Sujet Précédent Sujet Suivant

Trojan TR/Vundo.Gen dans system32 help !!!

Résolu
Misss -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour,
J'ai vraiment besoin d'aide, je ne sais pas comment m'en sortir. J'ai Antivir et toutes les 30 secondes il me met une détection toujours de ce même cheval de Troie dans system32 mais dans différents fichiers (avec plein de lettres dans leur nom !). J'ai beau les mettre en quarantaine ils reviennent toujours. J'en suis venue au point de désactiver mon anti-virus pour pouvoir faire quelque chose sur mon PC.
Aider moi svp !

Dites moi quoi faire!

Mercu d'avance.

25 réponses

  • 1
  • 2
Réponse 1 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
désactiver ton antivirus n'est pas vraiment la bonne solution!!
demander de l'aide ici oui!! lol !!!
télécharge et installe le logiciel HijackThis
https://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Télécharge VundoFix.exe (par Atribune) sur ton Bureau
http://www.atribune.org/ccount/click.php?id=4
clic double sur VundoFix.exe afin de le lancer
clic sur le bouton Scan for Vundo
Lorsque le scan est complété, clic sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clic YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer;
clic OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci haut, à partir de "clic sur le bouton Scan for Vundo".
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis dans ta prochaine réponse

3
Misss
 
merci beaucoup de me répondre !
Je suis en train de faire le scan avec VundoFix.
C'est normal que ce soit assez long ?
0
Réponse 2 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
si toujours pas fini
laisse tomber
Télécharge combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
désactive ton antivirus, antispyware, et Spybot (résident) durant l'utilisation de ComboFix . Merci. Tu réactives ensuite.
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
NOTE : Le rapport se trouve également ici : C:\Combofix.txt

1
misss
 
je télécharge combofix alors. ça s'est finalement terminé mais ça ne m'a trouvé qu'un fichier infecté alors qu'il y en a plusieurs.
je vous dit ce que ça donne avec combofix.
Merci encore
0
Réponse 3 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
cela peut durer quelques minutes pas 2 heures!
0
Réponse 4 / 25
Misss
 
d'accord. Là ça fait presque 20 minutes. C'est toujours normal ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
poste tout de même le rapport vundofix, je veux savoir ce qu'il a trouvé et fait...
0
Réponse 6 / 25
misss
 
undoFix V6.7.10

Checking Java version...

Scan started at 09:27:40 29/02/2008

Listing files found while scanning....

C:\WINDOWS\system32\mljijkj.dll

Beginning removal...

Performing Repairs to the registry.
Done!
0
Réponse 7 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
ok
j'attends Combofix maintenant...il devrait faire pas mal de ménage!
0
misss
 
Voila le rapport, par contre je l'ai fait deux fois parce que j'ai pas assez attendu pour le rapport la 1ère fois (je croyais que ça avait buggé !!!)

ComboFix 08-02-25.3 - Administrateur 2008-02-29 11:07:41.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.173 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\exgrefue.ini
C:\WINDOWS\system32\glersiqn.ini
C:\WINDOWS\system32\jrpjatgo.ini
C:\WINDOWS\system32\mexjvsrg.ini
C:\WINDOWS\system32\mlnmp.ini
C:\WINDOWS\system32\mlnmp.ini2
C:\WINDOWS\system32\obgsqmwn.ini
C:\WINDOWS\system32\ompfpksd.ini
C:\WINDOWS\system32\pkncfxmy.ini
C:\WINDOWS\system32\pmnlm.dll
C:\WINDOWS\system32\qmcwtuch.ini
C:\WINDOWS\system32\revvcfni.ini
C:\WINDOWS\system32\yiddrxyp.ini
C:\WINDOWS\xpupdate.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-29 ))))))))))))))))))))))))))))))))))))
.

