Sujet Précédent Sujet Suivant

Infecté par Trat-BHO, besoin d'aide

philou_asse Messages postés 5 Statut Membre -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour, je suis à mon tour infecté par un (des ?) troyen(s).

Comment puis je m'en débarrasser?

Merci,

12 réponses

Réponse 1 / 12
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
télécharge et installe le logiciel HijackThis
https://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
0
Réponse 2 / 12
philou_asse Messages postés 5 Statut Membre
 
Merci,

J'ai passé HijackThis, voici le rapport:

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\pbochard\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3218FD53-7A73-4EB4-90A3-051717F52C3D} - C:\WINDOWS\system32\ddcca.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ToUcamVProperty] C:\Program Files\Philips ToUcam Camera\VProperty.exe
O4 - HKLM\..\Run: [Windows Audio Components] nncsvc.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\pbochard\LOCALS~1\Temp\IXP000.TMP\"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [LDM] C:\Documents and Settings\pbochard\Mes documents\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Documents and Settings\pbochard\Mes documents\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\npjpi160_03.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Documents and Settings\pbochard\Mes documents\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 3 / 12
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
il est incomplet ce rapport
0
Réponse 4 / 12
philou_asse Messages postés 5 Statut Membre
 
Tu as raison, il manque le début:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:23:27, on 10/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:

et la fin:

End of file - 8910 bytes

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
tu es sur qu'il n'y a pas plus de running process? c'est peu
enfin...

Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
clic double sur VundoFix.exe afin de le lancer
clic sur le bouton Scan for Vundo
Lorsque le scan est complété, clic sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clic YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer;
clic OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci haut, à partir de "clic sur le bouton Scan for Vundo".
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
0
Réponse 6 / 12
philou_asse Messages postés 5 Statut Membre
 
Je m'étonne d'ailleurs que le début du rapport fasse allusion à IE.6, car j'utilise Firefox
0
Réponse 7 / 12
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
normal, il indique la version de IE présente sur ton PC
0
Réponse 8 / 12
philou_asse
 
Salut,
J'ai eu beaucoup de problème au redémarrage car l'antivirus c'est remis en marche.
J'ai pu récupérer le rapport, en espérant qu'il ne soit pas obsolète.

Si je dois le re-générer, explique moi comment retirer l'antivirus sur un redémarrage, s'il te plait .

Voici le rapport:

ComboFix 08-02.05.3 - pbochard 2008-02-10 19:00:02.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1648 [GMT 1:00]
Endroit: C:\Documents and Settings\pbochard\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-10 to 2008-02-10 ))))))))))))))))))))))))))))))))))))
.

2008-02-10 18:45 . 2008-02-10 18:45 <REP> d-------- C:\VundoFix Backups
2008-02-10 17:18 . 2008-02-10 17:16 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-10 17:18 . 2008-02-10 17:18 3,454 --a------ C:\WINDOWS\unins000.dat
2008-02-10 17:13 . 2008-02-10 17:21 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-10 17:13 . 2008-02-10 17:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-10 17:10 . 2008-02-10 17:10 <REP> d-------- C:\Program Files\Avira
2008-02-10 17:10 . 2008-02-10 17:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-10 15:28 . 2004-08-19 17:09 400,896 --a------ C:\kmd.exe
2008-02-07 21:49 . 2008-02-07 21:49 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-02-06 22:15 . 2008-02-06 23:44 <REP> d-------- C:\Program Files\CleanUp!
2008-02-06 22:05 . 2008-02-06 23:44 <REP> d-------- C:\Program Files\Trend Micro
2008-02-06 21:02 . 2008-02-07 21:42 <REP> d-------- C:\Program Files\Navilog1
2008-02-06 20:57 . 2008-02-06 20:57 <REP> d-------- C:\Program Files\Fichiers communs\LibreSystem
2008-02-06 20:57 . 2008-02-06 20:57 <REP> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
2008-02-06 20:57 . 2008-02-06 20:57 <REP> dr------- C:\Documents and Settings\All Users\Application Data\libresystem
2008-02-06 20:55 . 2008-02-06 20:55 260,632 --a------ C:\Documents and Settings\pbochard\Application Data\setup_fr[1].exe
2008-02-04 23:31 . 2008-02-04 23:31 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-04 23:31 . 2008-02-04 23:31 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-30 12:50 . 2008-01-30 09:25 77,824 -r-hs---- C:\WINDOWS\system32\nncsvc.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-10 16:01 --------- d-----w C:\Program Files\Java
2008-02-06 22:43 6,144 --sha-w C:\Program Files\Thumbs.db
2008-02-06 22:21 --------- d-----w C:\Program Files\DVD Shrink
2008-02-06 22:19 --------- d-----w C:\Program Files\FileZilla
2008-02-06 20:48 8,192 --sha-w C:\Program Files\Fichiers communs\Thumbs.db
2008-02-06 20:48 --------- d-----w C:\Program Files\Yahoo!
2008-02-06 20:48 --------- d-----w C:\Program Files\Wanadoo
2008-02-06 20:48 --------- d-----w C:\Program Files\VSO
2008-02-06 20:48 --------- d-----w C:\Program Files\VideoLink Mail
2008-02-06 20:48 --------- d-----w C:\Program Files\VideoLAN
2008-02-06 20:48 --------- d-----w C:\Program Files\uTorrent
2008-02-06 20:48 --------- d-----w C:\Program Files\Ulead Systems
2008-02-06 20:48 --------- d-----w C:\Program Files\Services en ligne
2008-02-06 20:48 --------- d-----w C:\Program Files\Everest Poker
2008-02-06 18:59 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-01-21 07:59 --------- d-----w C:\Program Files\AvRack
2008-01-15 07:34 --------- d-----w C:\Documents and Settings\pbochard\Application Data\uTorrent
2008-01-09 19:52 --------- d-----w C:\Program Files\Philips ToUcam Camera
2007-12-20 20:21 --------- d-----w C:\Program Files\DivX
2007-12-19 19:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\LogiShrd
2007-12-19 18:55 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-19 18:55 --------- d-----w C:\Program Files\Fichiers communs\Logitech
2007-12-19 18:55 --------- d-----w C:\Program Files\Fichiers communs\Logishrd
2007-12-19 18:55 --------- d-----w C:\Documents and Settings\pbochard\Application Data\InstallShield
2007-01-16 21:10 162 ----a-w C:\Program Files\INSTALL.LOG
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3218FD53-7A73-4EB4-90A3-051717F52C3D}]
C:\WINDOWS\system32\ddcca.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]
"LClock"="lclock.exe" [2004-12-08 17:06 65536 C:\WINDOWS\LClock.exe]
"LDM"="C:\Documents and Settings\pbochard\Mes documents\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-13 20:15 67128]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-24 22:23 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 10:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 09:50 4620288]
"nwiz"="nwiz.exe" [2004-10-29 09:50 921600 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 09:50 86016]
"OpwareSE2"="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 10:00 49152]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2006-02-23 15:45 278528]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2006-03-23 16:06 1398272]
"mmtask"="C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 12:12 53248]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-06 09:51 282624]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 23:46 57344]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"ToUcamVProperty"="C:\Program Files\Philips ToUcam Camera\VProperty.exe" [2001-11-28 13:50 118784]
"Windows Audio Components"="nncsvc.exe" [2008-01-30 09:25 77824 C:\WINDOWS\system32\nncsvc.exe]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-10 17:11 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 17:09 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"LSD_III"="C:\WINDOWS\LSD\end.cmd" [2005-07-14 16:39 2310]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 16:52 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMBalloonTip"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{9DB30F1E-538B-4395-9E49-37C1429AB459}"= C:\WINDOWS\system32\wvutuut.dll [ ]
"{23D44BCF-AA7A-41D6-8905-E808F16322EF}"= C:\WINDOWS\system32\byxutst.dll [2008-02-10 19:08 40448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutst]
byxutst.dll 2008-02-10 19:08 40448 C:\WINDOWS\system32\byxutst.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-29 23:53]
R3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2006-06-13 21:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{674b8fed-de28-11db-a23d-000fea2bd655}]
\Shell\AutoRun\command - G:\autorun.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-10 19:08:01
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ToUcamVProperty = C:\Program Files\Philips ToUcam Camera\VProperty.exe??U?c?a?m? ?C?a?m?e?r?a?\?V?P?r?o?p?e?r?t?y?.?e?x?e???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\byxutst.dll

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2527]
-> C:\WINDOWS\LC.dll
-> C:\WINDOWS\system32\byxutst.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-10 19:09:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-10 18:09:15
ComboFix2.txt 2008-02-10 14:32:59
ComboFix3.txt 2008-02-06 21:02:56
0
Réponse 9 / 12
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
c'est bon
rapport en examen
0
Réponse 10 / 12
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
on continue
Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-note) et copie-colle le texte en citation : 
Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3218FD53-7A73-4EB4-90A3-051717F52C3D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Windows Audio Components"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{9DB30F1E-538B-4395-9E49-37C1429AB459}"=-
"{23D44BCF-AA7A-41D6-8905-E808F16322EF}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxutst]

Folder::

C:\VundoFix Backups
C:\Program Files\Fichiers communs\LibreSystem 
C:\Documents and Settings\All Users\Application Data\SalesMon 
C:\Documents and Settings\All Users\Application Data\libresystem 

Files::

C:\WINDOWS\system32\VundoFixSVC.exe
C:\Documents and Settings\pbochard\Application Data\setup_fr[1].exe
C:\WINDOWS\system32\nncsvc.exe
C:\WINDOWS\system32\byxutst.dll
C:\WINDOWS\system32\wvutuut.dll
C:\WINDOWS\system32\byxutst.dll


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

http://img115.imageshack.us/img115/6742/cfscriptws3.gif

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
poste aussi un rapport hijack this
0
Réponse 11 / 12
philou_asse Messages postés 5 Statut Membre
 
Merci pour ton aide, mais hélas cette dernière opération n'a pas fonctionné.

Le scan ne s'est jamais terminé, bloqué sur une de ces fameuse fenêtre bleue.

Après plus d'une heure trente ( alors qu'il parlait de 10 minutes environ), j'ai tenté de redemmaré et cela n'a pas fonctionné, même en mode sans echec.

Je pense qu'il ne me reste plus qu'à formater mon C et réinstallé le tout

Encore merci pour le ptemps que vous avez passé à m'aider, même si pour cette fos il n'y a pas eu le résultat espéré.

Cordialement.
0
Réponse 12 / 12
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
ne peux tu tenter une réparation avec ton cd de XP?
https://www.pcastuces.com/pratique/windows/xp/default.htm
0

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
simon
sisititi -
azert1313 -

1 réponse
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses
Infecté ?
rifigames -
rifigames -

6 réponses