Bonjour, Depuis plusieurs jours je me bat contre différents problèmes (win32.Agent.pz et .qt, win32.Alphabet.ap, win32BHO.je, Zlob.HomepageMonitor,...) qui infectent mon micro. Spybot les décèle mais ne peut pas les enlever. Je fais tourner aussi ad aware qui me repère des problèmes mais ceux ci réapparaissent sans arret! Quelqu'un pourrait-il me dire ce que je peux faire? Merci par avance

Comment me défaire de win32.Agent.pz

Réponse 21 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
29 janv. 2008 à 21:49

Bonsoir,
J'ai fait ce que tu me propose. Je n'ai pas redémarré, mais une fenetre avec les processus actif s s'est ouverte. A partir de là dans le menu de cette fenetre, j'ai pu lancer IE7. La navigation est très lente mais c'est mieux que rien.Je te liste les processus actif car il y en a peut-etre un qui est la cause de mes ennuis est qu'il faut terminer pour que le démarrage de windows se fasse normalement jusqu'au bout!?
DefWatch.exe
guard.exe
ntos.exe (c'est celui là qui semble vouloir une clef de mes données perso. J'ai essayé de le terminer, mais ça n'a rien fait!)
taskmgr.exe
alg.exe
sploolsv.exe
ccEvtmgr.exe
ccSetMgr.exe
svchost.exe (5 fois)
Isass.exe
services.exe
winlogon.exe
csrss.exe
Rtvscan.exe
svchost.exe (encore une fois!!)
smss.exe
slserv.exe
System
Processus inactif...SYSTEM
J'attends avec impatience tes consignes!!
A+

Réponse 22 / 54

jimbob
29 janv. 2008 à 21:50

salut!:
un conseil pour l’avenir su tu es sur XP
Pour ne pas attraper de virus pas il ne faut jamais utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.

Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm

Réponse 23 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
29 janv. 2008 à 22:08

salut nfren,

arrives tu as demarrer en mode sans echec et refaire aparaitre le gestionnaire des tache et la, arreter le processus ntos.exe, car je ne voie rien d´autre qui soit alarmant...

@+

Réponse 24 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
29 janv. 2008 à 22:51

Re,
Ca rame du tonnerre, mais avec un peu de patience je finis par pouvoir te répondre! Non, je ne suis pas arrive a demarrer en mode sans echec. Ca bloque sur un ecran tout noir et au bout d'un certain temps (pour ne pas dire un temps certain) ca redemarre!
Par contre en mode normal je peux arreter ntos.exe. Je peux accéder par la fenetre aux logiciels installes dans le micro, mais les temps de reaction sont tres longs!!
Demain je dois recuperer aupres d'un ami un CD win XP, j'espère que cela me permettra de démarrer le micro jusqu'au bout!!
Pour ce soir je vais arreter la (la journee demarre tres tot demain!), mais n'hesite pas a me faire des propositions d'actions que j'essaierai de mettre en oeuvre des demain soir!
Encore merci pour ta patience et ton aide
A+

Réponse 25 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
29 janv. 2008 à 22:54

re,

ok si tu arrives a arreter le processus ntos.exe c´est deja ca, c´est une bonne idée que d´essayer de réparer windows grace au cd de ton ami.

bon courrage ;-)

tiens moi au courrant.

@demain, bonne nuit.

Réponse 26 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
30 janv. 2008 à 19:53

Salut,
En donnant une dernière chance a mon micro ce matin de demarrer en mode sans échec, et bien il a compris qu'un vol par la fenetre le guettait et il a obei!! Enfin il s'est arrete à l'écran noir, mais a partir de là j'ai pu lancer SDFix qui lui a permis de redémarrer normalement en affichant les icones et tout. Comme dans l'étape où tu me conseillais d'utiliser SDFix, j'ai ensuite fait tourner DSS dont voici le rapport!

