Virus: Win32:AuCrypt [ Cryp ]
Résolu
shyne06
Messages postés
128
Statut
Membre
-
afideg Messages postés 10970 Statut Contributeur sécurité -
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,
Voila j'ai window XP, avast comme antivirus, et lundi soir a peine mon ordinateur allumé, avast m'a traqué de message d'alerte concernant le virus win32 Aucrypt, j'ai tout mis en quarantaine, la plupart des fichiers sont dans C:\ System Volume Information, J'ai environ une centaine de fichiers inféctés. Aujourd'hui avast ne me traque plus, mais l'ouverture de mon disque dur, clef usb... est toujours délicate. je dois passé par l'arborescence.
Si quelqu'un a une solution a me proposer, je suis toute ouie. ( je suis novice en informatique)
Cordialement, Merci.
Voila j'ai window XP, avast comme antivirus, et lundi soir a peine mon ordinateur allumé, avast m'a traqué de message d'alerte concernant le virus win32 Aucrypt, j'ai tout mis en quarantaine, la plupart des fichiers sont dans C:\ System Volume Information, J'ai environ une centaine de fichiers inféctés. Aujourd'hui avast ne me traque plus, mais l'ouverture de mon disque dur, clef usb... est toujours délicate. je dois passé par l'arborescence.
Si quelqu'un a une solution a me proposer, je suis toute ouie. ( je suis novice en informatique)
Cordialement, Merci.
A voir également:
- Virus: Win32:AuCrypt [ Cryp ]
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
43 réponses
Bon
Merci
1°- As-tu toujours ta clé USB(disque amovile; pouvant être un appareil photo numérique) branchée?
J'avais demandé de la laisser branchée durant la désinfection.
Est-ce bien en G:\ que tu l'installes ?
Or, je ne la vois pas dans le rapport ANTIVIR.
Begin scan in 'G:\'
Search path G:\ could not be opened!
Le chemin d'accès spécifié est introuvable.
Attention: il faut connecter ta clé USB en G:\
2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :
File::
G:\22wcb21o.exe
G:\ta2.cmd
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
• Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >
Arrête puis redémarre le PC en "Mode sans Échec" < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur" Exécuter"
Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!
(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)
6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum. Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt
7°- Arrêter puis redémarrer le PC
Merci
Al
Merci
1°- As-tu toujours ta clé USB(disque amovile; pouvant être un appareil photo numérique) branchée?
J'avais demandé de la laisser branchée durant la désinfection.
Est-ce bien en G:\ que tu l'installes ?
Or, je ne la vois pas dans le rapport ANTIVIR.
Begin scan in 'G:\'
Search path G:\ could not be opened!
Le chemin d'accès spécifié est introuvable.
Attention: il faut connecter ta clé USB en G:\
2°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :
File::
G:\22wcb21o.exe
G:\ta2.cmd
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
• Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >
Arrête puis redémarre le PC en "Mode sans Échec" < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur" Exécuter"
Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!
(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)
6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum. Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt
7°- Arrêter puis redémarrer le PC
Merci
Al
Re, oui désolé j'ai oublié de connécté mon appareil photo durant le scan antivir ( je l'ai rebranché pour faire combofix, et j'ai encore le probléme pour l'ouvrir) Je te poste le rapport combo fix
ComboFix 08-03-18.1 - Léo_2 2008-03-21 0:40:45.6 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.337 [GMT 1:00]
Endroit: C:\Documents and Settings\Léo_2\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\LÚo_2\Bureau\CFScript.txt
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-20 to 2008-03-20 ))))))))))))))))))))))))))))))))))))
.
2008-03-20 20:10 . 2008-03-20 20:14 <REP> d-------- C:\Télédétection
2008-03-20 20:08 . 1997-05-07 10:25 17 --a------ C:\WINDOWS\system\Nuage.ocr
2008-03-20 20:07 . 2008-03-21 00:30 <REP> d-------- C:\Program Files\WinImage
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Program Files\Avira
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-19 23:45 . 2008-03-19 23:45 <REP> d-------- C:\Program Files\Trend Micro
2008-03-19 22:54 . 2008-03-19 22:54 <REP> d-------- C:\_OTMoveIt
2008-03-16 21:30 . 2008-03-20 18:47 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-20 13:35 . 2008-02-20 13:44 <REP> d-------- C:\Program Files\PhotoFiltre
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 23:24 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.
((((((((((((((((((((((((((((( snapshot@2008-03-19_21.54.35,70 )))))))))))))))))))))))))))))))))))))))))
.
