEM3~1\s?stem32
    C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1
    C:\QooBox\Purity\Documents and Settings\David2\Mes documents\DOBE~1
    C:\QooBox\Purity\Documents and Settings\David2\Mes documents\YSTEM3~1\?ystem32
    C:\QooBox\Purity\Program Files\ICROSO~1.NET
    C:\QooBox\Purity\Program Files\SKS~1
    C:\QooBox\Purity\Program Files\SKS~1\ç?sks

    ((((((((((((((((((((((((((((((( Files Created from 2007-12-17 to 2008-01-17 ))))))))))))))))))))))))))))))))))

    2008-01-16 11:23 76,864 --a------ C:\WINDOWS\system32\kpiygskr.dll
    2008-01-16 11:20 86,592 --a------ C:\WINDOWS\system32\cgjnsseg.dll
    2008-01-15 08:36 79,936 --a------ C:\WINDOWS\system32\funbxqpf.dll
    2008-01-15 08:34 89,152 --a------ C:\WINDOWS\system32\mdouyotk.dll
    2008-01-14 08:25 79,424 --a------ C:\WINDOWS\system32\wmuupjym.dll
    2008-01-12 19:57 79,424 --a------ C:\WINDOWS\system32\ruvmbygr.dll
    2008-01-11 19:55 90,176 --a------ C:\WINDOWS\system32\xmxlgxny.dll
    2008-01-11 19:52 79,424 --a------ C:\WINDOWS\system32\xkwhcsvg.dll
    2008-01-10 21:16 9,728 --a------ C:\WINDOWS\system32\MSIEMPlayer.DLL
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123845.exe
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\957123844.exe
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\82.exe
    2008-01-10 21:16 45,056 --a------ C:\Documents and Settings\David2\249.exe
    2008-01-10 19:53 79,424 --a------ C:\WINDOWS\system32\kaugjurq.dll
    2008-01-07 20:56 88,704 --a------ C:\WINDOWS\system32\packet.dll
    2008-01-07 20:56 42,512 --a------ C:\WINDOWS\system32\drivers\npf.sys
    2008-01-07 20:56 240,240 --a------ C:\WINDOWS\system32\wpcap.dll
    2008-01-05 15:12 58,938 --a------ C:\WINDOWS\system32\atlu.dll
    2008-01-05 15:12 101,888 --a------ C:\WINDOWS\system32\VB6STKIT.DLL
    2008-01-04 15:29 40,960 --a------ C:\WINDOWS\system32\FTRTSVC.exe
    2008-01-04 15:29 36,864 --a------ C:\WINDOWS\system32\IfHelper.dll
    2008-01-04 10:24 94,208 --a------ C:\WINDOWS\system32\W32n50.dll
    2008-01-04 10:24 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS
    2007-12-31 14:11 5,606 --a------ C:\WINDOWS\system32\stci.dll
    2007-12-30 10:55 27,648 --a------ C:\WINDOWS\system32\drivers\viaagp1.sys
    2007-12-30 10:54 3,279 --a------ C:\WINDOWS\system32\drivers\VIAPFD.SYS
    2007-12-28 12:12 347,216 --ahs---- C:\WINDOWS\system32\ttutv.ini2
    2007-12-28 12:12 314,752 --a------ C:\WINDOWS\system32\vtutt.dll
    2007-12-28 12:07 24,288 --a------ C:\WINDOWS\system32\gebcawv.dll
    2007-12-25 17:57 83,968 --a------ C:\WINDOWS\system32\Skbase40.dll
    2007-12-25 17:57 8,704 --a------ C:\WINDOWS\system32\vidccleaner.exe
    2007-12-25 17:57 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
    2007-12-25 17:57 217,088 --a------ C:\WINDOWS\system32\skjpeg40.dll
    2007-12-25 17:56 552,960 --a------ C:\WINDOWS\system32\xvidcore.dll
    2007-12-25 17:56 159,744 --a------ C:\WINDOWS\system32\xvidvfw.dll