Deckard's System Scanner v20071014.68
Run by GIGI et PHIL on 2008-01-30 19:44:17
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-01-30 19:44:19
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\explorer.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\APPS\ABOARD\ABOARD.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Symantec AntiVirus\VPTray.exe
C:\APPS\ABOARD\AOSD.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\microsoft office\Office\OSA.EXE
C:\Documents and Settings\GIGI et PHIL\Bureau\dss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.google.com/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'Default user')
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\microsoft office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\microsoft office\Office\FINDFAST.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\MSN Messenger\msgrapp.8.1.0178.00.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MysqlInventime - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: SavRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SmartLinkService (SLService) - Unknown owner - C:\WINDOWS\system32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Réponse 27 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 21:50

salut nfren,

je suis bien contente que tu es réussie a redemarrer ta machine ;-)

on continue :

a l´aide de combofix :

Copie le texte ci-dessous :

File::
C:\found.000
C:\tmp3137.exe
C:\hkdjqaxv.exe
C:\WINDOWS\system32\fvelwow.sys
C:\WINDOWS\system32\jecsst.sys
C:\WINDOWS\system32\drivers\srtwe.sys
C:\WINDOWS\vqlizudo.exe
C:\upaq.exe
C:\Documents and Settings\GIGI et PHIL\cokmmp.exe
C:\WINDOWS\system32\Machnm64.sys
C:\WINDOWS\system32\Machnm32.sys
C:\WINDOWS\system32\Machnm1.exe

Folder::
C:\WINDOWS\leunemdf

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt

ou un nouveau comboscan.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

Réponse 28 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
30 janv. 2008 à 22:18

Voici le rapport qui je l'espère est complet cette fois! Par contre combofix a ouvert une fenêtre IE en me demandant de soumettre le malware à bleping computer pour analyse. Apparemment je doit copier un chemin qu'il me donne dans une case et de lancer. Cela est-il normal?

ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-30 22:02:30.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.164 [GMT 1:00]
Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\cfscript.txt
* Création d'un nouveau point de restauration

FILE
C:\Documents and Settings\GIGI et PHIL\cokmmp.exe
C:\found.000
C:\hkdjqaxv.exe
C:\tmp3137.exe
C:\upaq.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\WINDOWS\system32\fvelwow.sys
C:\WINDOWS\system32\jecsst.sys
C:\WINDOWS\system32\Machnm1.exe
C:\WINDOWS\system32\Machnm32.sys
C:\WINDOWS\system32\Machnm64.sys
C:\WINDOWS\vqlizudo.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\GIGI et PHIL\cokmmp.exe
C:\hkdjqaxv.exe
C:\tmp3137.exe
C:\upaq.exe
C:\WINDOWS\leunemdf
C:\WINDOWS\leunemdf\Thumbs.db
C:\WINDOWS\system32\drivers\srtwe.sys
C:\WINDOWS\system32\fvelwow.sys
C:\WINDOWS\system32\jecsst.sys
C:\WINDOWS\system32\Machnm1.exe
C:\WINDOWS\system32\Machnm32.sys
C:\WINDOWS\system32\Machnm64.sys
C:\WINDOWS\vqlizudo.exe
.
---- Previous Run -------
.
C:\WINDOWS\htssv32.exe

----- BITS: Possible sites infect‚s -----

hxxp://darcks.parfumstudio.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\astq

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.

2008-01-29 22:27 . 2008-01-29 22:27 <REP> d--hs---- C:\found.000
2008-01-27 18:54 . 2008-01-27 20:43 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-27 18:03 . 2008-01-27 18:03 <REP> d----c--- C:\Deckard
2008-01-27 10:36 . 2004-08-05 14:00 46,080 --a------ C:\WINDOWS\system32\dllcache\ftp.exe
2008-01-27 10:36 . 2004-08-05 14:00 17,920 --a------ C:\WINDOWS\system32\dllcache\tftp.exe
2008-01-27 10:35 . 2008-01-27 10:35 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe
2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\wnclmpkx.exe
2008-01-22 07:14 . 2008-01-22 07:14 89,607 --a------ C:\WINDOWS\system32\rxjddnvj.exe
2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\system32\118290.54
2008-01-19 19:34 . 2008-01-19 19:34 3,120 --a------ C:\WINDOWS\118294.78
2008-01-10 19:29 . 2008-01-10 19:29 <REP> d-------- C:\Program Files\iView Catalog Reader3
2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe
2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 21:08 --------- d-----w C:\Program Files\Symantec AntiVirus
2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp
2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp
2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57
2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-18 08:26 --------- d-----w C:\Program Files\eMule
2007-12-02 16:20 --------- d-----w C:\Program Files\Java
2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe
2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe
2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

