Sujet Précédent Sujet Suivant

Braviax / winReanimator

Fermé
tollund - 3 mars 2008 à 21:45
 choco - 2 avril 2008 à 00:15
Bonjour,

J'ai été infecté il y a environ 2 heures par ce que je *crois* être Braviax, quoique je suspecte un auutre virus qui le ré-installe à chaque redémarrage de Windows XP (SP2).

En gros, il y a un X rouge en bas à droite qui me dit que je suis infecté (style bulle d'alerte Windows) toutes les 10-15 secondes. Si je clique dessus, ça installe un faux logiciel bidon de malware: WinReanimator.

J'ai fait un scan avec Spyware Doctor, et il persiste à m'identifer l'Adware "Agent.ZO" et Renos.

J'ai tenté de télécharger des fix (style VundoFix et SmitFraudFix)... sans succès (même après les étapes du Safe Mode). Le X rouge toujours présent en bas à droite lors du redémarrage en mode normal.

J'ai téléchargé HijackThis, mais pour le faire fonctionner, j'ai du renommer l'exécutable (il ne démarrait pas du tout sinon). Voici le log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:04, on 2008-03-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
E:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Spyware Doctor\pctsSvc.exe
e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Spyware Doctor\pctsGui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ecchymose\Desktop\test.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] e:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ASUS Probe] e:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [WinReanimator] "C:\Program Files\WinReanimator\WinReanimator.exe" /hide
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{80181FAC-6B05-4CFC-BA31-AADDD8213DFC}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: cru629.dat
O20 - Winlogon Notify: urqpnnn - urqpnnn.dll (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe

16 réponses

Réponse 1 / 16
Utilisateur anonyme
3 mars 2008 à 21:52

Bonjour/Bonsoir
• Ne pas surfer ailleurs que sur le site
• Couper MSN ou tout autre connexion hormis celle sur le site
• Appliquer exactement les procédures indiquées.
• Au cas ou plusieurs intervenants se manifestent, en choisir un et un seul.

• Rester devant la machine en rafraichissant souvent le forum pour voir les nouvelles réponses.
• Répondre sans attendre à toutes les questions posées dans l'ordre ou elles ont étés posées
• Soyez précis dans vos réponses. Tenez vous en au sujet et rien qu'au sujet.
• A proscrire : le language SMS.

• Ne pas quitter tant qu'il n'est pas dit explicitement que le problème est résolu ou qu'il
dépasse les compétences de celui ou ceux qui vous aident.
• N'ouvrez pas plusieurs discussions sur le même sujet sauf si on vous le demande
(Problème non résolu. Ca arrive)

• Ne pas s'impatienter. L'analyse d'un rapport et la recherche de solutions
appropriées prends un certain temps.
Inutile donc de reposter le même message. Nous ne vous oublions pas,
nous vous cherchons une solution

• Ne pas oublier : nous sommes bénévoles.
Nous mangeons, nous dormons, nous travaillons, nous avons une vie de famille aussi.


Préalable
• Vider la corbeille
• Fermer toutes les applications

===================== COMBOFIX ========================

Combofix

Installer ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
sur le bureau

? Se déconnecter d'internet
? Désactiver seulement pendant l'utilisation de ComboFix, la protection de l'antivirus et de l'antispyware ceux-ci pouvant entraver le bon fonctionnement de combofix
? Fermer toutes les applications en cours
? Double-click sur l'icône qui s'est installé sur le bureau
? Appuyer sur la touche 1 puis sur entrée:
? Laisser Combofix travailler sans se servir de la machine.
? Si ComboFix a besoin de redémarrer la machine, laisser faire.
? Réactiver la protection de l'antivirus et de l'antispyware
? Copier/Coller le rapport généré dans le bloc-note dans le prochain message
(Ce fichier est automatiquement généré et enregistré sous C:\Combofix.txt)
? Supprimer/Désinstaller ComboFix

Note :
Le serveur de téléchargement peut être en surcharge et renvoyer une page d'erreur. Il faut insister.

Remettre un rapport Hitjacthis
0
tollund
3 mars 2008 à 22:05
Si je double-clique ComboFix.exe tout simplement, rien ne se passe...

Si je le renomme (ComboFix2.exe) ça ne marche pas plus...
0
tollund
3 mars 2008 à 22:09
OK...

Si je le renomme ComboTestFix.exe ça fonctionne... j'effectue les opérations et je reviens.
0
tollund
3 mars 2008 à 22:21
Voilà! Tout semble régler, la fausse bulle d'alerte n'apparait plus!