+ 1997-03-25 04:02:00 82,976 ----a-w C:\WINDOWS\system32\bds52f.dll
+ 1995-02-28 10:14:18 164,928 ----a-w C:\WINDOWS\system32\bwcc.dll
+ 1995-02-28 10:16:30 96,928 ----a-w C:\WINDOWS\system32\bwcc000c.dll
+ 1997-03-25 04:02:00 229,376 ----a-w C:\WINDOWS\system32\cw3220.dll
+ 1997-03-25 04:02:00 303,104 ----a-w C:\WINDOWS\system32\cw3230.dll
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-03-19 23:15:49 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 1997-03-25 04:02:00 906,784 ----a-w C:\WINDOWS\system32\owl52f.dll
+ 1997-05-09 23:00:00 46,080 ----a-w C:\WINDOWS\system32\RXDDI.DLL
+ 1997-05-12 00:10:00 89,088 ----a-w C:\WINDOWS\system32\UNZDLL.DLL
+ 1997-05-12 00:10:00 97,280 ----a-w C:\WINDOWS\system32\ZIPDLL.DLL
- 1996-11-05 15:13:22 299,008 -c--a-w C:\WINDOWS\uninst.exe
+ 1997-01-10 17:33:18 303,711 ----a-w C:\WINDOWS\uninst.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-20 00:15 249896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
\Shell\AutoRun\command - G:\22wcb21o.exe
\Shell\explore\Command - G:\22wcb21o.exe
\Shell\open\Command - G:\22wcb21o.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc98c8-13fb-11da-bae4-0007cb0000ff}]
\Shell\AutoRun\command - cayfq2.cmd
\Shell\explore\Command - cayfq2.cmd
\Shell\open\Command - cayfq2.cmd
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-20 23:35:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 00:45:26
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
Temps d'accomplissement: 2008-03-21 0:46:24
ComboFix-quarantined-files.txt 2008-03-20 23:46:20
ComboFix2.txt 2008-03-20 18:52:04
ComboFix3.txt 2008-03-19 22:37:27
ComboFix4.txt 2008-03-19 22:24:44
ComboFix5.txt 2008-03-19 22:05:30
.
2008-03-12 11:25:42 --- E O F ---
PS: j'ai envoyé 2 messages qui n'ont pas marché, je te disais que les 2 lignes dans Hijack this ( fen affiche et alice ) ne sont pas presente dans le scan only. D'autre part j'ai bien supprimer le dossier fenaffiche.
ComboFix 08-03-18.1 - Léo_2 2008-03-21 0:40:45.6 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.337 [GMT 1:00]
Endroit: C:\Documents and Settings\Léo_2\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\LÚo_2\Bureau\CFScript.txt
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-20 to 2008-03-20 ))))))))))))))))))))))))))))))))))))
.
2008-03-20 20:10 . 2008-03-20 20:14 <REP> d-------- C:\Télédétection
2008-03-20 20:08 . 1997-05-07 10:25 17 --a------ C:\WINDOWS\system\Nuage.ocr
2008-03-20 20:07 . 2008-03-21 00:30 <REP> d-------- C:\Program Files\WinImage
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Program Files\Avira
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-19 23:45 . 2008-03-19 23:45 <REP> d-------- C:\Program Files\Trend Micro
2008-03-19 22:54 . 2008-03-19 22:54 <REP> d-------- C:\_OTMoveIt
2008-03-16 21:30 . 2008-03-20 18:47 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-20 13:35 . 2008-02-20 13:44 <REP> d-------- C:\Program Files\PhotoFiltre
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-20 23:24 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.
((((((((((((((((((((((((((((( snapshot@2008-03-19_21.54.35,70 )))))))))))))))))))))))))))))))))))))))))
.
+ 1997-03-25 04:02:00 82,976 ----a-w C:\WINDOWS\system32\bds52f.dll
+ 1995-02-28 10:14:18 164,928 ----a-w C:\WINDOWS\system32\bwcc.dll
+ 1995-02-28 10:16:30 96,928 ----a-w C:\WINDOWS\system32\bwcc000c.dll
+ 1997-03-25 04:02:00 229,376 ----a-w C:\WINDOWS\system32\cw3220.dll
+ 1997-03-25 04:02:00 303,104 ----a-w C:\WINDOWS\system32\cw3230.dll
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-03-19 23:15:49 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 1997-03-25 04:02:00 906,784 ----a-w C:\WINDOWS\system32\owl52f.dll
+ 1997-05-09 23:00:00 46,080 ----a-w C:\WINDOWS\system32\RXDDI.DLL
+ 1997-05-12 00:10:00 89,088 ----a-w C:\WINDOWS\system32\UNZDLL.DLL
+ 1997-05-12 00:10:00 97,280 ----a-w C:\WINDOWS\system32\ZIPDLL.DLL
- 1996-11-05 15:13:22 299,008 -c--a-w C:\WINDOWS\uninst.exe
+ 1997-01-10 17:33:18 303,711 ----a-w C:\WINDOWS\uninst.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-20 00:15 249896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
\Shell\AutoRun\command - G:\22wcb21o.exe
\Shell\explore\Command - G:\22wcb21o.exe
\Shell\open\Command - G:\22wcb21o.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc98c8-13fb-11da-bae4-0007cb0000ff}]
\Shell\AutoRun\command - cayfq2.cmd
\Shell\explore\Command - cayfq2.cmd
\Shell\open\Command - cayfq2.cmd
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-20 23:35:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 00:45:26
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
Temps d'accomplissement: 2008-03-21 0:46:24
ComboFix-quarantined-files.txt 2008-03-20 23:46:20
ComboFix2.txt 2008-03-20 18:52:04
ComboFix3.txt 2008-03-19 22:37:27
ComboFix4.txt 2008-03-19 22:24:44
ComboFix5.txt 2008-03-19 22:05:30
.