2008-02-29 10:16 . 2008-02-29 10:16 24,576 --a------ C:\WINDOWS\system32\VundoFixSVC.exe
2008-02-29 09:27 . 2008-02-29 10:21 <REP> d-------- C:\VundoFix Backups
2008-02-29 09:03 . 2008-02-29 09:03 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-02-29 09:02 . 2008-02-29 09:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-29 09:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-29 08:45 . 2008-02-29 08:45 4 --a------ C:\WINDOWS\system32\3c6a8bdf
2008-02-28 23:11 . 2008-02-28 23:11 <REP> d-------- C:\WINDOWS\report
2008-02-28 23:11 . 2008-02-28 23:07 35,184,593 --a------ C:\WINDOWS\LPT$VPN.127
2008-02-28 23:07 . 2008-02-28 23:07 <REP> d-------- C:\WINDOWS\AU_Backup
2008-02-28 23:07 . 2008-02-28 23:07 35,184,593 --a------ C:\WINDOWS\VPTNFILE.127
2008-02-28 23:07 . 2008-02-28 23:07 1,922,894 --a------ C:\WINDOWS\tsc.ptn
2008-02-28 23:07 . 2008-02-28 23:07 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2008-02-28 23:07 . 2008-02-28 23:07 267,845 --a------ C:\WINDOWS\tsc.exe
2008-02-28 23:07 . 2008-02-28 23:07 86,094 --a------ C:\WINDOWS\BPMNT.dll
2008-02-28 23:07 . 2008-02-28 23:07 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-02-28 23:07 . 2008-02-28 23:12 823 --a------ C:\WINDOWS\tsc.ini
2008-02-28 23:04 . 2008-02-28 23:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-02-28 23:04 . 2008-02-28 23:04 <REP> d-------- C:\WINDOWS\AU_Log
2008-02-28 23:04 . 2008-02-28 23:04 170 --a------ C:\WINDOWS\GetServer.ini
2008-02-28 23:03 . 2008-02-28 23:03 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-02-28 23:03 . 2008-02-28 23:03 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-02-28 23:03 . 2008-02-28 23:03 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-02-28 22:53 . 2008-02-28 22:53 94 --a------ C:\WINDOWS\wininit.ini
2008-02-28 22:16 . 2008-02-28 22:16 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-28 22:16 . 2008-02-29 10:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-28 17:57 . 2008-02-28 17:57 <REP> d-------- C:\WINDOWS\system32\bits
2008-02-28 17:54 . 2008-02-28 22:10 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-02-28 17:54 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-28 17:49 . 2004-07-01 23:08 360,960 --a------ C:\WINDOWS\system32\dllcache\qmgr.dll
2008-02-28 17:49 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-02-28 17:49 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\dllcache\winhttp.dll
2008-02-28 17:49 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-02-28 17:49 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,680 --------- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,168 --------- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-02-28 17:37 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-02-28 17:37 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-02-28 17:37 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-02-28 17:37 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2008-02-28 17:37 . 2004-08-03 14:00 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2008-02-28 17:37 . 2004-08-03 13:59 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2008-02-28 17:37 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-02-28 17:27 . 2008-02-28 17:27 <REP> d-------- C:\Program Files\Avira
2008-02-28 17:27 . 2008-02-28 17:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-28 17:19 . 2008-02-28 17:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-02-28 17:19 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-02-28 17:19 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-02-28 17:19 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-02-28 17:19 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-02-28 17:19 . 2008-02-28 17:21 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-02-28 17:18 . 2008-02-28 17:18 <REP> d-------- C:\Program Files\Zone Labs
2008-02-28 17:17 . 2008-02-29 10:50 <REP> d-------- C:\WINDOWS\Internet Logs
2008-02-26 20:45 . 2008-02-28 21:45 99,493 --a------ C:\WINDOWS\BM3f59aacd.xml
2008-02-26 20:45 . 2008-02-28 20:46 22 --a------ C:\WINDOWS\pskt.ini
2008-02-21 12:22 . 2001-08-17 21:28 794,654 --a------ C:\WINDOWS\system32\dllcache\usr1801.sys
2008-02-21 12:21 . 2001-08-23 17:47 495,616 --a------ C:\WINDOWS\system32\dllcache\sblfx.dll
2008-02-21 12:20 . 2002-08-29 12:05 3,494,303 --a------ C:\WINDOWS\system32\dllcache\nv4_disp.dll
2008-02-21 12:19 . 2002-08-30 13:00 1,875,968 --a------ C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-02-21 12:18 . 2002-08-30 13:00 1,158,818 --a------ C:\WINDOWS\system32\dllcache\korwbrkr.lex
2008-02-21 12:17 . 2002-08-30 13:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-02-21 12:16 . 2001-08-17 20:14 952,007 --a------ C:\WINDOWS\system32\dllcache\diwan.sys
2008-02-21 12:15 . 2002-08-30 13:00 1,677,824 --a------ C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-02-21 12:14 . 2002-08-29 12:04 921,475 --a------ C:\WINDOWS\system32\dllcache\ati3d2ag.dll
2008-02-21 12:13 . 2001-08-23 17:47 2,134,528 --a------ C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2008-02-20 19:12 . 2008-02-29 08:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-20 18:56 . 2008-02-29 09:28 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2008-02-19 09:17 . 2008-02-19 09:17 <REP> d-------- C:\WINDOWS\Sun
2008-02-18 16:53 . 2008-02-18 16:53 1,158 --a------ C:\WINDOWS\mozver.dat
2008-02-18 16:41 . 2008-02-18 16:41 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-15 19:16 . 2008-02-29 11:13 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-02-15 18:51 . 2008-02-15 18:52 <REP> d-------- C:\Program Files\OpenOffice.org 2.3
2008-02-15 18:51 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-15 18:50 . 2008-02-15 18:51 <REP> d-------- C:\Program Files\Java
2008-02-15 18:50 . 2008-02-15 18:50 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-02-15 15:19 . 2008-02-15 15:19 <REP> d-------- C:\Program Files\MathAceSend
2008-02-14 21:12 . 2008-02-14 21:12 <REP> d-------- C:\Program Files\DivX
2008-02-10 16:35 . 2008-02-10 16:35 <REP> d-------- C:\Program Files\3M
2008-02-10 16:35 . 2008-02-10 16:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\3M
2008-02-10 16:33 . 2008-02-10 16:33 24 --a------ C:\WINDOWS\memo.ini
2008-02-10 10:17 . 2008-02-10 10:17 26,032 --------- C:\WINDOWS\system32\mljijkj.dll_old
2008-02-05 21:12 . 2008-02-05 21:12 <REP> d--h----- C:\WINDOWS\PIF
2008-02-02 22:16 . 2008-02-29 11:12 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-02 22:16 . 2008-02-29 11:09 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-29 08:28 --------- d-----w C:\Program Files\Hijackthis Version Française
2008-02-28 21:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-02-28 20:14 --------- d-----w C:\Program Files\Yahoo!
2008-02-28 19:12 238,080 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-02-19 11:13 --------- d-----w C:\Program Files\Picasa2
2008-02-15 14:21 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MathAceSend
2008-02-15 14:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\city about store file
2008-02-08 16:04 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-01-28 10:03 --------- d-----w C:\Program Files\MSXML 4.0
2008-01-28 09:59 --------- d-----w C:\Program Files\Datel
2008-01-27 07:54 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Yahoo!
2008-01-26 20:05 --------- d-----w C:\Program Files\Veoh Networks
2008-01-25 14:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MiniLyrics
2008-01-15 19:10 --------- d-----w C:\Program Files\Alwil Software
2008-01-15 19:09 --------- d-----w C:\Program Files\Google
2008-01-15 18:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-01-15 17:58 --------- d-----w C:\Program Files\Windows Live
2008-01-15 17:58 --------- d-----w C:\Program Files\MSN Messenger
2008-01-15 17:58 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-01-15 17:58 --------- d-----w C:\Program Files\Circle Developement
2008-01-15 17:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-15 17:02 --------- d-----w C:\Program Files\Securitoo
2008-01-14 20:07 --------- d-----w C:\Program Files\Wanadoo
2008-01-11 22:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSN6
2008-01-11 22:40 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
2008-01-11 22:22 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2008-01-11 22:22 --------- d-----w C:\Program Files\Inventel
2008-01-11 21:32 777,834 ----a-w C:\WINDOWS\Ogrest.scr
2008-01-11 21:32 --------- d-----w C:\Program Files\Ogrest
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{57F43347-329B-4F61-BD43-2A77AEE68333}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7AF4A001-32B2-4A3D-A06A-BFF64BF5115D}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7b973c8d-3058-4ab7-92ad-a1c9d537eb27}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B9F0D7B3-C0A1-42E8-B6DC-E97F461BE2C3}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50 122880]
"FOURGRID"="C:\DOCUME~1\ADMINI~1\APPLIC~1\MATHAC~1\safeone.exe" [2008-02-15 15:19 452608]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-15 20:08 68856]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-01-23 12:23 3497984]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18 1670144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2002-12-13 07:22 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-12-13 07:10 114688]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2003-11-13 01:42 77824]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"Store file readme bash"="C:\Documents and Settings\All Users\Application Data\city about store file\Does Ante.exe" [2008-02-29 11:13 2275328]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-28 19:15 249896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00 13312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljijkj]
mljijkj.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\sis163u.sys [2005-06-20 10:12]
R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\System32\drivers\stac97na.sys [2002-09-20 18:42]
R3 STAC97NH;STAC97NH;C:\WINDOWS\System32\drivers\stac97nh.sys [2002-09-20 18:43]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-29 10:00:00 C:\WINDOWS\Tasks\ACF18779918A39A5.job"
- c:\docume~1\admini~1\applic~1\mathac~1\LoadElseShim.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 11:13:18
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-29 11:17:22 - machine was rebooted [Administrateur]
ComboFix-quarantined-files.txt 2008-02-29 10:16:45
.
2008-02-29 07:52:15 --- E O F ---
0
Réponse 8 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Télécharge LopXPMH sur ton Bureau.
http://www.alt-shift-return.org/Info/Fichiers/lopxpMH2.zip