Je fournis le log de ComboFix.exe à l'instant, et ensuite, le log HijackThis après les * * * * *

ComboFix 08-03-03.16 - tollund 2008-03-03 16:10:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.632 [GMT -5:00]
Running from: C:\Documents and Settings\tollund\Desktop\CombotestFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

[color=red]C:\WINDOWS\system32\dllcache\beep.sys[/color]
[color=red]C:\WINDOWS\system32\drivers\beep.sys[/color]
C:\Documents and Settings\All Users\Start Menu\Programs\WinReanimator
C:\Documents and Settings\All Users\Start Menu\Programs\WinReanimator\Uninstall.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\WinReanimator\WinReanimator.lnk
C:\Program Files\WinReanimator
C:\Program Files\WinReanimator\data\daily.cvd
C:\Program Files\WinReanimator\htmlayout.dll
C:\Program Files\WinReanimator\install.exe
C:\Program Files\WinReanimator\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
C:\Program Files\WinReanimator\Microsoft.VC80.CRT\msvcm80.dll
C:\Program Files\WinReanimator\Microsoft.VC80.CRT\msvcp80.dll
C:\Program Files\WinReanimator\Microsoft.VC80.CRT\msvcr80.dll
C:\Program Files\WinReanimator\pthreadVC2.dll
C:\Program Files\WinReanimator\un.ico
C:\Program Files\WinReanimator\unzip32.dll
C:\Program Files\WinReanimator\WinReanimator.cfg
C:\Program Files\WinReanimator\WinReanimator.dll
C:\Program Files\WinReanimator\WinReanimator.exe
C:\WINDOWS\braviax.exe
C:\WINDOWS\cru629.dat
C:\WINDOWS\system32\cru629.dat
C:\WINDOWS\system32\users32.dat
C:\WINDOWS\system32\winivstr.exe
C:\WINDOWS\system32\xybeg.ini2

.
((((((((((((((((((((((((( Files Created from 2008-02-03 to 2008-03-03 )))))))))))))))))))))))))))))))
.