2008-03-12 11:25:42 --- E O F ---
PS: j'ai envoyé 2 messages qui n'ont pas marché, je te disais que les 2 lignes dans Hijack this ( fen affiche et alice ) ne sont pas presente dans le scan only. D'autre part j'ai bien supprimer le dossier fenaffiche.
Je ne sais pas si il fallait le faire, mais j'ai fais un scan uniquement de G, avec antivir, je te le poste ?
Re,
Bonjour,
Oui, poste le rapport ANTIVIR sur G:\ s'il te plaît.
Ensuite, fais cette recherche:
Pour accéder à la "Base de Registres", il faut clic sur "Démarrer" > "Exécuter" > saisir REGEDIT puis [OK]
Ensuite, il faut rechercher ces sous-clés en gras :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc98c8-13fb-11da-bae4-0007cb0000ff}]
Pour cela, il faut naviguer dans la plage de gauche:
en cliquant sur le signe + devant HKEY_CURRENT_USER,
puis descendre jusque SOFTWARE et cliquer sur +,
puis descendre jusque Microsoft et cliquer sur +,
puis descendre jusque Windows > +
puis CurrentVersion > +
puis Explorer > +
puis mountpoints2 > cliquer sur +
et terminer par clic-droit sur chacune des trois sous-clés suivantes (si elles sont bien présentes)
ATTENTION: Ne te trompe pas de ligne (dans le doute, tu stoppes tout !!) :
{40b3a35a-9a6e-11db-beeb-0008d30734e4} ==> puis [supprimer].
{779d738f-c5d8-11dc-81cd-0008d30734e4} puis [supprimer].
{f6bc98c8-13fb-11da-bae4-0007cb0000ff} puis [supprimer].
Quitter la Base de registres.
Rapporte-moi si tu as bien trouvé.
Merci
Al.
Bonjour,
Oui, poste le rapport ANTIVIR sur G:\ s'il te plaît.
Ensuite, fais cette recherche:
Pour accéder à la "Base de Registres", il faut clic sur "Démarrer" > "Exécuter" > saisir REGEDIT puis [OK]
Ensuite, il faut rechercher ces sous-clés en gras :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40b3a35a-9a6e-11db-beeb-0008d30734e4}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{779d738f-c5d8-11dc-81cd-0008d30734e4}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6bc98c8-13fb-11da-bae4-0007cb0000ff}]
Pour cela, il faut naviguer dans la plage de gauche:
en cliquant sur le signe + devant HKEY_CURRENT_USER,
puis descendre jusque SOFTWARE et cliquer sur +,
puis descendre jusque Microsoft et cliquer sur +,
puis descendre jusque Windows > +
puis CurrentVersion > +
puis Explorer > +
puis mountpoints2 > cliquer sur +
et terminer par clic-droit sur chacune des trois sous-clés suivantes (si elles sont bien présentes)
ATTENTION: Ne te trompe pas de ligne (dans le doute, tu stoppes tout !!) :
{40b3a35a-9a6e-11db-beeb-0008d30734e4} ==> puis [supprimer].
{779d738f-c5d8-11dc-81cd-0008d30734e4} puis [supprimer].
{f6bc98c8-13fb-11da-bae4-0007cb0000ff} puis [supprimer].
Quitter la Base de registres.
Rapporte-moi si tu as bien trouvé.
Merci
Al.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila mon scan antivir de G, je vais maintenant essayé de faire la manipulation que tu m'as conseillé... A bientot, Merci.