    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

    2008-01-16 13:04 -------- d-------- C:\Program Files\Navilog1
    2008-01-15 21:19 48384 --a------ C:\Documents and Settings\David2\Application Data\GDIPFONTCACHEV1.DAT
    2008-01-14 21:31 -------- d-------- C:\Program Files\AnswerWorks 4.0
    2008-01-14 21:27 -------- d-------- C:\Program Files\AutoCAD 2006
    2008-01-14 21:24 -------- d-------- C:\Program Files\Autodesk
    2008-01-12 18:28 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-01-12 18:28 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
    2008-01-12 18:26 -------- d-------- C:\Program Files\VirtualDJ
    2008-01-07 22:02 -------- d-------- C:\Program Files\iTunes
    2008-01-07 22:02 -------- d-------- C:\Program Files\iPod
    2008-01-07 21:59 -------- d-------- C:\Program Files\Apple Software Update
    2008-01-05 16:24 -------- d-------- C:\Program Files\mp3DirectCut
    2008-01-04 10:22 -------- d-------- C:\Program Files\Securitoo
    2007-12-25 17:57 -------- d-------- C:\Program Files\Samsung
    2007-12-18 16:30 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
    2007-12-15 14:52 43008 --a------ C:\winyikb.exe
    2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\oleauth32.dll
    2007-10-18 22:42 53248 --a------ C:\WINDOWS\system32\mstscex.dll
    2007-10-18 20:42 10752 -r-hs---- C:\WINDOWS\system32\csrssn.exe

    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
    "AlcoholAutomount"="\"C:\\Program Files\\Alcohol Soft\\Alcohol 120\\axcmd.exe\" /automount"
    "WOOKIT"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe GestionnaireInternet.exe"
    "msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
    "nwiz"="nwiz.exe /install"
    "NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
    "NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.6.0_03\\bin\\jusched.exe\""
    "KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
    65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\QTTask.exe\" -atboottime"
    "TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
    "WOOWATCH"="C:\\PROGRA~1\\WANADOO\\Watch.exe"
    "WOOTASKBARICON"="C:\\PROGRA~1\\WANADOO\\GestMaj.exe TaskBarIcon.exe"
    "iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
    "392e1446"="rundll32.exe \"C:\\WINDOWS\\System32\\cgjnsseg.dll\",b"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
    "DeskHtmlVersion"=dword:00000110
    "DeskHtmlMinorVersion"=dword:00000005
    "Settings"=dword:00000001
    "GeneralFlags"=dword:00000000

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
    "Source"="C:\\Program Files\\Internet Explorer\\zytety.html"
    "SubscribedURL"=""
    "FriendlyName"=""
    "Flags"=dword:00002000
    "Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,e8,\
    03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
    "CurrentState"=dword:40000001
    "OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
    00,00,01,00,00,00
    "RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
    00,00,00,00,00,00

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]
    "Source"="C:\\Program Files\\WindowsUpdate\\woryroky.html"
    "SubscribedURL"=""
    "FriendlyName"=""
    "Flags"=dword:00002000
    "Position"=hex:2c,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,00,00,ea,\
    03,00,00,00,00,00,00,00,00,00,00,00,00,00,00,14,00,00,00,14,00,00,00
    "CurrentState"=dword:40000001
    "OriginalStateInfo"=hex:18,00,00,00,64,00,00,00,64,00,00,00,58,02,00,00,c8,00,\
    00,00,01,00,00,00
    "RestoredStateInfo"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
    00,00,00,00,00,00

    [HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"
    "Flags"=dword:00000002
    "Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,ec,\
    03,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
    "CurrentState"=dword:40000004
    "OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
    ff,ff,04,00,00,00
    "RestoredStateInfo"=hex:18,00,00,00,10,03,00,00,1f,00,00,00,e0,00,00,00,d6,00,\
    00,00,01,00,00,00

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
    "Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
    "Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
    @=".exe"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
    "Winsock2 wqr1s"="EM32\\LOL.EXE"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
    "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
    "Sudp"="\"C:\\WINDOWS\\System32\\CROSOF~1.NET\\regsvr32.exe\" -vt yazb"
    "Acrlfmg"="C:\\WINDOWS\\??curity\\n?lookup.exe"
    @=".exe"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runonce]
    "Winsock2 wqr1s"="EM32\\LOL.EXE"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
    "{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=""