((((((((((((((((((((((((((((( snapshot@2008-01-26_12.38.09.42 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-27 17:55:10 45,056 ----a-w C:\WINDOWS\BDOSCAN8\avxdisk.dll
+ 2008-01-27 17:55:11 10,240 ----a-w C:\WINDOWS\BDOSCAN8\avxs.dll
+ 2008-01-27 17:55:11 27,136 ----a-w C:\WINDOWS\BDOSCAN8\avxt.dll
+ 2008-01-27 17:55:17 181,760 ----a-w C:\WINDOWS\BDOSCAN8\bdcore.dll
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\BDOSCAN8\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\BDOSCAN8\ipsupd.dll
+ 2008-01-27 17:55:18 142,848 ----a-w C:\WINDOWS\BDOSCAN8\libfn.dll
+ 2008-01-27 17:55:12 86,016 ----a-w C:\WINDOWS\BDOSCAN8\librtvr.dll
+ 2008-01-09 14:01:48 118,784 ----a-w C:\WINDOWS\Downloaded Program Files\bdupd.dll
+ 2008-01-09 14:01:48 53,248 ----a-w C:\WINDOWS\Downloaded Program Files\ipsupd.dll
- 2008-01-26 11:25:43 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-01-30 21:01:44 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
- 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
+ 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
- 2008-01-26 11:25:44 557,056 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
+ 2008-01-30 21:01:44 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
- 2008-01-26 11:25:44 331,776 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
+ 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
- 2008-01-26 11:25:44 7,225,344 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
+ 2008-01-30 21:01:45 8,052,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
- 2008-01-26 11:25:44 737,280 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
+ 2008-01-30 21:01:45 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
+ 2008-01-24 08:01:35 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-01-30 06:09:22 8,052,736 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-01-30 06:09:22 1,576,960 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2008-01-24 08:01:35 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-01-27 09:35:30 8,032,256 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-01-27 09:35:30 1,576,960 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat
- 2008-01-26 11:35:35 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-01-30 06:06:16 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-01-30 06:06:16 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-01-26 11:35:35 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-30 06:06:16 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2004-08-03 23:55:02 25,088 ----a-w C:\WINDOWS\system32\dllcache\userinit.exe
- 2008-01-24 22:10:40 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
+ 2004-08-05 13:00:00 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
- 2008-01-24 22:10:40 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
+ 2004-08-05 13:00:00 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
- 2008-01-23 21:40:17 7,168 --sha-w C:\WINDOWS\system32\userinit.exe
+ 2004-08-03 23:55:02 25,088 ----a-w C:\WINDOWS\system32\userinit.exe
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg]
--a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S1 fvelwow;fvelwow;C:\WINDOWS\system32\fvelwow.sys []
S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05]
S1 nested;nested;C:\WINDOWS\system32\nested.sys []
S1 srtwe;srtwe;C:\WINDOWS\system32\drivers\srtwe.sys []
S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37]
S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-30 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 22:09:33
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
Temps d'accomplissement: 2008-01-30 22:11:52 - machine was rebooted [GIGI et PHIL]
ComboFix-quarantined-files.txt 2008-01-30 21:11:48
ComboFix2.txt 2008-01-26 13:03:34
ComboFix3.txt 2008-01-26 11:39:31
.
2008-01-09 18:03:15 --- E O F ---

Réponse 29 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 22:38

re,

fais ceci :

Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
http://sosvirus.changelog.fr/MSNFix.zip
Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
- Exécutez l'option R.
-- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

@+

Réponse 30 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
30 janv. 2008 à 22:46

Apparemment il y avait bien quelque chose!