Dézippe-le et double clique sur le fichier lopxpMH.bat.
Poste le contenu du rapport qui va s'ouvrir
0
Réponse 9 / 25
misss
 
Rapport lopxpMH2 version 2.0 fait à 11:27:23,89 le 29/02/2008
C:\Documents and Settings\Administrateur\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Rapport lopxpMH2 version 2.0 fait à 11:27:23,90 le 29/02/2008
C:\Documents and Settings\Administrateur\Bureau\lopxpMH2\lopxpMH2

******************************************
## Répertoires Application Data

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\Administrateur\Application Data

11/10/2002 14:44 <REP> .
11/10/2002 14:44 <REP> ..
10/02/2008 16:35 <REP> 3M
11/01/2008 19:47 <REP> Adobe
15/01/2008 20:09 <REP> Google
29/02/2008 09:03 <REP> Grisoft
12/01/2008 10:11 <REP> Help
11/10/2002 14:44 <REP> Identities
13/11/2003 01:41 <REP> InterTrust
15/01/2008 18:18 <REP> Macromedia
15/01/2008 18:59 <REP> MathAceSend
11/10/2002 14:44 <REP> Microsoft
25/01/2008 15:35 <REP> MiniLyrics
18/02/2008 16:41 <REP> Mozilla
11/01/2008 23:40 <REP> MSN6
15/02/2008 19:16 <REP> OpenOffice.org2
15/02/2008 18:50 <REP> Sun
27/01/2008 08:54 <REP> Yahoo!
11/10/2002 14:44 62 desktop.ini
1 fichier(s) 62 octets
18 Rép(s) 30 664 912 896 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\Administrateur\Local Settings\Application Data

