Virus persistant
Résolu/Fermé
maroche
Messages postés
35
Date d'inscription
dimanche 11 novembre 2007
Statut
Membre
Dernière intervention
5 octobre 2016
-
27 janv. 2008 à 08:48
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 28 janv. 2008 à 21:10
jfkpresident Messages postés 13404 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 28 janv. 2008 à 21:10
A voir également:
- Virus persistant
- Svchost.exe virus - Guide
- Faux message virus iphone - Forum iPhone
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
11 réponses
maroche
Messages postés
35
Date d'inscription
dimanche 11 novembre 2007
Statut
Membre
Dernière intervention
5 octobre 2016
1
28 janv. 2008 à 10:05
28 janv. 2008 à 10:05
Search Navipromo version 3.4.2 commencé le 07/09/2007 à 9:59:29,07
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\local settings\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
C:\WINDOWS\system32\qpqss.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\edeeg.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\qpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\yyadd.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\edeeg.bak2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\qpqss.bak2 trouvé ! infection Vundo possible non traitée par cet outil !
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 27.01.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\local settings\application data" ***
*** Recherche dossiers dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\MENUDM~1\PROGRA~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1.WIN\MENUDM~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\local settings\application data" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\marie.MARIE-C45D5C3CF\local settings\application data" :
3)Recherche Certificats :
Certificat Egroup absent !
4)Recherche fichiers connus :
C:\WINDOWS\system32\qpqss.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\edeeg.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\qpqss.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\yyadd.bak1 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\edeeg.bak2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\qpqss.bak2 trouvé ! infection Vundo possible non traitée par cet outil !
jfkpresident
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
28 janv. 2008 à 21:10
28 janv. 2008 à 21:10
salut maroche,
oubli le post 10....j'ai répondu un peu rapidement sans revoir entierement le post !!>>>que je sois damné !!
Télécharge OTMoveIt de OldTimer ici: http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
* Enregistre le sur ton Bureau.
* Double-Clique sur OTMoveIt.exe pour le lancer.
* Copie les emplacement suivantset copie les dans la partie Paste List of File/Folder to be moved chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
C:\WINDOWS\system32\qpqss.ini2
C:\WINDOWS\system32\edeeg.bak1
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\yyadd.bak1
C:\WINDOWS\system32\edeeg.bak2
C:\WINDOWS\system32\qpqss.bak2
* Clique sur le bouton rouge Moveit!.
* Ferme OTMoveIt.
Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
Poste le rapport de OTMoveIT qui se trouvera à cet emplacement : C:\_OTMoveIt\MovedFiles
ensuite:
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :C:\WINDOWS\system32\drivers\fidbox.dat
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
oubli le post 10....j'ai répondu un peu rapidement sans revoir entierement le post !!>>>que je sois damné !!
Télécharge OTMoveIt de OldTimer ici: http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
* Enregistre le sur ton Bureau.
* Double-Clique sur OTMoveIt.exe pour le lancer.
* Copie les emplacement suivantset copie les dans la partie Paste List of File/Folder to be moved chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
C:\WINDOWS\system32\qpqss.ini2
C:\WINDOWS\system32\edeeg.bak1
C:\WINDOWS\system32\qpqss.bak1
C:\WINDOWS\system32\yyadd.bak1
C:\WINDOWS\system32\edeeg.bak2
C:\WINDOWS\system32\qpqss.bak2
* Clique sur le bouton rouge Moveit!.
* Ferme OTMoveIt.
Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.
Poste le rapport de OTMoveIT qui se trouvera à cet emplacement : C:\_OTMoveIt\MovedFiles
ensuite:
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :C:\WINDOWS\system32\drivers\fidbox.dat
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
crusade45
Messages postés
241
Date d'inscription
samedi 12 janvier 2008
Statut
Membre
Dernière intervention
9 avril 2012
38
27 janv. 2008 à 09:21
27 janv. 2008 à 09:21
bonjour,
as tu essayer le démarage sans echec?
as tu essayer le démarage sans echec?
jfkpresident
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 janv. 2008 à 09:25
27 janv. 2008 à 09:25
salut,
Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
* Télécharge VirtumundoBeGone sur ton bureau .
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le scan est terminé, enregistre le rapport.
* Copie/Colle le ici
Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
* Télécharge VirtumundoBeGone sur ton bureau .
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le scan est terminé, enregistre le rapport.