2008-03-03 16:08 . 2004-08-04 07:00 388,608 --a------ C:\CF12021.exe
2008-03-03 15:41 . 2008-03-03 15:41 18,767 --a------ C:\WINDOWS\ufyc.bin
2008-03-03 15:41 . 2008-03-03 15:41 18,620 --a------ C:\WINDOWS\lowa._sy
2008-03-03 15:41 . 2008-03-03 15:41 18,352 --a------ C:\WINDOWS\arynozy.dll
2008-03-03 15:41 . 2008-03-03 15:41 17,900 --a------ C:\WINDOWS\isogiboc.exe
2008-03-03 15:41 . 2008-03-03 15:41 16,114 --a------ C:\Program Files\Common Files\kenotofo.exe
2008-03-03 15:41 . 2008-03-03 15:41 15,882 --a------ C:\Program Files\Common Files\karonu.bat
2008-03-03 15:41 . 2008-03-03 15:41 15,520 --a------ C:\WINDOWS\ifopesogy.lib
2008-03-03 15:41 . 2008-03-03 15:41 14,627 --a------ C:\WINDOWS\system32\afujoxi.exe
2008-03-03 15:41 . 2008-03-03 15:41 13,927 --a------ C:\WINDOWS\novirekoc.scr
2008-03-03 15:41 . 2008-03-03 15:41 13,574 --a------ C:\Documents and Settings\tollund\Application Data\ejapy.exe
2008-03-03 15:41 . 2008-03-03 15:41 13,423 --a------ C:\Program Files\Common Files\buhyzarac.sys
2008-03-03 15:41 . 2008-03-03 15:41 13,378 --a------ C:\WINDOWS\system32\anaguzuh.com
2008-03-03 15:41 . 2008-03-03 15:41 12,671 --a------ C:\WINDOWS\system32\lisite.com
2008-03-03 15:41 . 2008-03-03 15:41 12,248 --a------ C:\Documents and Settings\tollund\Application Data\iduf.dat
2008-03-03 15:41 . 2008-03-03 15:41 12,010 --a------ C:\Program Files\Common Files\toriceledi.com
2008-03-03 15:41 . 2008-03-03 15:41 11,973 --a------ C:\Documents and Settings\All Users\Application Data\kame.dll
2008-03-03 15:41 . 2008-03-03 15:41 10,579 --a------ C:\WINDOWS\otudewotyn.dl
2008-03-03 15:41 . 2008-03-03 15:41 10,236 --a------ C:\Program Files\Common Files\ycivac.vbs
2008-03-03 15:02 . 2008-03-03 16:03 9,264 --a------ C:\WINDOWS\system32\ikhcore.cfg
2008-03-03 14:59 . 2008-03-03 14:59 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\PC Tools
2008-03-03 14:59 . 2008-03-03 14:58 218,504 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-03-03 14:53 . 2008-03-03 14:53 <DIR> d-------- C:\Program Files\Trend Micro
2008-03-03 14:34 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-03-03 14:34 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-03-03 14:34 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-03-03 14:34 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-03-03 14:33 . 2008-03-03 14:33 <DIR> d-------- C:\Documents and Settings\tollund\Application Data\PC Tools
2008-03-03 13:06 . 2008-03-03 13:06 18,943 --a------ C:\WINDOWS\ugidoruxo.lib
2008-03-03 13:06 . 2008-03-03 13:06 16,697 --a------ C:\WINDOWS\ogerubesaw.bin
2008-03-03 13:06 . 2008-03-03 13:06 16,318 --a------ C:\WINDOWS\ifibeqenib.db
2008-03-03 13:06 . 2008-03-03 13:06 11,492 --a------ C:\WINDOWS\ujuheralop.bin
2008-03-03 13:06 . 2008-03-03 13:06 10,445 --a------ C:\WINDOWS\kizupuvyx._sy
2008-03-03 13:06 . 2008-03-03 13:06 10,081 --a------ C:\WINDOWS\nybecuzuqy._dl
2008-03-03 13:05 . 2008-03-03 13:05 12,820 --a------ C:\WINDOWS\osij._dl
2008-03-03 13:05 . 2008-03-03 13:05 12,749 --a------ C:\WINDOWS\elawyf.db
2008-03-03 13:05 . 2008-03-03 13:05 11,671 --a------ C:\WINDOWS\gigy.bin
2008-03-03 12:51 . 2008-03-03 14:59 <DIR> d-------- C:\Program Files\Common Files\PC Tools
2008-03-03 12:40 . 2008-03-03 16:04 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-03-03 12:39 . 2008-03-03 16:03 <DIR> d-------- C:\Program Files\Spyware Doctor
2008-03-03 11:30 . 2008-03-03 14:28 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-03-03 11:27 . 2008-03-03 11:27 19,718 --a------ C:\WINDOWS\system32\akyqopiwyk.pif
2008-03-03 11:27 . 2008-03-03 11:27 19,526 --a------ C:\WINDOWS\fulamomot.pif
2008-03-03 11:27 . 2008-03-03 11:27 17,548 --a------ C:\Documents and Settings\All Users\Application Data\hubopan.pif
2008-03-03 11:27 . 2008-03-03 11:27 16,834 --a------ C:\Program Files\Common Files\ugafurucav.bat
2008-03-03 11:27 . 2008-03-03 11:27 15,682 --a------ C:\WINDOWS\osol._sy
2008-03-03 11:27 . 2008-03-03 11:27 15,018 --a------ C:\WINDOWS\system32\omasez.ban
2008-03-03 11:27 . 2008-03-03 11:27 14,222 --a------ C:\WINDOWS\ogawak.bin
2008-03-03 11:27 . 2008-03-03 11:27 11,640 --a------ C:\WINDOWS\system32\hyvet.exe
2008-03-03 11:27 . 2008-03-03 11:27 11,542 --a------ C:\WINDOWS\geqovoh._sy
2008-03-03 11:24 . 2008-03-03 11:24 58,368 --a------ C:\onhtp.exe
2008-03-03 11:24 . 2008-03-03 11:24 37,376 --a------ C:\WINDOWS\17PHolmes1535.exe
2008-02-20 09:39 . 2008-02-20 09:39 0 --a------ C:\WINDOWS\Infob.dat
2008-02-20 09:39 . 2008-02-20 09:39 0 --a------ C:\WINDOWS\Infoa.dat
2008-02-06 10:56 . 2008-02-06 10:56 <DIR> d-------- C:\Documents and Settings\tollund\Application Data\Apple Computer
2008-02-06 10:49 . 2000-05-22 22:58 608,448 --a------ C:\WINDOWS\system32\comctl32.ocx
2008-02-05 15:41 . 2008-02-05 15:41 <DIR> d-------- C:\Program Files\Microsoft