11/10/2002 14:44 <REP> .
11/10/2002 14:44 <REP> ..
15/01/2008 20:31 <REP> Adobe
15/01/2008 20:09 <REP> Google
12/01/2008 10:11 <REP> Help
13/01/2008 16:07 <REP> Identities
11/10/2002 14:44 <REP> Microsoft
18/02/2008 16:41 <REP> Mozilla
12/01/2008 12:41 9 728 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
15/01/2008 18:57 49 848 GDIPFONTCACHEV1.DAT
11/10/2002 17:05 3 284 016 IconCache.db
3 fichier(s) 3 343 592 octets
8 Rép(s) 30 664 912 896 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\All Users\Application Data

11/10/2002 14:28 <REP> .
11/10/2002 14:28 <REP> ..
15/01/2008 20:31 <REP> Adobe
28/02/2008 17:27 <REP> Avira
15/01/2008 18:59 <REP> city about store file
15/01/2008 20:09 <REP> Google
15/01/2008 20:08 <REP> Google Updater
29/02/2008 09:02 <REP> Grisoft
20/02/2008 19:12 <REP> Lavasoft
28/02/2008 17:19 <REP> MailFrontier
15/01/2008 19:00 <REP> Messenger Plus!
11/10/2002 14:28 <REP> Microsoft
11/01/2008 23:40 <REP> MSN6
13/11/2003 01:41 <REP> QuickTime
11/10/2002 16:46 <REP> SBSI
28/02/2008 22:16 <REP> Spybot - Search & Destroy
16/01/2008 14:52 <REP> Windows Genuine Advantage
28/02/2008 19:15 305 addr_file.html
11/10/2002 14:29 62 desktop.ini
2 fichier(s) 367 octets
17 Rép(s) 30 664 912 896 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\Copie de Default User\Application Data

01/12/2003 13:59 <REP> .
01/12/2003 13:59 <REP> ..
01/12/2003 13:59 <REP> Identities
01/12/2003 13:59 <REP> InterTrust
01/12/2003 13:59 <REP> Microsoft
01/12/2003 13:59 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 30 664 912 896 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\Copie de Default User\Local Settings\Application Data

01/12/2003 13:59 <REP> .
01/12/2003 13:59 <REP> ..
01/12/2003 13:59 <REP> Microsoft
01/12/2003 13:59 2 152 936 IconCache.db
1 fichier(s) 2 152 936 octets
3 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\Default User\Application Data

01/12/2003 13:59 <REP> .
01/12/2003 13:59 <REP> ..
01/12/2003 13:59 <REP> Adobe
01/12/2003 13:59 <REP> Identities
01/12/2003 13:59 <REP> InterTrust
01/12/2003 13:59 <REP> Microsoft
01/12/2003 13:59 <REP> Microsoft Web Folders
01/12/2003 13:59 62 desktop.ini
1 fichier(s) 62 octets
7 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\Default User\Local Settings\Application Data

01/12/2003 13:59 <REP> .
01/12/2003 13:59 <REP> ..
01/12/2003 13:59 <REP> Microsoft
01/12/2003 13:59 4 812 800 IconCache.db
1 fichier(s) 4 812 800 octets
3 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\LocalService\Application Data

11/10/2002 14:43 <REP> .
11/10/2002 14:43 <REP> ..
11/10/2002 14:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\LocalService\Local Settings\Application Data

11/10/2002 14:43 <REP> .
11/10/2002 14:43 <REP> ..
11/10/2002 14:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\NetworkService\Application Data

11/10/2002 14:43 <REP> .
11/10/2002 14:43 <REP> ..
11/10/2002 14:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Documents and Settings\NetworkService\Local Settings\Application Data

11/10/2002 14:43 <REP> .
11/10/2002 14:43 <REP> ..
11/10/2002 14:43 <REP> Microsoft
0 fichier(s) 0 octets
3 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\WINDOWS\system32\config\systemprofile\Application Data

11/10/2002 14:42 <REP> .
11/10/2002 14:42 <REP> ..
01/12/2003 11:02 <REP> Identities
01/12/2003 11:02 <REP> InterTrust
11/10/2002 14:42 <REP> Microsoft
11/10/2002 14:42 62 desktop.ini
1 fichier(s) 62 octets
5 Rép(s) 30 664 908 800 octets libres
Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data

11/10/2002 14:42 <REP> .
11/10/2002 14:42 <REP> ..
01/12/2003 11:02 <REP> Microsoft
01/12/2003 11:02 2 152 936 IconCache.db
1 fichier(s) 2 152 936 octets
3 Rép(s) 30 664 904 704 octets libres

******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

C:\WINDOWS\Tasks\ACF18779918A39A5.job
åP2<–¶Hµ@ÔbïâOôF ê <
sB À "€!Ø 8 c : \ d o c u m e ~ 1 \ a d m i n i ~ 1 \ a p p l i c ~ 1 \ m a t h a c ~ 1 \ L o a d E l s e S h i m . e x e A d m i n i s t r a t e u r 0 Ñ <
******************************************
## Répertoires de C:\Program Files

Le volume dans le lecteur C s'appelle HDD
Le numéro de série du volume est 3C6A-99FE