* Copie/Colle le ici
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
curagio
Messages postés
400
Date d'inscription
vendredi 14 décembre 2007
Statut
Membre
Dernière intervention
2 février 2008
9
27 janv. 2008 à 10:26
27 janv. 2008 à 10:26
bonjour jfkpresident , maroche
pour suivre ;)
pour suivre ;)
maroche
Messages postés
35
Date d'inscription
dimanche 11 novembre 2007
Statut
Membre
Dernière intervention
5 octobre 2016
1
27 janv. 2008 à 10:47
27 janv. 2008 à 10:47
J'ai déjà fait le scan de vundoifix à plusoeurs reprises en moe sans echec, au moment de supprimer le dit fichier yaywwxy.dll, ça me génère un arret du systeme et le fichier ne se supprime pas je n'arrive pas à m'en débarasser, j'ai déjà lu de nombreux post en suivant les différents conseils prodigués mais il est toujours là...
jfkpresident
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 janv. 2008 à 10:50
27 janv. 2008 à 10:50
tu vas faire ceci :
télécharge combofix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
télécharge combofix ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
maroche
Messages postés
35
Date d'inscription
dimanche 11 novembre 2007
Statut
Membre
Dernière intervention
5 octobre 2016
1
27 janv. 2008 à 14:50
27 janv. 2008 à 14:50
ComboFix 08-01-23.1C - marie 2007-09-12 11:06:13.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.611 [GMT 2:00]
Endroit: C:\Documents and Settings\marie.MARIE-C45D5C3CF\Bureau\ComboFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\check_LSA7.txt
C:\Documents and Settings\marie\Application Data\MessengerSkinner
C:\Documents and Settings\marie\Application Data\MessengerSkinner\Userdata\defaultPack.cab
C:\Documents and Settings\marie\Application Data\MessengerSkinner\Userdata\languages.xml
C:\Documents and Settings\marie\Application Data\MessengerSkinner\Userdata\pack1.cab
C:\WINDOWS\cookies.ini
C:\WINDOWS\crosof~1.net
C:\WINDOWS\crosof~1.net\??crosoft.NET\
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\yaywwxy.dll
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
((((((((((((((((((((((((((((( Fichiers créés 2007-12-23 to 2008-01-23 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-23 10:17 470,582 ----a-w C:\WINDOWS\system32\PerfStringBackup.TMP
2007-12-13 17:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 17:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2007-12-13 17:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2007-12-13 17:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-12-13 17:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-12-13 17:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 07:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-23 15:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
2007-09-11 18:22 2,984,960 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-09-11 18:22 1,366,528 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-09-10 18:07 1,938,432 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-09-10 18:07 1,351,168 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-09-09 11:13 2,949,632 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-09-09 11:13 1,349,120 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-09-11 15:14 6,522 --sh--w C:\WINDOWS\system32\edeeg.bak1
2007-09-11 17:50 237,706 --sh--w C:\WINDOWS\system32\edeeg.bak2
2007-09-02 19:03 248,633 --sh--w C:\WINDOWS\system32\qpqss.bak1
2007-09-03 14:45 250,407 --sh--w C:\WINDOWS\system32\qpqss.bak2
2007-09-03 19:48 257,378 --sh--w C:\WINDOWS\system32\qpqss.ini2
2007-09-11 16:34 6,523 --sh--w C:\WINDOWS\system32\yyadd.bak1
2007-09-12 09:00 3,321,888 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A20C22C0-1C72-49DF-80D8-D393CD7DE095}]
C:\WINDOWS\system32\geede.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 10:34 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 18:03 152872]
"Packard Bell Data Secure"="C:\Program Files\Packard Bell Data Secure\PBDataSecure.exe" [ ]
"uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2007-09-09 12:33 219952]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46 1460560]
"eMuleAutoStart"="E:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"SecurDisc"="C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 07:47 1629480]
"InCD"="C:\Program Files\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 07:47 1057064]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 110592 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"Nod32 Service"="ntmlrs.exe" []
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 18:27 919016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-11 19:16 249896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjgfcd]
ljjgfcd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzwr32]
winzwr32.dll
R3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 23:04]
R3 WUSB54GPV4SRV;Linksys Home Wireless-G USB Adaptor Driver;C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2005-01-07 16:05]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\wd_windows_tools\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b26f7288-6763-11dc-a80b-00121781a523}]
\Shell\AutoRun\command - dwodoxyz.exe
\Shell\explore\Command - dwodoxyz.exe
\Shell\open\Command - dwodoxyz.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-23 11:16:43
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-01-23 11:25:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-23 10:24:52
.