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-03 21:14 --------- d-----w C:\Documents and Settings\tollund\Application Data\OpenOffice.org2
2008-03-03 18:06 11,525 ----a-w C:\Program Files\Common Files\yder.lib
2008-03-03 16:27 19,353 ----a-w C:\Program Files\Common Files\akor._dl
2008-03-03 14:48 --------- d-----w C:\Documents and Settings\tollund\Application Data\FileZilla
2008-03-03 12:57 --------- d-----w C:\Documents and Settings\tollund\Application Data\uTorrent
2008-01-22 08:03 --------- d-----w C:\Program Files\MSXML 4.0
2008-01-21 01:41 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-17 21:23 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-01-10 12:07 --------- d-----w C:\Program Files\Apple Software Update
2008-01-10 12:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-01-10 12:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
2008-01-09 16:37 --------- d-----w C:\Program Files\MultipleIEs
2008-01-09 01:41 --------- d-----w C:\Documents and Settings\tollund\Application Data\teamspeak2
2008-01-03 20:32 --------- d-----w C:\Documents and Settings\tollund\Application Data\DivX
2008-01-03 14:29 --------- d-----w C:\Program Files\Bonjour
2008-01-03 14:28 --------- d-----w C:\Program Files\Common Files\Adobe
2008-01-03 01:43 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-01-03 01:43 --------- d-----w C:\Program Files\Java
2008-01-03 01:42 --------- d-----w C:\Program Files\Common Files\Java
2008-01-03 01:31 --------- d-----w C:\Program Files\CheckPoint
2008-01-02 17:58 453,395 ----a-w C:\WINDOWS\A8NSD016.zip
2008-01-02 16:43 472,576 ----a-w C:\WINDOWS\Nvidia Omega Drivers v2.169.21 Uninstall.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 07:00 15360]
"SpybotSD TeaTimer"="e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 00:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 00:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 00:41 81920]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
"PWRISOVM.EXE"="e:\Program Files\PowerISO\PWRISOVM.EXE" [2007-04-09 07:23 200704]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ASUS Probe"="e:\Program Files\ASUS\Probe\AsusProb.exe" [2002-12-06 16:07 617984]
"QuickTime Task"="E:\Program Files\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"braviax"="braviax.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 07:00 15360]

C:\Documents and Settings\tollund\Start Menu\Programs\Startup\
OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 21:57:56 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
ckpNotify.dll 2004-07-13 22:14 24673 C:\WINDOWS\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqpnnn]
urqpnnn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Program Files\\WinSCP\\WinSCP.exe"=
"E:\\Program Files\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"E:\\Program Files\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"=
"E:\\Program Files\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"10634:TCP"= 10634:TCP:uTorrent

R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-03-03 14:58]
R2 Scap;SecureClient Application Policy Module;C:\WINDOWS\system32\DRIVERS\Scap.sys [2004-07-13 21:13]
R2 VPN-1;VPN-1 Module;C:\WINDOWS\system32\drivers\vpn.sys [2004-07-13 21:13]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\system32\DRIVERS\fw.sys [2004-07-13 21:13]
S3 OMVA;VPN-1 SecureClient Adapter;C:\WINDOWS\system32\DRIVERS\OMVA.sys [2004-07-13 21:12]
S3 wampapache;wampapache;"c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe" -k runservice []
S3 wampmysqld;wampmysqld;c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe wampmysqld []

.
Contents of the 'Scheduled Tasks' folder
"2008-03-03 12:42:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 16:14:08
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
e:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\imapi.exe
e:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-03-03 16:15:42 - machine was rebooted [tollund]
ComboFix-quarantined-files.txt 2008-03-03 21:15:40
.
2008-02-14 08:01:52 --- E O F ---

* * * * *

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:20:30, on 2008-03-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
e:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
E:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\imapi.exe
e:\Program Files\CheckPoint\SecuRemote\bin\SR_GUI.Exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Documents and Settings\tollund\Desktop\test.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: e404 helper - {C03FD59D-9104-44B7-929A-9EAA0BA05211} - C:\Program Files\Helper\1204579179.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] e:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ASUS Probe] e:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{80181FAC-6B05-4CFC-BA31-AADDD8213DFC}: NameServer = 192.168.0.1
O20 - Winlogon Notify: urqpnnn - urqpnnn.dll (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe
0
Réponse 2 / 16
Utilisateur anonyme
4 mars 2008 à 05:10
Il n'y a aucune protection sur cette machine

Avant de continuer il est indispensable de te protéger

pour cela il faut installer un anti virus, un anti-spyware et un pare feu.