Répertoire de C:\Program Files

29/02/2008 09:02 <REP> .
29/02/2008 09:02 <REP> ..
10/02/2008 16:35 <REP> 3M
08/02/2008 17:04 <REP> Adobe
15/01/2008 20:10 <REP> Alwil Software
28/02/2008 17:27 <REP> Avira
15/01/2008 18:58 <REP> Circle Developement
11/10/2002 14:35 <REP> ComPlus Applications
28/01/2008 10:59 <REP> Datel
14/02/2008 21:12 <REP> DivX
29/02/2008 08:52 <REP> Fichiers communs
15/01/2008 20:09 <REP> Google
29/02/2008 09:02 <REP> Grisoft
29/02/2008 09:28 <REP> Hijackthis Version Française
13/11/2003 01:31 <REP> Intel
11/10/2002 14:36 <REP> Internet Explorer
11/01/2008 23:22 <REP> Inventel
15/02/2008 18:51 <REP> Java
15/02/2008 15:19 <REP> MathAceSend
29/02/2008 08:50 <REP> Messenger
15/01/2008 18:58 <REP> Messenger Plus! Live
11/10/2002 14:39 <REP> microsoft frontpage
01/12/2003 13:02 <REP> Microsoft Office
01/12/2003 13:02 <REP> Microsoft Visual Studio
11/10/2002 14:36 <REP> Movie Maker
29/02/2008 11:17 <REP> Mozilla Firefox
11/10/2002 14:34 <REP> MSN
11/10/2002 14:34 <REP> MSN Gaming Zone
15/01/2008 18:58 <REP> MSN Messenger
28/01/2008 11:03 <REP> MSXML 4.0
11/10/2002 14:36 <REP> NetMeeting
11/01/2008 22:32 <REP> Ogrest
15/02/2008 18:52 <REP> OpenOffice.org 2.3
11/10/2002 14:36 <REP> Outlook Express
19/02/2008 12:13 <REP> Picasa2
13/11/2003 01:42 <REP> QuickTime
15/01/2008 18:02 <REP> Securitoo
11/10/2002 14:34 <REP> Services en ligne
28/02/2008 22:16 <REP> Spybot - Search & Destroy
26/01/2008 21:05 <REP> Veoh Networks
14/01/2008 21:07 <REP> Wanadoo
15/01/2008 18:58 <REP> Windows Live
25/01/2008 15:30 <REP> Windows Media Player
11/10/2002 14:34 <REP> Windows NT
11/10/2002 14:39 <REP> xerox
28/02/2008 21:14 <REP> Yahoo!
28/02/2008 17:18 <REP> Zone Labs
0 fichier(s) 0 octets
47 Rép(s) 30 664 904 704 octets libres

******************************************
## Popups autorisées

* Internet Explorer

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
PopupMgr REG_SZ yes

* Mozilla Firefox (1 autorisé 2 interdit)

******************************************
## Registre

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

* [HKEY_CURRENT_USER\\Software\Microsoft\Internet Explorer\Main]
Search Bar REG_SZ http://www.google.com/toolbar/ie8/sidebar.html

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Store file readme bash REG_SZ C:\Documents and Settings\All Users\Application Data\city about store file\Does Ante.exe

* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
FOURGRID REG_SZ C:\DOCUME~1\ADMINI~1\APPLIC~1\MATHAC~1\safeone.exe

******************************************
## Zones de sécurité

* HKCU Domains (4)

* P3P History (5)

******************************************
## Recherche C:\WINDOWS\*.htm, "C:\WINDOWS\*.gif"

*************** Fin du rapport ****************
0
Réponse 10 / 25
misss
 
Alors ?
Le problème est réglé ?
0
Réponse 11 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-note) et copie-colle le texte en citation : 
File::
C:\WINDOWS\system32\VundoFixSVC.exe 
C:\WINDOWS\system32\mljijkj.dll_old 
C:\WINDOWS\Tasks\ACF18779918A39A5.job


Folder::
C:\VundoFix Backups
C:\Documents and Settings\All Users\Application Data\city about store file 
C:\Documents and Settings\Administrateur\Application Data\MathAceSend
C:\Program Files\MathAceSend 

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{57F43347-329B-4F61-BD43-2A77AEE68333}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7AF4A001-32B2-4A3D-A06A-BFF64BF5115D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7b973c8d-3058-4ab7-92ad-a1c9d537eb27}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B9F0D7B3-C0A1-42E8-B6DC-E97F461BE2C3}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FOURGRID"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Store file readme bash"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljijkj]


Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.