MSNFix 1.648-1

C:\Documents and Settings\GIGI et PHIL\Bureau\MSNFix
Fix exécuté le 30/01/2008 - 22:42:52,67 By GIGI et PHIL
mode normal

************************ Recherche les fichiers présents

... C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\carlton

************************ Recherche les dossiers présents

... C:\Temp\

************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\ALLUSE~1\MENUDÉ~1\carlton

************************ Suppression des dossiers

/!\ ... C:\Temp\

************************ Nettoyage du registre

************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\ac3tools_install.exe] AF7FC69AA3B17ACF28D15C471B0D24EE

[color=#FF0000][b]==>/b/color SVP merci d'envoyer le fichier [b] C:\DOCUME~1\GIGIET~1\Bureau\Upload_Me.zip /b sur http://upload.changelog.fr

Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 30012008_22434620.zip

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

Réponse 31 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 23:05

re,

c´est pas ce que j´esperais y trouver...

tu as une liscence pour norton?

car il serait bien partique de pouvoir scanner avec un antivirus digne du nom...

genre remplacer norton par antivir... dis moi quoi...

Copie le texte ci-dessous :

File::
C:\WINDOWS\118294.78
C:\WINDOWS\system32\118290.54
C:\WINDOWS\wnclmpkx.exe
C:\WINDOWS\system32\rxjddnvj.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe
C:\WINDOWS\system32\fvelwow.sys
C:\WINDOWS\system32\nested.sys
C:\WINDOWS\system32\drivers\srtwe.sys

Driver::
fvelwow
nested
srtwe

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

@+

Réponse 32 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
30 janv. 2008 à 23:25

Voici le rapport combfix. Sinon, oui, j'ai Norton antivirus et je pensais que c'était pas mal comme protection puisque jusqu'à là je n'ai pas eu de problème!?
A+

ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-30 23:14:43.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.170 [GMT 1:00]
Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE
C:\WINDOWS\118294.78
C:\WINDOWS\system32\118290.54
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe
C:\WINDOWS\system32\drivers\srtwe.sys
C:\WINDOWS\system32\fvelwow.sys
C:\WINDOWS\system32\nested.sys
C:\WINDOWS\system32\rxjddnvj.exe
C:\WINDOWS\wnclmpkx.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\118294.78
C:\WINDOWS\system32\118290.54
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe
C:\WINDOWS\system32\rxjddnvj.exe
C:\WINDOWS\wnclmpkx.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\fvelwow

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-30 ))))))))))))))))))))))))))))))))))))
.

2008-01-29 22:27 . 2008-01-29 22:27 <REP> d--hs---- C:\found.000
2008-01-27 18:54 . 2008-01-27 20:43 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-27 18:03 . 2008-01-27 18:03 <REP> d----c--- C:\Deckard
2008-01-27 10:35 . 2008-01-27 10:35 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-23 22:40 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userini.exe
2008-01-10 19:29 . 2008-01-10 19:29 <REP> d-------- C:\Program Files\iView Catalog Reader3
2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe
2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 22:17 --------- d-----w C:\Program Files\Symantec AntiVirus
2008-01-26 11:59 98,304 ----a-w C:\WINDOWS\DUMP84c0.tmp
2008-01-25 06:20 98,304 ----a-w C:\WINDOWS\DUMP975e.tmp
2008-01-20 13:18 --------- d-----w C:\Program Files\MP3 Player Utilities 3.57
2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-18 08:26 --------- d-----w C:\Program Files\eMule
2007-12-02 16:20 --------- d-----w C:\Program Files\Java
2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe
2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe
2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

((((((((((((((((((((((((((((( snapshot_2008-01-30_22.11.30.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-30 21:01:44 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-01-30 22:14:37 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
- 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
+ 2008-01-30 22:14:37 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
- 2008-01-30 21:01:44 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
+ 2008-01-30 22:14:37 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
- 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
+ 2008-01-30 22:14:37 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
- 2008-01-30 21:01:45 8,052,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
+ 2008-01-30 22:14:37 8,060,928 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
- 2008-01-30 21:01:45 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
+ 2008-01-30 22:14:37 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg]
--a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05]
S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37]
S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-30 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-30 23:19:04
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
Temps d'accomplissement: 2008-01-30 23:21:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-30 22:21:45
ComboFix2.txt 2008-01-30 21:11:52
ComboFix3.txt 2008-01-26 13:03:34
ComboFix4.txt 2008-01-26 11:39:31
.
2008-01-09 18:03:15 --- E O F ---