======================= PareFeu XP - Vista ========================

pour activer/désactiver le Pare-feu Vista http://www.libellules.ch/firewall_vista.php
pour activer/désactiver le Pare-feu Xp http://www.libellules.ch/firewall_xpsp2.php


===================== ANTIVIR ========================
Télécharger ANTIVIR qui est un antivirus gratuit
https://download.cnet.com/Avira-Free-Security-with-Antivirus/3000-18510_4-10322935.html?part=dl-AviraAnti&subj=dl&tag=button&cdlpid=10322935


Suivre la procédure jusqu'au bout. En cas de doute demander

Procédure d'installation
https://www.astucesinternet.com/modules/news/article.php?storyid=253

Pour les réglages
https://www.malekal.com/avira-free-security-antivirus-gratuit/

========================= AVG ANTI-SPYWARE ===============================
Gratuit

Merci à ep44 pour ce mode explicatif
Télécharger:
AVG-AntiSpyware http://download.grisoft.cz/filedir/inst/avgas-setup-7.5.1.43-3339.exe
• Installer
• Le lancer
• Click : Mise à jour
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Dans ANALYSE ( en forme de loupe )
• Paramètres ==> sous COMMENT REAGIR==>click sur Actions recommandées ==>Quarantaine
• Click : Analyse complète du système

En fin de scan ( qui est assez long)
• Clic Appliquer toutes les actions <== ceci Très important
• Clic Sauvegarder rapport puis Enregistrer sous et choisir bureau
-------
• Relancer la machine en mode normal
• Copier/coller le rapport

==============================

Faire un scan avec antivir, A la fin de celui-ci une fenêtre s'ouvre avec un bouton report
Cliquer sur celui-ci et Copier/coller le rapport le rapport ici.

Il est possible que celui-ci détecte un virus dans combofix. C'est une fausse alerte. Cliquer sur ignore

============================
Ceci est un préalable indispensable à toute réinfection

Une fois tout cela fait, relancer Hitjackthis et coller le rapport ici

Y a du taf ;-)
0
tollund
4 mars 2008 à 13:09
Bonjour,

Ouais, le pare-feu XP était désactivé, je l'ai réactivé hier soir.

Pour ce qui est de la protection, je me suis acheté le logiciel PC Tools Spyware Doctor (avec moteur antivirus). Est-ce suffisant? Ou dois-je le désinstaller et installer les logiciels suggérés?
0
Réponse 3 / 16
Utilisateur anonyme
4 mars 2008 à 14:14
PC Tools Spyware Doctor, je ne connais pas ce logiciel mais je crois que ce n'est pas mal

A-tu installer Antivir Car un anti-spyware n'est pas suffisant, il faut aussi un ant-virus.

Si tu ne l'as pas fait fais le.

Scan tes disques avec Antivir. Delete (il te le proposera) tout ce qu'il te propose.
A la fin tu auras un bouton report. Click et poste le rapport ici.

Relance la machine et fait la même chose avec PC Tools Spyware Doctor
Si tu as un rapport de fin, poste le

Relance la machine et poste un rapport hitjackthis
0
tollund
5 mars 2008 à 01:02
Rapport de AntiVir, suivi de HiJackThis

* * *

AntiVir PersonalEdition Classic
Report file date: 4 mars 2008 10:06

Scanning for 1132572 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: TOLLUND

Version information:
BUILD.DAT : 270 15603 Bytes 9/19/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 8/23/2007 19:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 8/16/2007 18:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 8/14/2007 21:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 8/21/2007 18:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 7/18/2007 20:27:15
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 12/14/2007 15:03:40
ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 2/24/2008 15:03:40
ANTIVIR3.VDF : 7.0.2.230 165376 Bytes 3/4/2008 15:03:40
AVEWIN32.DLL : 7.6.0.73 3334656 Bytes 3/4/2008 15:03:40
AVWINLL.DLL : 1.0.0.7 14376 Bytes 2/26/2007 16:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 7/18/2007 13:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 4/16/2007 19:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 3/4/2008 15:03:40
AVREG.DLL : 7.0.1.6 30760 Bytes 7/18/2007 13:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 8/28/2007 18:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 7/18/2007 13:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 3/8/2007 17:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 8/7/2007 18:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 8/21/2007 18:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 7/23/2007 15:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: E:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 4 mars 2008 10:06

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SR_Watchdog.exe' - '1' Module(s) have been scanned
Scan process 'pctsSvc.exe' - '1' Module(s) have been scanned
Scan process 'soffice.bin' - '1' Module(s) have been scanned
Scan process 'soffice.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'pctsTray.exe' - '1' Module(s) have been scanned
Scan process 'pctsAuxs.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'AsusProb.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
Scan process 'PWRISOVM.EXE' - '1' Module(s) have been scanned
Scan process 'soundman.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
34 processes with 34 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'D:\'
[NOTE] No virus was found!
Boot sector 'E:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '29' files ).