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoDriveTypeAutoRun"=hex:95,00,00,00

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "dontdisplaylastusername"=dword:00000000
    "legalnoticecaption"=""
    "legalnoticetext"=""
    "shutdownwithoutlogon"=dword:00000001
    "undockwithoutlogon"=dword:00000001

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
    "NoDriveTypeAutoRun"=dword:00000091

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
    "PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
    "CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
    "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
    "SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
    "uzuPls"="{392E14EA-9384-BE40-3F12-FBF4662D0D47}"

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

    Completion time: 08-01-17 12:21:23.78
    C:\ComboFix3.txt ... 07-06-10 14:59
    C:\ComboFix.txt ... 08-01-17 12:21
    C:\ComboFix2.txt ... 08-01-16 18:18
    -------------------------------------------------------------------------------------------------------------------------------------------------------------------
    0
  13. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    cela n'a pas fonctionné recommence stp
    Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-note) et copie-colle le texte en citation :
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] 
    "392e1446"=-
    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 
    "Acrlfmg"=-
    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
    "Acrlfmg"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\gebcawv]
    Folder::
    C:\WINDOWS\??curity
    File::
    C:\WINDOWS\system32\kpiygskr.dll
    C:\WINDOWS\system32\cgjnsseg.dll
    C:\WINDOWS\system32\funbxqpf.dll
    C:\WINDOWS\system32\mdouyotk.dll
    C:\WINDOWS\system32\wmuupjym.dll
    C:\WINDOWS\system32\ruvmbygr.dll
    C:\WINDOWS\system32\xmxlgxny.dll
    C:\WINDOWS\system32\xkwhcsvg.dll
    C:\Documents and Settings\David2\957123845.exe
    C:\Documents and Settings\David2\957123844.exe
    C:\Documents and Settings\David2\82.exe
    C:\Documents and Settings\David2\249.exe
    C:\WINDOWS\system32\kaugjurq.dll
    C:\WINDOWS\system32\ttutv.ini2
    C:\WINDOWS\system32\vtutt.dll
    C:\WINDOWS\system32\gebcawv.dll


    Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

    Sauvegarde ce fichier sous le nom de CFScript.txt

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  14. berni13
     
    Bonjour,

    J'ai refait la manip mais le résultat est le meme.

    Je ne sais pas pourquoi ?

    Merci
    Berni13
    0
  15. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

    http://www.spywareinfo.dk/download/mwav.exe

    Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

    Étape 2:
    Voici comment mettre l'outil à jour :

    1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

    2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

    3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une clé pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

    4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

    Ne pas lancer le scan tout de suite !

    Étape 3:
    Redémarre en mode Sans Échec :
    1) Redémarre ton ordi
    2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
    3) Tu verras un écran avec options de démarrage apparaître
    4) Choisi la première option : Sans Échec, et valide avec "Entrée"
    5) Choisi ton compte régulier, et non Administrateur

    Étape 4:
    Du mode Sans Échec, voici comment utiliser le programme :

    1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

    2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

    3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

    4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

    5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

    6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

    7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

    Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Merci d'effectuer les opérations suivantes :

    Vas sur http://upload.malekal.com
    clic sur parcourir et sélectionne le fichier : C:\_OTMoveIT\MovedFiles\WINDOWS\system32\MSIEMPlayer.DLL (clic sur poste de travail à gauche puis Disque C --> OTMoveIT --> MovedFiles -> Dossier Windows --> Dossier System32 --> MSIEMPlayer.DLL )
    Ne touche pas au champs "Choisir le dossier de destination"
    Clic sur envoyer fichier
    0
  17. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Malekal_morte, bonjour
    OTMoveIT n'a pas été utilisé sur ce topic....
    ou alors il faut que je m'achète des lunettes...
    0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Oui d'où le fait qu'il faille aller le chercher dans les MovedFiles.
    Le fichier a été récupéré mais je veux bien ceux là:

    C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\957123845.exe
    C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\957123844.exe
    C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\82.exe
    C:\_OTMoveIT\MovedFiles\C\Documents and Settings\David2\249.exe
    0
  19. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    ok
    espèrons que Berni13 revienne et te les envoie
    0