Réponse 33 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 00:02

re,

Norton : est tu pret a t´en defaire?

ce n´est vraiment pas une protection efficace; tu peux en juger par ton infection actuelle ( peux tu me dire ce que tu as fais exactement pour te faire infecter de la sorte?)...

au faite qu´est devenu le fichier ntos.exe? il a été supprimé par sdfix?

petit a petit on va y arriver...

fais encore ceci avec combofix :

File::
C:\WINDOWS\system32\userini.exe
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\DUMP84c0.tmp
C:\WINDOWS\DUMP975e.tmp
C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$ BACKUP$\System\wmplayer.exe
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat

Folder::
C:\Program Files\aaw6181.exe
C:\Program Files\aaw6.exe
C:\Program Files\MP3 Player Utilities 3.57

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt5

S'il n'y a pas de rédémarrage, poste quand même le rapport.

@+

Réponse 34 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
31 janv. 2008 à 07:15

Salut,
Je ne suis pas plus attaché à Norton qu'à un autre autre antivirus. J'ai celui là car c'est ce que j'ai au boulot!
Quant à savoir ce que nous avons fait sur le micro pour l'infecter ainsi??? Les enfants l'utilisent pour MsN, ils jouent parfois en ligne, sinon nous surfons, enfin rien de spécial me semble-t-il! Tout ce qu'on fait avec un micro "familial!
Voici le rapport demandé

ComboFix 08-01-23.1C - GIGI et PHIL 2008-01-31 7:06:35.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.34.1036.18.237 [GMT 1:00]
Endroit: C:\Documents and Settings\GIGI et PHIL\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\GIGI et PHIL\Bureau\cfscript.txt
* Création d'un nouveau point de restauration

FILE
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\DUMP84c0.tmp
C:\WINDOWS\DUMP975e.tmp
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$ BACKUP$\System\wmplayer.exe
C:\WINDOWS\system32\userini.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\aaw6.exe\
C:\Program Files\aaw6181.exe\
C:\Program Files\MP3 Player Utilities 3.57
C:\Program Files\MP3 Player Utilities 3.57\AMVTools\tranmsg.txt
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\DUMP84c0.tmp
C:\WINDOWS\DUMP975e.tmp
C:\WINDOWS\system32\userini.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2007-12-28 to 2008-01-31 ))))))))))))))))))))))))))))))))))))
.

2008-01-29 22:27 . 2008-01-29 22:27 <REP> d--hs---- C:\found.000
2008-01-27 18:54 . 2008-01-27 20:43 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-01-27 18:03 . 2008-01-27 18:03 <REP> d----c--- C:\Deckard
2008-01-27 10:35 . 2008-01-27 10:35 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-26 12:25 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-10 19:29 . 2008-01-10 19:29 <REP> d-------- C:\Program Files\iView Catalog Reader3

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-30 22:19 --------- d-----w C:\Program Files\Symantec AntiVirus
2008-01-19 19:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-18 08:26 --------- d-----w C:\Program Files\eMule
2007-12-02 16:20 --------- d-----w C:\Program Files\Java
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:28 728,576 ------w C:\WINDOWS\system32\dllcache\lsasrv.dll
2007-11-02 16:31 701,440 ---h--w C:\WINDOWS\system32\wodfamoh.dll
2007-10-30 23:23 3,590,656 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-30 17:20 360,064 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:43 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:56 8,510,976 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-10 23:49 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-10-10 23:49 824,832 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:49 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:49 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-10 23:49 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-10 23:49 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-10 23:49 478,208 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:49 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-10 23:49 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:49 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:49 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-10 23:49 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:49 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-10 23:49 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:49 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:49 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:49 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:49 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:49 132,608 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:49 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:49 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:49 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:49 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 11:00 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 11:00 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-10 05:46 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2006-04-25 17:00 1,694,551 -c--a-w C:\Program Files\aaw6181.exe
2006-04-23 10:55 1,760,378 -c--a-w C:\Program Files\aaw6.exe
2004-08-05 13:00 73,728 -csha-w C:\WINDOWS\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

((((((((((((((((((((((((((((( snapshot_2008-01-30_22.11.30.12 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-30 21:01:44 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-01-31 06:06:11 1,429,504 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000001\NTUSER.DAT
- 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
+ 2008-01-31 06:06:11 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000002\UsrClass.dat
- 2008-01-30 21:01:44 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
+ 2008-01-31 06:06:11 1,425,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000003\NTUSER.DAT
- 2008-01-30 21:01:44 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
+ 2008-01-31 06:06:11 1,200,128 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000004\UsrClass.dat
- 2008-01-30 21:01:45 8,052,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
+ 2008-01-31 06:06:12 8,060,928 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000005\NTUSER.DAT
- 2008-01-30 21:01:45 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
+ 2008-01-31 06:06:12 1,576,960 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\[u]0/u0000006\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 15:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 21:10 339968]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 10:31 24576]
"ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2004-08-20 15:09 66680]
"vptray"="C:\PROGRA~1\SYMANT~1\VPTray.exe" [2004-11-24 10:27 161496]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 15:06 406016]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-02-03 07:35 180269]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [2004-03-26 15:26 54384]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage d'Office.lnk - C:\Program Files\microsoft office\Office\OSA.EXE [1997-08-29 51984]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696]
Microsoft Recherche acc‚l‚r‚e.lnk - C:\Program Files\microsoft office\Office\FINDFAST.EXE [1997-08-29 111376]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HdReg]
--a--c--- 2004-08-09 18:45 24576 C:\APPS\HDREG\HDREGAPP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-05 14:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2004-10-08 03:14 81920 c:\Apps\Powercinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-05 14:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05]
S2 Ca533av;Polaroid Digital Cam Video;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-21 11:37]
S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05]
S3 USBCamera;Icatch(IV) Still Camera Device;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-07-25 11:19]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-01-30 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job"
- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-31 07:09:22
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-01-31 7:09:59
ComboFix-quarantined-files.txt 2008-01-31 06:09:51
ComboFix2.txt 2008-01-30 22:21:50
ComboFix3.txt 2008-01-30 21:11:52
ComboFix4.txt 2008-01-26 13:03:34
ComboFix5.txt 2008-01-26 11:39:31
.
2008-01-09 18:03:15 --- E O F ---

Réponse 35 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
31 janv. 2008 à 07:21

Re, Dans le message précédent j'ai oublé de te répondre pour ntos.exe.
Lorsque je suis parvenu à redémarrer sans échec le matin, il ne paraissait plus dans la liste des processus actif, donc je n'ai pas eu à le terminer. Comme j'ai fait tourner sdfix ensuite, il se peut qu'il ait été éliminé!!???
A+

Réponse 36 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 15:32

salut nfren,

ok pour ntos.exe.

pour la suite,on va desinstaller norton :

Desinstalleur Norton:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

puis instales :

par feu : kerio

http://www.malekal.com/kerio_firewall.php#mozTocId721480

https://www.vulgarisation-informatique.com/kerio.php

https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

ou zone alarm plus facil a configurer mais moins performant

https://www.malekal.com/tutoriel-zonealarm-firewall/

et

Telecharge et instal l'antivirus Antivir Personal Edition Classic :

->https://www.malekal.com/avira-free-security-antivirus-gratuit/

https://www.avira.com/en/prime

http://mickael.barroux.free.fr/securite/antivir.php
http://speedweb1.free.fr/frames2.php?page=tuto5
<- tutoriel configuration du scanner...

une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
puis sur la droite coche les case suivantes :
scan boot sectors of selected drives
scan master boot sectors
scan memory
search foe rootkit before scan
decoche :
ignore off line files
toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

et performe un scan complet a l´aide d´antivir avec les reglages stipulés ci dessus et post le rapport ici

ajoute aussi cet antispyware resident :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/question-spywareblaser-sujet_174747_1.htm

post le rapport d´antivir stp

@+

Réponse 37 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
31 janv. 2008 à 22:09