Starting the file scan:

Begin scan in 'C:\' <OS>
C:\onhtp.exe
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/SpamBot.Gen Backdoor server programs
[INFO] The file was deleted!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GT2HIJOD\sdferw[1].htm
[DETECTION] The file contains an executable. This, however, is disguised by a harmless file extension (HIDDENEXT/Crypted)
[INFO] The file was deleted!
C:\Program Files\Helper\1204579179.dll
[DETECTION] Is the Trojan horse TR/Downloader.Gen
[INFO] The file was deleted!
C:\QooBox\Quarantine\C\Program Files\WinReanimator\install.exe.vir
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\QooBox\Quarantine\C\Program Files\WinReanimator\WinReanimator.exe.vir
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.B
[INFO] The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\braviax.exe.vir
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\cru629.dat.vir
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\system32\cru629.dat.vir
[DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
[INFO] The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\system32\winivstr.exe.vir
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024240.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024261.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024294.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024312.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024323.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024413.dll
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024424.dll
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024447.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024468.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024477.exe
[DETECTION] Is the Trojan horse TR/Dldr.Small.DDT.2
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024478.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024480.exe
[DETECTION] Contains detection pattern of the dropper DR/Virtumonde.160637
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024533.exe
[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.54
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024536.exe
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/SpamBot.Gen Backdoor server programs
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024559.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024565.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.B
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024571.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024577.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.B
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP67\A0024687.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024693.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024734.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024743.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.B
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024854.exe
[DETECTION] Contains detection pattern of the dropper DR/Tool.Reboot.F.54
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024892.dll
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024893.dll
[DETECTION] Is the Trojan horse TR/Vundo.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024903.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024918.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024922.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.B
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024931.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024932.exe
[DETECTION] Is the Trojan horse TR/Dldr.Small.DDT.2
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024933.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024935.exe
[DETECTION] Contains detection pattern of the dropper DR/Virtumonde.160637
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024950.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP68\A0024951.exe
[DETECTION] Is the Trojan horse TR/Crypt.FSPM.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP69\A0024988.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP69\A0024994.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.B
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP69\A0024999.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP69\A0025000.exe
[DETECTION] Contains detection pattern of the Phish-File/Email PHISH/FraudTool.Reanimator.A
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP70\A0026020.exe
[DETECTION] Contains a detection pattern of the (dangerous) backdoor program BDS/SpamBot.Gen Backdoor server programs
[INFO] The file was deleted!
C:\System Volume Information\_restore{A4287685-48D2-4A3A-99F8-0DE2CAB20E32}\RP70\A0026023.dll
[DETECTION] Is the Trojan horse TR/Downloader.Gen
[INFO] The file was deleted!
C:\WINDOWS\17PHolmes1535.exe
[DETECTION] Is the Trojan horse TR/Crypt.ULPM.Gen
[INFO] The file was deleted!
Begin scan in 'D:\' <SWAP>
D:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'E:\' <DATA>


End of the scan: 4 mars 2008 11:52
Used time: 1:45:55 min

The scan has been done completely.

9398 Scanning directories
441903 Files were scanned
50 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
50 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
441853 Files not concerned
2027 Archives were scanned
1 Warnings
10 Notes

* * * * * * * * * HIJACKTHIS * * * * *

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:12, on 2008-03-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
E:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] e:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ASUS Probe] e:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{80181FAC-6B05-4CFC-BA31-AADDD8213DFC}: NameServer = 192.168.0.1
O20 - Winlogon Notify: urqpnnn - urqpnnn.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe
0
Réponse 4 / 16
Utilisateur anonyme
5 mars 2008 à 01:30
Waouhhh. Quelle collection !!

=================
On continuera dans la journée.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Utilisateur anonyme
5 mars 2008 à 21:35
======================== SDFIX ========================

• Télécharger SDFix
• L'installer dans un répertoire dédié (faire exactement la procédure d'installation sans rien modifier)

Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec.
------
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes.