Sauvegarde ce fichier sous le nom de CFScript.txt

http://img115.imageshack.us/img115/6742/cfscriptws3.gif

Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

0
misss
 
ComboFix 08-02-25.3 - Administrateur 2008-02-29 12:08:31.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.132 [GMT 1:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\WINDOWS\system32\mljijkj.dll_old
C:\WINDOWS\system32\VundoFixSVC.exe
C:\WINDOWS\Tasks\ACF18779918A39A5.job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\MathAceSend
C:\Documents and Settings\Administrateur\Application Data\MathAceSend\[u]0/u
C:\Documents and Settings\Administrateur\Application Data\MathAceSend\browsefivedeleteplus.exe
C:\Documents and Settings\Administrateur\Application Data\MathAceSend\cwyhkurq.exe
C:\Documents and Settings\Administrateur\Application Data\MathAceSend\dobrkldm.exe
C:\Documents and Settings\Administrateur\Application Data\MathAceSend\liuryfga.exe
C:\Documents and Settings\Administrateur\Application Data\MathAceSend\LoadElseShim.exe
C:\Documents and Settings\Administrateur\Application Data\MathAceSend\safeone.exe
C:\Documents and Settings\All Users\Application Data\city about store file
C:\Documents and Settings\All Users\Application Data\city about store file\Does Ante.exe
C:\Program Files\MathAceSend
C:\VundoFix Backups
C:\WINDOWS\system32\mljijkj.dll_old
C:\WINDOWS\system32\VundoFixSVC.exe
C:\WINDOWS\Tasks\ACF18779918A39A5.job

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-28 to 2008-02-29 ))))))))))))))))))))))))))))))))))))
.