Salut,
J'ai essayé de faire le plus rapidement possible tout ce que tu m'a proposé, mais y'en avait!! Je ne suis pas encore au top pour le pare feu, car il m'envoie sans cesse des message quand je lance une application pour savoir si j'accepte le lancement. Il y en a pour lesquelles je n'ai pas de doute, mais notamment au démarrage de windows je suis incapable de dire si je doit accepter ou pas le lancement! Mais il faut que je prenne le temps de lire le tutoriel!
Voici le scan d'antivir
A+

AntiVir PersonalEdition Classic
Report file date: jeudi 31 janvier 2008 21:48

Scanning for 835736 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: GIGI et PHIL
Computer name: Ordinateur

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/07 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/07 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/07 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/07 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/07 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/07 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/07 14:26:55
ANTIVIR2.VDF : 7.0.0.1 2048 Bytes 13/09/07 14:27:04
ANTIVIR3.VDF : 7.0.0.2 2048 Bytes 13/09/07 14:27:13
AVEWIN32.DLL : 7.6.0.15 2806272 Bytes 17/09/07 17:43:56
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/07 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/07 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/07 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/07 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/07 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/07 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/07 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/07 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/07 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/07 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/07 09:37:21

Configuration settings for the scan:
Jobname..........................: Rootkit search
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp
Logging..........................: high
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Scan memory......................: off
Process scan.....................: off
Scan registry....................: off
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high
Expanded search settings.........: 0x00300922

Start of the scan: jeudi 31 janvier 2008 21:48

Starting search for hidden objects.
'503485' objects were checked, '0' hidden objects were found.

End of the scan: jeudi 31 janvier 2008 21:52
Used time: 04:30 min

The scan has been done completely.

0 Scanning directories
0 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
0 Files cannot be scanned
0 Files not concerned
0 Archives were scanned
0 Warnings
0 Notes
503485 Objects were scanned with rootkit scan
0 Hidden objects were found

Réponse 38 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 22:47

re,

bon ca a l´air d´etre ok en tout cas au yeux d´antivir.

pour kerio, oui faut se familiariser au lancement des programmes comme tu dis...

dis moi lequels te posent probleme?

peux tu faire encore ceci :

Redémarre en mode sans échec et effectue ce scan :

A.V.G :

-> Télécharger AVG Anti-Spyware (ewido)

http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware

-> L´installer.

-> lancer AVG Anti-Spyware et clicker sur le bouton Mise à jour. Patienter...

p.s : si les mises a jours ne se font pas, elles sont telechargable ici :

http://downloads.ewido.net/avgas-signatures-full-current.exe

-> Sur la page "analyse":

choisir d´abord l'onglet "paramètres".

sous « Comment réagir » clicker sur « Actions recommandées » et dans le menu déroulant, choisir « Supprimer ».

-> Lancer le scan, (c´est long...).

-> A la fin du scan copier Et coller le rapport ici.

-> Une aide en image au cas ou :

Tutoriel d´installation et de parametrages :

http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

note : supprime tout ce qu´il trouve a la fin et post le rapport ici

@+

Réponse 39 / 54

nfren Messages postés 27 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 28 mars 2013
1 févr. 2008 à 18:24

Salut,
J'ai fais tourner AVG et il n'a rien trouvé!
Une question: pourquoi le faire tourner en mode sans échec plutot qu'en mode normal?
Sinon, penses-tu que mes problèmes sont résolus!!?:-b

Réponse 40 / 54

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
1 févr. 2008 à 19:57

salut nfren,

en mode sans echec avg peux a sa guise supprimer les fichiers infectés si il en trouve car il ne sont pas utilisés a ce moment la...

de mon coté ca me parait ok...

si tu veux, tu reviens me dire que du tient tout est ok d´ici quelques jours, ok?!

@+

Comment me défaire de win32.Agent.pz

54 réponses

Discussions similaires

Newsletters