2007-09-09 01:03:31 --- E O F ---
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.611 [GMT 2:00]
Endroit: C:\Documents and Settings\marie.MARIE-C45D5C3CF\Bureau\ComboFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\check_LSA7.txt
C:\Documents and Settings\marie\Application Data\MessengerSkinner
C:\Documents and Settings\marie\Application Data\MessengerSkinner\Userdata\defaultPack.cab
C:\Documents and Settings\marie\Application Data\MessengerSkinner\Userdata\languages.xml
C:\Documents and Settings\marie\Application Data\MessengerSkinner\Userdata\pack1.cab
C:\WINDOWS\cookies.ini
C:\WINDOWS\crosof~1.net
C:\WINDOWS\crosof~1.net\??crosoft.NET\
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\yaywwxy.dll
D:\Autorun.inf
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
((((((((((((((((((((((((((((( Fichiers créés 2007-12-23 to 2008-01-23 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier créé dans cet espace de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-23 10:17 470,582 ----a-w C:\WINDOWS\system32\PerfStringBackup.TMP
2007-12-13 17:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2007-12-13 17:27 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2007-12-13 17:27 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2007-12-13 17:27 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2007-12-13 17:27 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2007-12-13 17:27 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2007-11-07 09:28 728,576 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:43 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 07:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-23 15:49 586,752 ----a-w C:\WINDOWS\WLXPGSS.SCR
2007-09-11 18:22 2,984,960 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-09-11 18:22 1,366,528 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-09-10 18:07 1,938,432 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-09-10 18:07 1,351,168 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-09-09 11:13 2,949,632 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-09-09 11:13 1,349,120 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-09-11 15:14 6,522 --sh--w C:\WINDOWS\system32\edeeg.bak1
2007-09-11 17:50 237,706 --sh--w C:\WINDOWS\system32\edeeg.bak2
2007-09-02 19:03 248,633 --sh--w C:\WINDOWS\system32\qpqss.bak1
2007-09-03 14:45 250,407 --sh--w C:\WINDOWS\system32\qpqss.bak2
2007-09-03 19:48 257,378 --sh--w C:\WINDOWS\system32\qpqss.ini2
2007-09-11 16:34 6,523 --sh--w C:\WINDOWS\system32\yyadd.bak1
2007-09-12 09:00 3,321,888 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A20C22C0-1C72-49DF-80D8-D393CD7DE095}]
C:\WINDOWS\system32\geede.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:54 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 10:34 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 18:03 152872]
"Packard Bell Data Secure"="C:\Program Files\Packard Bell Data Secure\PBDataSecure.exe" [ ]
"uTorrent"="C:\Program Files\uTorrent\uTorrent.exe" [2007-09-09 12:33 219952]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46 1460560]
"eMuleAutoStart"="E:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"SecurDisc"="C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe" [2007-06-25 07:47 1629480]
"InCD"="C:\Program Files\Nero\Nero 7\InCD\InCD.exe" [2007-06-25 07:47 1057064]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:55 110592 C:\WINDOWS\system32\bthprops.cpl]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"Nod32 Service"="ntmlrs.exe" []
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 18:27 919016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-09-11 19:16 249896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:54 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljjgfcd]
ljjgfcd.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzwr32]
winzwr32.dll
R3 Camdrv30;Philips ToUcam XS;C:\WINDOWS\system32\Drivers\camdrv30.sys [2001-08-17 23:04]
R3 WUSB54GPV4SRV;Linksys Home Wireless-G USB Adaptor Driver;C:\WINDOWS\system32\DRIVERS\rt2500usb.sys [2005-01-07 16:05]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\wd_windows_tools\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b26f7288-6763-11dc-a80b-00121781a523}]
\Shell\AutoRun\command - dwodoxyz.exe
\Shell\explore\Command - dwodoxyz.exe
\Shell\open\Command - dwodoxyz.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-23 11:16:43
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-01-23 11:25:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-23 10:24:52
.
2007-09-09 01:03:31 --- E O F ---
jfkpresident
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
27 janv. 2008 à 16:51
27 janv. 2008 à 16:51
le fichier a bien été supprimé
la suite :
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.
Choisis Enregistrer
et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
la suite :
Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
pour télécharger navilog1.exe.
Choisis Enregistrer
et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité du rapport dans ta réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
jfkpresident
Messages postés
13404
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
28 janv. 2008 à 16:57
28 janv. 2008 à 16:57
re,
Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
* Télécharge VirtumundoBeGone sur ton bureau .
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le scan est terminé, enregistre le rapport.
* Copie/Colle le ici
Télécharger Vundofix.exe (par Atribune) sur votre Bureau : http://www.atribune.org/ccount/click.php?id=4
* Double-cliquer sur VundoFix.exe afin de le lancer.
* Cliquer sur le bouton Scan for Vundo.
* Lorsque le scan est complété, cliquer sur le bouton Remove Vundo.
* Une invite de commande demandera si l’on souhaite supprimer les fichiers, cliquer sur YES
* Après avoir cliqué "YES", le Bureau disparaîtra un moment lors de la suppression des fichiers.
* Une nouvelle invite de commande annoncera que le PC devra s'éteindre ("shutdown"). Cliquer sur OK , puis laisser le redémarrer.
* Le contenu du rapport est situé dans C:\vundofix.txt, poste le stp
* Télécharge VirtumundoBeGone sur ton bureau .
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
* double-clic sur VirtumundoBeGone.exe
* Suis les instructions à l'écran
* Quand le scan est terminé, enregistre le rapport.
* Copie/Colle le ici