2008-02-29 09:03 . 2008-02-29 09:03 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-02-29 09:02 . 2008-02-29 09:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-02-29 09:02 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-29 08:45 . 2008-02-29 08:45 4 --a------ C:\WINDOWS\system32\3c6a8bdf
2008-02-28 23:11 . 2008-02-28 23:11 <REP> d-------- C:\WINDOWS\report
2008-02-28 23:11 . 2008-02-28 23:07 35,184,593 --a------ C:\WINDOWS\LPT$VPN.127
2008-02-28 23:07 . 2008-02-28 23:07 <REP> d-------- C:\WINDOWS\AU_Backup
2008-02-28 23:07 . 2008-02-28 23:07 35,184,593 --a------ C:\WINDOWS\VPTNFILE.127
2008-02-28 23:07 . 2008-02-28 23:07 1,922,894 --a------ C:\WINDOWS\tsc.ptn
2008-02-28 23:07 . 2008-02-28 23:07 1,163,344 --a------ C:\WINDOWS\vsapi32.dll
2008-02-28 23:07 . 2008-02-28 23:07 267,845 --a------ C:\WINDOWS\tsc.exe
2008-02-28 23:07 . 2008-02-28 23:07 86,094 --a------ C:\WINDOWS\BPMNT.dll
2008-02-28 23:07 . 2008-02-28 23:07 71,749 --a------ C:\WINDOWS\hcextoutput.dll
2008-02-28 23:07 . 2008-02-28 23:12 823 --a------ C:\WINDOWS\tsc.ini
2008-02-28 23:04 . 2008-02-28 23:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-02-28 23:04 . 2008-02-28 23:04 <REP> d-------- C:\WINDOWS\AU_Log
2008-02-28 23:04 . 2008-02-28 23:04 170 --a------ C:\WINDOWS\GetServer.ini
2008-02-28 23:03 . 2008-02-28 23:03 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL
2008-02-28 23:03 . 2008-02-28 23:03 286,720 --a------ C:\WINDOWS\PATCH.EXE
2008-02-28 23:03 . 2008-02-28 23:03 69,689 --a------ C:\WINDOWS\UNZIP.DLL
2008-02-28 22:53 . 2008-02-28 22:53 94 --a------ C:\WINDOWS\wininit.ini
2008-02-28 22:16 . 2008-02-28 22:16 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-02-28 22:16 . 2008-02-29 10:20 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-02-28 17:57 . 2008-02-28 17:57 <REP> d-------- C:\WINDOWS\system32\bits
2008-02-28 17:54 . 2008-02-28 22:10 <REP> d--h----- C:\WINDOWS\$hf_mig$
2008-02-28 17:54 . 2005-02-25 04:35 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-28 17:49 . 2004-07-01 23:08 360,960 --a------ C:\WINDOWS\system32\dllcache\qmgr.dll
2008-02-28 17:49 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2008-02-28 17:49 . 2004-07-01 23:08 331,776 --a------ C:\WINDOWS\system32\dllcache\winhttp.dll
2008-02-28 17:49 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2008-02-28 17:49 . 2004-07-01 23:08 17,408 --a------ C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,680 --------- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,168 --------- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-02-28 17:49 . 2004-07-01 23:08 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2008-02-28 17:37 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2008-02-28 17:37 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2008-02-28 17:37 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-02-28 17:37 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2008-02-28 17:37 . 2004-08-03 14:00 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2008-02-28 17:37 . 2004-08-03 13:59 170,776 --a------ C:\WINDOWS\system32\wuauclt1.exe
2008-02-28 17:37 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll
2008-02-28 17:27 . 2008-02-28 17:27 <REP> d-------- C:\Program Files\Avira
2008-02-28 17:27 . 2008-02-28 17:27 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-02-28 17:19 . 2008-02-28 17:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-02-28 17:19 . 2007-12-13 19:27 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-02-28 17:19 . 2007-12-13 19:27 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-02-28 17:19 . 2007-12-13 19:27 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-02-28 17:19 . 2007-12-13 19:27 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-02-28 17:19 . 2008-02-28 17:21 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-02-28 17:18 . 2008-02-28 17:18 <REP> d-------- C:\Program Files\Zone Labs
2008-02-28 17:17 . 2008-02-29 12:15 <REP> d-------- C:\WINDOWS\Internet Logs
2008-02-26 20:45 . 2008-02-28 21:45 99,493 --a------ C:\WINDOWS\BM3f59aacd.xml
2008-02-26 20:45 . 2008-02-28 20:46 22 --a------ C:\WINDOWS\pskt.ini
2008-02-21 12:22 . 2001-08-17 21:28 794,654 --a------ C:\WINDOWS\system32\dllcache\usr1801.sys
2008-02-21 12:21 . 2001-08-23 17:47 495,616 --a------ C:\WINDOWS\system32\dllcache\sblfx.dll
2008-02-21 12:20 . 2002-08-29 12:05 3,494,303 --a------ C:\WINDOWS\system32\dllcache\nv4_disp.dll
2008-02-21 12:19 . 2002-08-30 13:00 1,875,968 --a------ C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-02-21 12:18 . 2002-08-30 13:00 1,158,818 --a------ C:\WINDOWS\system32\dllcache\korwbrkr.lex
2008-02-21 12:17 . 2002-08-30 13:00 13,463,552 --a------ C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-02-21 12:16 . 2001-08-17 20:14 952,007 --a------ C:\WINDOWS\system32\dllcache\diwan.sys
2008-02-21 12:15 . 2002-08-30 13:00 1,677,824 --a------ C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-02-21 12:14 . 2002-08-29 12:04 921,475 --a------ C:\WINDOWS\system32\dllcache\ati3d2ag.dll
2008-02-21 12:13 . 2001-08-23 17:47 2,134,528 --a------ C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll
2008-02-20 19:12 . 2008-02-29 08:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-20 18:56 . 2008-02-29 09:28 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2008-02-19 09:17 . 2008-02-19 09:17 <REP> d-------- C:\WINDOWS\Sun
2008-02-18 16:53 . 2008-02-18 16:53 1,158 --a------ C:\WINDOWS\mozver.dat
2008-02-18 16:41 . 2008-02-18 16:41 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-15 19:16 . 2008-02-29 11:54 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-02-15 18:51 . 2008-02-15 18:52 <REP> d-------- C:\Program Files\OpenOffice.org 2.3
2008-02-15 18:51 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-15 18:50 . 2008-02-15 18:51 <REP> d-------- C:\Program Files\Java
2008-02-15 18:50 . 2008-02-15 18:50 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-02-14 21:12 . 2008-02-14 21:12 <REP> d-------- C:\Program Files\DivX
2008-02-10 16:35 . 2008-02-10 16:35 <REP> d-------- C:\Program Files\3M
2008-02-10 16:35 . 2008-02-10 16:35 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\3M
2008-02-10 16:33 . 2008-02-10 16:33 24 --a------ C:\WINDOWS\memo.ini
2008-02-05 21:12 . 2008-02-05 21:12 <REP> d--h----- C:\WINDOWS\PIF
2008-02-02 22:16 . 2008-02-29 12:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-02 22:16 . 2008-02-29 12:15 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-29 08:28 --------- d-----w C:\Program Files\Hijackthis Version Française
2008-02-28 21:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-02-28 20:14 --------- d-----w C:\Program Files\Yahoo!
2008-02-28 19:12 238,080 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-02-19 11:13 --------- d-----w C:\Program Files\Picasa2
2008-02-08 16:04 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-01-28 10:03 --------- d-----w C:\Program Files\MSXML 4.0
2008-01-28 09:59 --------- d-----w C:\Program Files\Datel
2008-01-27 07:54 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Yahoo!
2008-01-26 20:05 --------- d-----w C:\Program Files\Veoh Networks
2008-01-25 14:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MiniLyrics
2008-01-15 19:10 --------- d-----w C:\Program Files\Alwil Software
2008-01-15 19:09 --------- d-----w C:\Program Files\Google
2008-01-15 18:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-01-15 17:58 --------- d-----w C:\Program Files\Windows Live
2008-01-15 17:58 --------- d-----w C:\Program Files\MSN Messenger
2008-01-15 17:58 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-01-15 17:58 --------- d-----w C:\Program Files\Circle Developement
2008-01-15 17:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-15 17:02 --------- d-----w C:\Program Files\Securitoo
2008-01-14 20:07 --------- d-----w C:\Program Files\Wanadoo
2008-01-11 22:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSN6
2008-01-11 22:40 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\MSN6
2008-01-11 22:22 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2008-01-11 22:22 --------- d-----w C:\Program Files\Inventel
2008-01-11 21:32 777,834 ----a-w C:\WINDOWS\Ogrest.scr
2008-01-11 21:32 --------- d-----w C:\Program Files\Ogrest
2007-12-13 18:27 75,248 ----a-w C:\WINDOWS\zllsputility.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{57F43347-329B-4F61-BD43-2A77AEE68333}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7AF4A001-32B2-4A3D-A06A-BFF64BF5115D}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7b973c8d-3058-4ab7-92ad-a1c9d537eb27}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B9F0D7B3-C0A1-42E8-B6DC-E97F461BE2C3}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2004-08-23 14:50 122880]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-15 20:08 68856]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-01-23 12:23 3497984]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"MSMSGS"="C:\Program Files\Messenger\MSMSGS.exe" [2004-11-15 16:18 1670144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2002-12-13 07:22 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2002-12-13 07:10 114688]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2003-11-13 01:42 77824]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 19:27 919016]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-28 19:15 249896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00 13312]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljijkj]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\sis163u.sys [2005-06-20 10:12]
R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\System32\drivers\stac97na.sys [2002-09-20 18:42]
R3 STAC97NH;STAC97NH;C:\WINDOWS\System32\drivers\stac97nh.sys [2002-09-20 18:43]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-29 12:20:50
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\3M\PSNLite\PsnLite.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\PROGRA~1\3M\PSNLite\PSNGive.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-02-29 12:25:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-29 11:24:53
ComboFix2.txt 2008-02-29 10:17:24
.
2008-02-29 07:52:15 --- E O F ---
0
Réponse 12 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
super travail!!
des pubs encore?
faire un scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
poster le rapport ici ensuite
https://www.bitdefender.fr/