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
-------
• Une fois en mode sans échec, double-click sur RunThis.bat
• Taper Y puis appuyer sur la touche Entrée du clavier, afin de lancer le nettoyage !
SDFix va procéder au nettoyage, patience...
• Une fenêtre indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage.
-------
• Appuyer sur une touche du clavier pour redémarrer le PC.
• Au redémarrage du PC, SDFix indique que le nettoyage est terminé.
• Appuyer sur une touche du clavier afin d'ouvrir le rapport créé par SDFix.
• Il peut être enregistré si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous).
• Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : Report.txt
dans le dossier SDFix (ex : C:\SDFix\Report.txt).

Mettre le rapport dans le prochain message

0
tollund
5 mars 2008 à 22:36
[b]SDFix: Version 1.153 [/b]

Run by tollund on 2008-03-05 at 16:26

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix\SDFix

[b]Checking Services [/b]:

Name:
zyxelmodem

Path:
\??\C:\WINDOWS\inf\zyxelmodem.ADM

zyxelmodem - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\inf\zyxelmodem.ADM - Deleted



Folder C:\Program Files\Helper - Removed


Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-05 16:29:40
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Program Files\\WinSCP\\WinSCP.exe"="E:\\Program Files\\WinSCP\\WinSCP.exe:*:Enabled:Windows SFTP, FTP and SCP client"
"E:\\Program Files\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"="E:\\Program Files\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"E:\\Program Files\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe"="E:\\Program Files\\CheckPoint\\SecuRemote\\bin\\SR_GUI.exe:*:Enabled:SecureClient Application"
"E:\\Program Files\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"="E:\\Program Files\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe:*:Enabled:Adobe Dreamweaver CS3"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:µTorrent"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 17 Jan 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]
0
Réponse 6 / 16
Utilisateur anonyme
5 mars 2008 à 22:38
Redémarrer la machine et poster un nouveau rapport Hijackthis
0
tollund
5 mars 2008 à 22:42
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:40:33, on 2008-03-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
E:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] e:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ASUS Probe] e:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{80181FAC-6B05-4CFC-BA31-AADDD8213DFC}: NameServer = 192.168.0.1
O20 - Winlogon Notify: urqpnnn - urqpnnn.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe
0
Réponse 7 / 16
Utilisateur anonyme
5 mars 2008 à 22:46
----------------------- Fixer des lignes HitjackThis -------------------

Relancer Hitjackthis

• Fixer cette/ces lignes


O20 - Winlogon Notify: urqpnnn - urqpnnn.dll (file missing)


• Pour fixer cette/ces lignes.
• Cliquer sur la petite case à gauche de chaque ligne à fixer.

• Une fois cette/ces lignes cochées, cliquer sur le bouton en bas FIX CHECKED
• Fermer et relancer HitJackThis
• Copier/Coller le nouveau rapport sur le forum.


Comment va l'ordinateur ?
0
tollund
5 mars 2008 à 22:51
L'ordinateur se porte bien, sauf que quelques lenteurs se faisaient sentir au niveau de la navigation sur le web depuis hier PM... (j'utilise toujours Firefox cependant)

Merci, vous faites un travail très apprécié!!!

* * * * * * * * * *

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:49, on 2008-03-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
E:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
E:\Program Files\ASUS\Probe\AsusProb.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
E:\Program Files\Adobe\Adobe Dreamweaver CS3\Dreamweaver.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PWRISOVM.EXE] e:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ASUS Probe] e:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Program Files\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{80181FAC-6B05-4CFC-BA31-AADDD8213DFC}: NameServer = 192.168.0.1
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - e:\Program Files\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.6\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.0.45\bin\mysqld-nt.exe
0
Réponse 8 / 16
Utilisateur anonyme
5 mars 2008 à 23:23
A propos des quelques lenteurs, pour les usages qui n'ont pas besoin d'Internet, ça te parait normal ?

Une connexion internet peut-être variable, il y a des jours chez moi ou c'est plus lent que d'autres.

Réponds moi pendant que je prépare la fin car je ne vois plus rien, encore une ou deux petites manœuvres et nous en aurons terminé
0
tollund
5 mars 2008 à 23:54
Pour les usages normaux, la rapidité est stable (telle que je la connaissais il y a quelques mois).

La rapidité d'Internet est également revenue...

Merci encore énormément!
0
Réponse 9 / 16
Utilisateur anonyme
5 mars 2008 à 23:27
================ PareFeu XP - Vista ===================
Si un autre pare-feu que celui de windows est installé, vérifier qu'il est actif et passer à l'étape CCleaner

Sinon

pour activer/désactiver le Pare-feu Vista
pour activer/désactiver le Pare-feu Xp le Pare-feu Vista

Activer le pare-Feu si ce n'est déjà fait

===================== CCLEANER ========================

Nettoyage avec CCleaner
On va commencer par faire un peu le ménage

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.

• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)

Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées

===================== TOOLSCLEANER2 ========================

• Télécharger ToolsCleaner2
• Double-clic dessus à l'endroit où il a été téléchargé :
• clic sur Recherche
• patienter un moment le temps qu'il travaille...
• Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés,
• clic sur Suppression afin de les supprimer.
• Fermer le programme en cliquant sur Quitter.
• Poster le rapport qui se trouve ici >>> C:\TCleaner.txt

=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter que cela soit à nouveau sur "surveillance" puis Ok.
• Redémarrer l'ordinateur..
0
Réponse 10 / 16
Utilisateur anonyme
5 mars 2008 à 23:57
Si tout est bien nous en avons terminé.

A +
0
tollund
6 mars 2008 à 00:14
Parfait!

Devrais-je créer un restore point?
0
Réponse 11 / 16
Utilisateur anonyme
6 mars 2008 à 00:23
Non, cel a été fait avec la dernière manœuvre


=========== POINT DE RESTAURATION SYSTEME =============

* Désactivation :
Clic droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter jusqu’a ce que cela soit marqué "désactivé" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
• Appliquer
• patienter que cela soit à nouveau sur "surveillance" puis Ok.

A +
0
tollund
6 mars 2008 à 00:29
Parfait!

Quant à moi ce topic est "résolu"!!

Merci!
0
Réponse 12 / 16
Utilisateur anonyme
6 mars 2008 à 00:32
De rien ;-)
0
Harleyman Messages postés 100 Date d'inscription mercredi 4 janvier 2006 Statut Membre Dernière intervention 12 juin 2013
24 mars 2008 à 16:55
Salut j'ai vue l'aide que tu a aporté a un membre moi de mon coté je ne suis pu capable de rien faire ex: aucune recherche possible dans démmare,hijackthis ne veu pls s'executé et combo fix non plus maintenant je suis en mode sans echec avec prise en charge du reseau,

au debut de mon infection trend micro antivirus et antispyware 2008 que j'ai acheté en magasin , qui m'a detecté un Pak_generic apres avoir voulu essèyer un serial pour nero qu'un amis ma donné laisse moi te dir qu'il la sus


que peut tu me donné comme aide
merci bonne journée
0
Réponse 13 / 16
dada2col
22 mars 2008 à 21:39
bonjour
merci beaucoup pour votre super travaille j'ai pu également régler mon problème
0
Réponse 14 / 16
tamkta Messages postés 23 Date d'inscription dimanche 14 mai 2006 Statut Membre Dernière intervention 22 avril 2008 2
28 mars 2008 à 17:30
bonjour tout le monde,
excusez moi tollund et booddha et autres l'entrer dans votre discussion, parce que pour moi ce winreanimator n'éxsite que dans la barre des taches et àprés chaque message il attend que je l'installe : j'ai cherché ds le registre ds les prog files il n'y aucun fichier, malheurusement Spybot n'a pu rien faire, j'attends de l'aide svp.
j'ai Avast antivirus
0
Réponse 15 / 16
tamkta Messages postés 23 Date d'inscription dimanche 14 mai 2006 Statut Membre Dernière intervention 22 avril 2008 2
30 mars 2008 à 18:43
Salut tout le monde,
En attendant que quelqu'un me vient en aide j'ai désinstallé Avast et Adware Personal premiérement, j'ai installé Spyware Doctor et AVG deuxiement, ensuite j'ai lancé un scan de chacun .Aprés le redemarage du PC l'icone de winreanimator existant dans la barre des taches disparaisse, j'ai trouvé un fichier braviax dans le registre et un dossier dans windows! Donc je crois que le probléme est résolu.
0
Utilisateur anonyme
30 mars 2008 à 18:45
Salut, ouvre une autre file la prochaine fois, la réponse sera plus rapide.

;)
0
tamkta Messages postés 23 Date d'inscription dimanche 14 mai 2006 Statut Membre Dernière intervention 22 avril 2008 2 > Utilisateur anonyme
30 mars 2008 à 18:49
salut booddah,
merci pour le conseil.
0
Réponse 16 / 16
choco
2 avril 2008 à 00:15
essayer a-squared anti trojan il s'agit de:trojan.win32.inject.zs

ps: faites une analyse en profondeur...!
0