AntiVir PersonalEdition Classic
Report file date: vendredi 21 mars 2008 00:49
Scanning for 1160082 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Léo_2
Computer name: SHYNE
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 23:15:46
ANTIVIR2.VDF : 7.0.3.3 2048 Bytes 07/03/2008 23:15:46
ANTIVIR3.VDF : 7.0.3.61 328192 Bytes 20/03/2008 23:25:52
AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 19/03/2008 23:15:47
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/03/2008 23:15:48
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: G:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: vendredi 21 mars 2008 00:49
Starting search for hidden objects.
'53957' objects were checked, '0' hidden objects were found.
The scan of running processes will be started
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'WiFiStation.exe' - '1' Module(s) have been scanned
Scan process 'emule.exe' - '1' Module(s) have been scanned
Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'AGRSMMSG.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'vbptask.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
37 processes with 37 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD5
[NOTE] No virus was found!
Start scanning boot sectors:
Boot sector 'G:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '33' files ).
Starting the file scan:
Begin scan in 'G:\'
End of the scan: vendredi 21 mars 2008 00:52
Used time: 03:19 min
The scan has been done completely.
3 Scanning directories
139 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
0 Files cannot be scanned
139 Files not concerned
0 Archives were scanned
0 Warnings
0 Notes
53957 Objects were scanned with rootkit scan
0 Hidden objects were found
AntiVir PersonalEdition Classic
Report file date: vendredi 21 mars 2008 00:49
Scanning for 1160082 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: Léo_2
Computer name: SHYNE
Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 23:15:46
ANTIVIR2.VDF : 7.0.3.3 2048 Bytes 07/03/2008 23:15:46
ANTIVIR3.VDF : 7.0.3.61 328192 Bytes 20/03/2008 23:25:52
AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 19/03/2008 23:15:47
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.6.0.3 360488 Bytes 19/03/2008 23:15:48
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21
Configuration settings for the scan:
Jobname..........................: Manual Selection
Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: G:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Start of the scan: vendredi 21 mars 2008 00:49
Starting search for hidden objects.
'53957' objects were checked, '0' hidden objects were found.
The scan of running processes will be started
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'iPodService.exe' - '1' Module(s) have been scanned
Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'WiFiStation.exe' - '1' Module(s) have been scanned
Scan process 'emule.exe' - '1' Module(s) have been scanned
Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'iTunesHelper.exe' - '1' Module(s) have been scanned
Scan process 'qttask.exe' - '1' Module(s) have been scanned
Scan process 'AGRSMMSG.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'vbptask.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
37 processes with 37 modules were scanned
Starting master boot sector scan:
Master boot sector HD0
[NOTE] No virus was found!
Master boot sector HD1
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD2
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD3
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD4
[NOTE] No virus was found!
[WARNING] The boot sector file could not be read!
[WARNING] Error code: 0x0015
Master boot sector HD5
[NOTE] No virus was found!
Start scanning boot sectors:
Boot sector 'G:\'
[NOTE] No virus was found!
Starting to scan the registry.
The registry was scanned ( '33' files ).
Starting the file scan:
Begin scan in 'G:\'
End of the scan: vendredi 21 mars 2008 00:52
Used time: 03:19 min
The scan has been done completely.
3 Scanning directories
139 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
0 Files cannot be scanned
139 Files not concerned
0 Archives were scanned
0 Warnings
0 Notes
53957 Objects were scanned with rootkit scan
0 Hidden objects were found
J'ai bien trouvé les 3 clefs que m'as indiqué, mais avant de me lancer a supprimer, je voudrais que tu me confirme, je supprime bien par exemple {40b3a35a-9a6e-11db-beeb-0008d30734e4} + tout ce qui a dedans? je supprime bien la clef avec le + ? Merci
Re,
Lis tout ce texte avant de commencer, et rapporte-moi une capture écran avant d'avancer.
Pour ceci: « J'ai bien trouvé les 3 clefs que m'as indiqué, mais avant de me lancer a supprimer, je voudrais que tu me confirme, je supprime bien par exemple {40b3a35a-9a6e-11db-beeb-0008d30734e4} + tout ce qui a dedans? je supprime bien la clef avec le + ? »
1°- Tu as trouvé les trois sous-clés entre accolades ==> c'est déjà encourageant (Combofix aurait dû les supprimer).
2°- Donc, sur {40b3a35a-9a6e-11db-beeb-0008d30734e4}, tu fais un clic-droit; à ce moment, s'affiche un petit menu contextuel ==> dedans tu choisis "Supprimer" ==> et tu passes identiquement à la suppression de:
{779d738f-c5d8-11dc-81cd-0008d30734e4} puis [supprimer].
{f6bc98c8-13fb-11da-bae4-0007cb0000ff} puis [supprimer].
3°- Tu me demandes s'il faut supprimer tout ce qu'il y a dedans ==> ça me tracasse !! ==> qu'y a-t-il dedans qui t'intrigue ? ==> fais m'en une capture écran, SVP.
4°- Je ne comprends pas pourquoi tu insistes en écrivant: « je supprime bien la clef avec le + ? » ==> tu pointes le curseur de la souris sur la ligne entre accolades --> tu fais un clic-droit dessus --> elle se met en surbrillance --> tu choisis "Supprimer" --> clic.
Merci
Lis tout ce texte avant de commencer, et rapporte-moi une capture écran avant d'avancer.
Pour ceci: « J'ai bien trouvé les 3 clefs que m'as indiqué, mais avant de me lancer a supprimer, je voudrais que tu me confirme, je supprime bien par exemple {40b3a35a-9a6e-11db-beeb-0008d30734e4} + tout ce qui a dedans? je supprime bien la clef avec le + ? »
1°- Tu as trouvé les trois sous-clés entre accolades ==> c'est déjà encourageant (Combofix aurait dû les supprimer).
2°- Donc, sur {40b3a35a-9a6e-11db-beeb-0008d30734e4}, tu fais un clic-droit; à ce moment, s'affiche un petit menu contextuel ==> dedans tu choisis "Supprimer" ==> et tu passes identiquement à la suppression de:
{779d738f-c5d8-11dc-81cd-0008d30734e4} puis [supprimer].
{f6bc98c8-13fb-11da-bae4-0007cb0000ff} puis [supprimer].
3°- Tu me demandes s'il faut supprimer tout ce qu'il y a dedans ==> ça me tracasse !! ==> qu'y a-t-il dedans qui t'intrigue ? ==> fais m'en une capture écran, SVP.
4°- Je ne comprends pas pourquoi tu insistes en écrivant: « je supprime bien la clef avec le + ? » ==> tu pointes le curseur de la souris sur la ligne entre accolades --> tu fais un clic-droit dessus --> elle se met en surbrillance --> tu choisis "Supprimer" --> clic.
Merci
Lol, je ne sais pas comment faire une capture d'écran, en revanche je peux décrire ce que j'entend par ce qui a dedans, Chaque clef a un + devant et quand je clique sur le plus, il y a un sous dossier " shell" et si j'ouvre la clef, dans la partie droite de l'écran il y'a 3 fichiers, un ou c'est écri Base class REG _SZ Drive
un autre autorunstatus REG binary
et un autre " par defaut"
voila ce que je voulais dire, en fait je pense que c'est normal, mais si j'insiste c'est parceque j'ai peur de supprimer quelquu chose d'irréparable, comme tu m'as dis, si tu n'es pas sur stop tout. je voulais etre sur lol.
un autre autorunstatus REG binary
et un autre " par defaut"
voila ce que je voulais dire, en fait je pense que c'est normal, mais si j'insiste c'est parceque j'ai peur de supprimer quelquu chose d'irréparable, comme tu m'as dis, si tu n'es pas sur stop tout. je voulais etre sur lol.
Bon,
Je comprends mieux
Je comprends surtout que (au post # 24 -magistralement détaillé-) je n'ai jamais écrit de cliquer sur le + devant les sous-clés à supprimer.
Mais, et puique tu es curieuse, n'as-tu pas vu ceci dans le panneau de droite
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd
... en cliquant sur le + devant {40b3a35a-9a6e-11db-beeb-0008d30734e4} ?
Merci.
Al.
Je comprends mieux
Je comprends surtout que (au post # 24 -magistralement détaillé-) je n'ai jamais écrit de cliquer sur le + devant les sous-clés à supprimer.
Mais, et puique tu es curieuse, n'as-tu pas vu ceci dans le panneau de droite
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd
... en cliquant sur le + devant {40b3a35a-9a6e-11db-beeb-0008d30734e4} ?
Merci.
Al.
Re
Ton "lol si" laconique signifie-t-il que tu as vu ceci dans le panneau de droite:
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd
... en cliquant sur le + devant {40b3a35a-9a6e-11db-beeb-0008d30734e4} ?
Je préfèrerais que tu me répondes "Oui, j'ai vu cela", ou "Non, je n'ai pas vu cela" (forme anglaise d'une réponse).
Ce serait plus clair et net.
Si c'est mal expliqué aux postes # 24 & 27, dis-le.
J'essaierai demain de mieux expliquer avec des captures écrans.
Merci.
Al.
PS: Pour toi ==> Pour faire une capture d'écran :
Clic sur les touches [ALT+PrintScrSys] qui se trouve en haut à droite du clavier.
À ce moment elle (l'image de l'écran) est en mémoire dans ta souris.
Ensuite ouvre un logiciel graphique.
Si tu n'en a pas, ouvre "PAINT", en suivant ce chemin : démarrer/tous les programmes/ accessoires/"PAINT"
Après l'ouverture de "PAINT , vas dans : « édition » et clic sur "coller"
( Tu as à ce moment l'image en PAINT visible )
Puis « fichier »/ « enregistrer sous .. » ,
Enregistrer le fichier sur le bureau.
Lui donner un nom : choisir de préférence l'extention « jpg » ( par exemple « Test1.jpg ).
Tu peux également l’enregistrer dans un dossier dédié ( chez moi, c’est là C:\Documents and Settings\albert\Mes documents\PrintScreen Files ==> regarde chez toi si tu n’as pas déjà ce dossier PrintScreen Files dans "Mes documents")
Ensuite, afin qu'on puisse voir l'image il faut l'héberger sur un site que voici
https://imageshack.com/
( Ou https://www.hiboox.com/ )
Avec ImageShack , clic sur « Parcourir »
Et dans la page qui s’affiche, tu cibles le bureau (si c'est ton premier choix), tu retrouves la sauvegarde de l’image ( par exemple « Test1.jpg ), clic dessus, et ensuite [ouvrir]
< http://img187.imageshack.us/img187/797/screenshot250pv7.gif >
Retourne sur la page ImageShack , puis clic sur [host it] . Attends.
Copier le lien en face de "direct link to image" (qui se trouve tout au bas de la page d'ImageShack) ==> et uniquement celui-là ! ... et colle-le ici sur le post.
Bon amusement
Al.
Ton "lol si" laconique signifie-t-il que tu as vu ceci dans le panneau de droite:
\Shell\AutoRun\command - G:\ta2.cmd
\Shell\explore\Command - G:\ta2.cmd
\Shell\open\Command - G:\ta2.cmd
... en cliquant sur le + devant {40b3a35a-9a6e-11db-beeb-0008d30734e4} ?
Je préfèrerais que tu me répondes "Oui, j'ai vu cela", ou "Non, je n'ai pas vu cela" (forme anglaise d'une réponse).
Ce serait plus clair et net.
Si c'est mal expliqué aux postes # 24 & 27, dis-le.
J'essaierai demain de mieux expliquer avec des captures écrans.
Merci.
Al.
PS: Pour toi ==> Pour faire une capture d'écran :
Clic sur les touches [ALT+PrintScrSys] qui se trouve en haut à droite du clavier.
À ce moment elle (l'image de l'écran) est en mémoire dans ta souris.
Ensuite ouvre un logiciel graphique.
Si tu n'en a pas, ouvre "PAINT", en suivant ce chemin : démarrer/tous les programmes/ accessoires/"PAINT"
Après l'ouverture de "PAINT , vas dans : « édition » et clic sur "coller"
( Tu as à ce moment l'image en PAINT visible )
Puis « fichier »/ « enregistrer sous .. » ,
Enregistrer le fichier sur le bureau.
Lui donner un nom : choisir de préférence l'extention « jpg » ( par exemple « Test1.jpg ).
Tu peux également l’enregistrer dans un dossier dédié ( chez moi, c’est là C:\Documents and Settings\albert\Mes documents\PrintScreen Files ==> regarde chez toi si tu n’as pas déjà ce dossier PrintScreen Files dans "Mes documents")
Ensuite, afin qu'on puisse voir l'image il faut l'héberger sur un site que voici
https://imageshack.com/
( Ou https://www.hiboox.com/ )
Avec ImageShack , clic sur « Parcourir »
Et dans la page qui s’affiche, tu cibles le bureau (si c'est ton premier choix), tu retrouves la sauvegarde de l’image ( par exemple « Test1.jpg ), clic dessus, et ensuite [ouvrir]
< http://img187.imageshack.us/img187/797/screenshot250pv7.gif >
Retourne sur la page ImageShack , puis clic sur [host it] . Attends.
Copier le lien en face de "direct link to image" (qui se trouve tout au bas de la page d'ImageShack) ==> et uniquement celui-là ! ... et colle-le ici sur le post.
Bon amusement
Al.
oui oui je l'ai vu, mais je vois pas a quoi ça sert, ça y'est j'ai supprimé les 3 clefs comme convenu. Merci Al bonne soirée, a bientot
Re,
Cit. « oui oui je l'ai vu, mais je vois pas a quoi ça sert »
Réfléchis ==> c'est précisément parce que ça ne sert à rien (sinon à infecter ton PC) qu'on supprime.
Pourrais-tu supprimer ta version actuelle de ComboFix ainsi que les scriptes sur le Bureau; comme ceci:
Fais "Démarrer" > "Exécuter" > copier-coller la commande suivante:
"%userprofile%\Bureau\combofix.exe" /u
... puis OK
(Ça désinstallera ComboFix, supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.)
Ensuite relancer complètement une analyse ComboFix AVEC clé USB branchée, comme ceci:
Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
- Double clique sur l'icône de ComboFix.exe ( TRISTAN.EXE ) du bureau, [Exécuter] et suis les invites.
Tape 1 (ou Yes) puis [Enter] .
Accepter les alertes éventuelles.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt - ou TRISTAN.txt)
==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt (TRISTAN.txt) dans ton prochain message.
Merci
Bonne soirée
Al.
Cit. « oui oui je l'ai vu, mais je vois pas a quoi ça sert »
Réfléchis ==> c'est précisément parce que ça ne sert à rien (sinon à infecter ton PC) qu'on supprime.
Pourrais-tu supprimer ta version actuelle de ComboFix ainsi que les scriptes sur le Bureau; comme ceci:
Fais "Démarrer" > "Exécuter" > copier-coller la commande suivante:
"%userprofile%\Bureau\combofix.exe" /u
... puis OK
(Ça désinstallera ComboFix, supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.)
Ensuite relancer complètement une analyse ComboFix AVEC clé USB branchée, comme ceci:
Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]
Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).
- Double clique sur l'icône de ComboFix.exe ( TRISTAN.EXE ) du bureau, [Exécuter] et suis les invites.
Tape 1 (ou Yes) puis [Enter] .
Accepter les alertes éventuelles.
Laisse se dérouler le scan.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.
Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt - ou TRISTAN.txt)
==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt (TRISTAN.txt) dans ton prochain message.
Merci
Bonne soirée
Al.
Salut G!rly
Vu
Je prends celui-ci http://www.commentcamarche.net/forum/affich 5542877 genpack generic malware g i flbg 43e7280d
hyvää iltaa
Al.
Vu
Je prends celui-ci http://www.commentcamarche.net/forum/affich 5542877 genpack generic malware g i flbg 43e7280d
hyvää iltaa
Al.
Bonjour, j'ai suivi les instructions voici donc le nouveaux rapport combofix :
ComboFix 08-03-21.2 - Léo_2 2008-03-22 13:35:44.7 - NTFSx86
Endroit: C:\Documents and Settings\Léo_2\Bureau\TRISTAN.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-22 to 2008-03-22 ))))))))))))))))))))))))))))))))))))
.
2008-03-21 01:36 . 2008-03-21 01:37 <REP> d-------- C:\L02_3_Winimage_2008
2008-03-20 20:10 . 2008-03-20 20:14 <REP> d-------- C:\Télédétection
2008-03-20 20:08 . 1997-05-07 10:25 17 --a------ C:\WINDOWS\system\Nuage.ocr
2008-03-20 20:07 . 2008-03-21 00:30 <REP> d-------- C:\Program Files\WinImage
2008-03-20 00:35 . 2004-12-15 15:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-03-20 00:35 . 2004-12-15 15:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-03-20 00:35 . 2004-12-15 14:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-03-20 00:35 . 2004-12-23 09:50 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-03-20 00:35 . 2004-11-29 13:39 <REP> d-------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-03-20 00:35 . 2004-12-23 09:50 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-03-20 00:35 . 2004-12-28 10:56 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-03-20 00:35 . 2004-12-15 17:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterVideo
2008-03-20 00:35 . 2004-12-15 16:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Program Files\Avira
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-19 23:45 . 2008-03-19 23:45 <REP> d-------- C:\Program Files\Trend Micro
2008-03-16 21:30 . 2008-03-20 18:47 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-21 12:36 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-20 12:44 --------- d-----w C:\Program Files\PhotoFiltre
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-20 00:15 249896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-22 12:35:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 13:38:44
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-03-22 13:39:12
ComboFix-quarantined-files.txt 2008-03-22 12:39:10
ComboFix2.txt 2008-03-20 23:46:25
.
2008-03-12 11:25:42 --- E O F ---
ComboFix 08-03-21.2 - Léo_2 2008-03-22 13:35:44.7 - NTFSx86
Endroit: C:\Documents and Settings\Léo_2\Bureau\TRISTAN.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
((((((((((((((((((((((((((((( Fichiers créés 2008-02-22 to 2008-03-22 ))))))))))))))))))))))))))))))))))))
.
2008-03-21 01:36 . 2008-03-21 01:37 <REP> d-------- C:\L02_3_Winimage_2008
2008-03-20 20:10 . 2008-03-20 20:14 <REP> d-------- C:\Télédétection
2008-03-20 20:08 . 1997-05-07 10:25 17 --a------ C:\WINDOWS\system\Nuage.ocr
2008-03-20 20:07 . 2008-03-21 00:30 <REP> d-------- C:\Program Files\WinImage
2008-03-20 00:35 . 2004-12-15 15:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-03-20 00:35 . 2004-12-15 15:29 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-03-20 00:35 . 2004-12-15 14:36 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-03-20 00:35 . 2004-12-23 09:50 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-03-20 00:35 . 2004-11-29 13:39 <REP> d-------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-03-20 00:35 . 2004-12-23 09:50 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-03-20 00:35 . 2004-12-28 10:56 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-03-20 00:35 . 2004-12-15 17:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterVideo
2008-03-20 00:35 . 2004-12-15 16:57 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\InterTrust
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Program Files\Avira
2008-03-20 00:10 . 2008-03-20 00:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-03-19 23:45 . 2008-03-19 23:45 <REP> d-------- C:\Program Files\Trend Micro
2008-03-16 21:30 . 2008-03-20 18:47 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-03-01 15:03 . 2008-03-01 15:03 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-01 15:03 . 2008-03-01 15:03 1,409 --a------ C:\WINDOWS\QTFont.for
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-21 12:36 --------- d-----w C:\Program Files\eMule
2008-03-16 20:36 --------- d-----w C:\Program Files\TVAnts
2008-02-21 12:44 70,744 ----a-w C:\Documents and Settings\Léo_2\Application Data\GDIPFONTCACHEV1.DAT
2008-02-20 12:44 --------- d-----w C:\Program Files\PhotoFiltre
2008-02-15 14:54 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NASA
2008-02-15 12:42 --------- d-----w C:\Program Files\Google
2008-02-15 11:24 --------- d-----w C:\Program Files\NASA
2008-02-09 19:32 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-02-02 19:23 --------- d-----w C:\Program Files\NCH Software
2008-02-02 19:17 --------- d-----w C:\Program Files\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\Léo_2\Application Data\NCH Swift Sound
2008-02-02 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound
2007-10-25 11:29 5,632 -csha-w C:\Program Files\Thumbs.db
2007-06-10 19:48 1,163,592 -c--a-w C:\Program Files\install_flash_player.exe
2005-10-23 16:29 0 -c--a-w C:\Documents and Settings\Léo_2\Application Data\wklnhst.dat
2005-03-05 23:02 160,808,873 ----a-w C:\Program Files\AdobePhotoshopCS_Fr.zip
2005-01-19 22:58 1,256,444 ----a-w C:\Program Files\wrar342fr.exe
2005-01-19 22:56 7,741,336 ----a-w C:\Program Files\DivX521XP2K.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:59 204288]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RestoreIT!"="C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-09-21 16:39 114688]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-12-15 12:01 5513216]
"nwiz"="nwiz.exe" [2004-12-15 12:01 1490944 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-12-15 12:01 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-01-19 23:48 180269]
"AGRSMMSG"="AGRSMMSG.exe" [2004-04-13 12:49 88363 C:\WINDOWS\AGRSMMSG.exe]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-28 23:06 155648]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-09-16 07:43 274432]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-20 00:15 249896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2008-01-07 12:21:58 650240]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Eidos\\CM 03-04\\cm0304.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\NetMeeting\\conf.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-09-21 16:39]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-09-21 16:39]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-09-21 16:39]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 14:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
S2 NISDRV;NISDRV;C:\WINDOWS\system32\Drivers\NISDRV.SYS []
S3 adiusbae;USB ADSL LAN Adapter;C:\WINDOWS\system32\DRIVERS\adiusbae.sys []
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2004-12-20 14:20]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b9c5553b-53fe-11d9-aa3e-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccba173b-5290-11d9-8ca1-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d171d1bb-5276-11d9-8426-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e43cd43b-527f-11d9-aee6-806d6172696f}]
\Shell\AutoRun\command - D:\setup.exe
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-22 12:35:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 13:38:44
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-03-22 13:39:12
ComboFix-quarantined-files.txt 2008-03-22 12:39:10
ComboFix2.txt 2008-03-20 23:46:25
.
2008-03-12 11:25:42 --- E O F ---
Je pense que mon PC fonctionne parfaitement, aucun soucis pour ouvrir mon disque dur et mon appareil photo.
Merci beaucoup de ton aide, c'est vraiment trés gentil, on peut dire que le probléme est résolu. Merci beaucoup!
A bientot Bon week end!
Merci beaucoup de ton aide, c'est vraiment trés gentil, on peut dire que le probléme est résolu. Merci beaucoup!
A bientot Bon week end!
Bonjour Al, voila, j'ai a nouveaux le meme problème pour ouvrir mon appareil photo, ( pour mon disque dur tout va bien). Mais je n'ai eu aucun message d'alerte d'antivir. Pour le moment, pour pouvoir ouvrir correctement mon appareil photo j'applique " flash disinfector, et ensuite ça fonctionne. Voila, si tu as une petite idée... A bientôt.