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte
La fenêtre change encore, clique sur scanner
Les signatures se chargent, etc.
0
misss
 
Euh plus de problèmes comme tout à l'heure. Par contre Antivir vient de me retrouver le même cheval de Troie mais pas dans System32, dans System Volum Information. Je l'ai mis en quarantaine.

Analyse en cours sur Bitdefender, j'envoie le rapport dès que c'est finit.
Merci beaucoup de passez tout ce temps à m'aider, ça me sauve la vie !
0
Réponse 13 / 25
misss
 
temps restant estimé 40min !!!
On a le temps !!
0
Réponse 14 / 25
misss
 
Au secours ! nouveau cheval de Troie détecté par Antivir "TR/Obfusgen.A.5499" dans "C:\Program Files\...\Uninstall.exe"
J'en ai marre !!! Je fais quoi ?
0
Réponse 15 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
laisse le scan en cours se dérouler et poste le rapport obtenu,
mets en quarantaine ce que tu trouve antivir, tu es tout de même pas mal infectée...mais on va en venir à bout, ne te fait pas de soucis!!
0
Réponse 16 / 25
misss
 
"Contains detection pattern of the worm WORM/Zhelatin.Gen" ça veut dire quoi ? Je fais quoi ?
désolé pour cette avalanche de messages mais je ne comprends plus rien, ça avait l'ait d'aller mieux et puis ça recommence !
0
Réponse 17 / 25
misss
 
BitDefender Online Scanner - Rapport virus en temps réel

Généré à: Fri, Feb 29, 2008 - 14:12:34

Info d'analyse

Fichiers scannés

32660

Infectés Fichiers

0

Virus Détectés

Aucun virus trouvé.

Ce sommaire du processus d'analyse sera utilisé par les laboratoires Antivirus BitDefender pour créer des statistiques agréguées sur l'activité des virus dans le monde.

je pense que c'est pas normal qu'il me trouve rien !!!
0
Réponse 18 / 25
papyber Messages postés 6430 Statut Contributeur sécurité 257
 
Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

mets antivir à jour

1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur
lance antivir que tu auras auparant mis à jour et scanne ton PC
tu redémarres normalement et tu me postes le rapport obtenu
0
Réponse 19 / 25
misss
 
-->- Recherche:

C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\LopXpMh2: trouvé !
C:\Documents and Settings\Administrateur\Bureau\lopxpMH2\LopXpMh2: trouvé !
C:\QooBox\Quarantine\C\Combofix: trouvé !

Fichiers temporaires nettoyés !
Point de restauration crée !
---------------------------------
-->- Suppression:
C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\vundoFix.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\Administrateur\Bureau\LopXpMh2: supprimé !
0
Réponse 20 / 25
misss
 
AntiVir PersonalEdition Classic
Report file date: vendredi 29 février 2008 14:50

Scanning for 1128828 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 1) [5.1.2600]
Username: Administrateur
Computer name: POSTEXPPRO-01

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14/12/2007 18:15:46
ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24/02/2008 18:15:46
ANTIVIR3.VDF : 7.0.2.213 114688 Bytes 29/02/2008 13:44:45
AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 28/02/2008 18:15:51
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 28/02/2008 18:15:52
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: vendredi 29 février 2008 14:50

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '27' files ).

Starting the file scan:

Begin scan in 'C:\' <HDD>
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\System Volume Information\_restore{93BC6AF1-6480-4849-8F6E-C1F617E61D34}\RP59\A0021570.exe
[DETECTION] Is the Trojan horse TR/Obfusgen.A.5499
[INFO] The file was moved to '47f8125a.qua'!
C:\WINDOWS\Downloaded Program Files\webinst.dll
[WARNING] 'Contains detection pattern of the worm WORM/Zhelatin.Gen'. This detection is probably an error. Please send us this file immediately for further analysis.

End of the scan: vendredi 29 février 2008 15:31
Used time: 41:30 min

The scan has been done completely.

2988 Scanning directories
196669 Files were scanned
1 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
1 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
196668 Files not concerned
6938 Archives were scanned
2 Warnings
1 Notes
0

Discussions similaires

Signification "TR"
andromeid -
matrix4422 -

3 réponses
Comment enlever mon virus trojan:win32/si...
bryanoulet -
juju666 -

58 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses