AGOBOT-KU installé dans fichier nvidia

rootsmania Messages postés 21 Statut Membre -
rootsmania Messages postés 21 Statut Membre - 27 mars 2008 à 17:50

Bonjour,

ma machine est infecté par AGOBOT-KU d'après ce que me dit résident de spybot qui le bloque, je refuse donc la modif de deux fichiers de ma carte nvidia au démarrage, il me le trouve également dans System Startup Global Entry ,je refuse également la modif.
Les symptômes sont les suivants:
- Au démarrage de ma bécane, les lettrages et icône de ma page de connexion sont brouillés, comme dédoublés. Ça ressemble presque à un canulard, mon pointeur crée des formes dans sont champ , des motifs apparaissent.
Je dois redémarré, et là tout est bon. Lorsque que je bosse rien ne se passe. Des que ma bécane se met en veille je dois redémarrer à nouveau. J'ai fait un scan en ligne avec Trend antivirus, il ne trouve rien. Sophos non plus. DR WEB mon antivirus ne trouve rien. True Sword m'a trouvé des spy , désinfecté, mais pas régler le problème.
J'ai fait un scan avec hitjackthis , voilà ce qu'il dit:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:56, on 24/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\DrWeb\spidernt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alliance MCA\SafeFax\faxtray.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hitjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [True Sword 4] C:\Program Files\True Sword 4\TrueSword4.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Lancement Application Fax.lnk = C:\Program Files\Alliance MCA\SafeFax\faxtray.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\Program Files\CachemanXP\CachemanXP.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\spidernt.exe
End of file - 4409 bytes

MERCI POUR VOTRE AIDE !!

Configuration: Windows XP
Firefox 2.0.0.12

Afficher la suite

A voir également:

AGOBOT-KU installé dans fichier nvidia
Fichier bin - Guide
Fichier epub - Guide
Fichier rar - Guide
Comment réduire la taille d'un fichier - Guide
Fichier .dat - Guide

9 réponses

Réponse 1 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

slt

essaye

https://www.broadcom.com/support/security-center

et

https://www.broadcom.com/support/security-center

_______________

colle le rapport

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html

Panda en ligne :
http://pandasoftware.fr
_____________

tu as quel antivirus?
____________

mets a jour interent explorer

https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html
_____________

recolle un rapport hijackthis et dis tes soucis

rootsmania Messages postés 21 Statut Membre

Bonjour et merci pour ta réponse,

comme antivirus j'ai Docteur Web, je fais mes mises à jour en automatique, je n'utilise que très très rarement IE,
mon navigateur habituelle est Firefox
J'ai fait avant hier le scan Trendmicro qui n'a rien trouvé...
Je suis tes autres conseils et je poste les rapports ensuite
A plus tard !

Réponse 2 / 9

rootsmania Messages postés 21 Statut Membre

Voici le rapport FX gaobot de Symantec :

Symantec W32.Gaobot FixTool 1.35.0

C:\System Volume Information: (not scanned)
D:\CHARBUSTER1\COMPLET\Putumayo\Putumayo Presents - Ska Cubano - ?Ay Caramba! 2006: (not scanned)
D:\System Volume Information: (not scanned)
E:\System Volume Information: (not scanned)
W32.Gaobot has not been found on your computer.

Jje continue.

Réponse 3 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

tu pourra me dire ou spybot considere les infection (nom des fichiers inféctés?)

rootsmania Messages postés 21 Statut Membre

Voilà le log de spybot notifiant les alertes sur les fichiers nvidia à chaque démarrage. Ma mise en veille est régler sur 20 mn, des que la bécane se met en veille je suis obligé de redémarrer et spybot réagi.
J'ai fait la mise à jour de IE 7 et les mises à jour sécurité de xp SP 2.
Je suis en train d'executer le deuxième outil Symantec.

Je te colle le LOG spybot ici :

21/03/2008 22:54:23 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
22/03/2008 09:27:49 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
22/03/2008 18:14:44 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
22/03/2008 19:05:06 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
22/03/2008 20:46:46 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
22/03/2008 21:22:37 Autorisé(e) (based on user decision) value "NvCplDaemon" (new data: "") supprimé(e) in System Startup global entry!
22/03/2008 21:28:06 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
22/03/2008 21:28:14 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
23/03/2008 08:49:30 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
23/03/2008 08:49:33 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
23/03/2008 09:53:17 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
23/03/2008 09:53:27 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
23/03/2008 11:46:45 Refusé(e) (based on user decision) value "KernelFaultCheck" (new data: "%systemroot%\system32\dumprep 0 -k") ajouté(e) in System Startup global entry!
23/03/2008 11:46:52 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
23/03/2008 11:46:55 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
23/03/2008 16:07:15 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
23/03/2008 16:07:23 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
23/03/2008 17:40:41 Autorisé(e) (based on user decision) value "{30D02401-6A81-11D0-8274-00C04FD5AE38}" (new data: "") supprimé(e) in User-specific browser toolbar!
23/03/2008 18:41:19 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
23/03/2008 18:41:23 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
23/03/2008 20:31:54 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
23/03/2008 20:32:01 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
23/03/2008 22:49:48 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
23/03/2008 22:49:55 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
24/03/2008 10:18:06 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
24/03/2008 10:18:42 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
24/03/2008 11:10:31 Autorisé(e) (based on user decision) value "True Sword 4" (new data: "C:\Program Files\True Sword 4\TrueSword4.exe") ajouté(e) in System Startup user entry!
24/03/2008 15:11:07 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
24/03/2008 15:11:49 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
24/03/2008 15:18:49 Autorisé(e) (based on user decision) value "Default_Page_URL" (new data: "") supprimé(e) in Browser page!
24/03/2008 18:57:55 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
24/03/2008 18:57:57 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
24/03/2008 19:32:20 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
24/03/2008 19:32:23 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
24/03/2008 21:01:30 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
24/03/2008 21:01:31 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 08:56:54 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
25/03/2008 08:56:58 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 09:51:23 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 09:51:53 Refusé(e) (based on user decision) value "WinSideBySideSetupCleanup 1430815" (new data: "rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\1430815") ajouté(e) in System Startup global entry!
25/03/2008 12:08:47 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
25/03/2008 12:08:49 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 14:31:55 Refusé(e) (based on user decision) value "{EFA24E64-B078-11D0-89E4-00C04FC9E26E}" (new data: "") ajouté(e) in User-specific browser toolbar!
25/03/2008 14:42:39 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
25/03/2008 14:42:42 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 15:13:21 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
25/03/2008 15:13:25 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 16:56:33 Autorisé(e) (based on user decision) value "True Sword 4" (new data: "") supprimé(e) in System Startup user entry!
25/03/2008 19:06:35 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
25/03/2008 19:06:36 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 20:29:49 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
25/03/2008 20:29:50 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
25/03/2008 22:25:58 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
25/03/2008 22:26:00 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 08:49:48 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
26/03/2008 08:49:48 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 11:12:05 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
26/03/2008 11:12:05 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 12:07:21 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
26/03/2008 12:07:24 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 14:35:46 Autorisé(e) (based on user whitelist) value "wextract_cleanup0" (new data: "rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\IXP000.TMP\"") ajouté(e) in System Startup global entry!
26/03/2008 14:51:14 Autorisé(e) (based on user decision) value "Search Page" (new data: "https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF") modifié(e) in Browser page!
26/03/2008 14:51:25 Autorisé(e) (based on user decision) value "Start Page" (new data: "https://www.msn.com/fr-fr/?ocid=iehp") modifié(e) in Browser page!
26/03/2008 14:51:32 Autorisé(e) (based on user decision) value "Default_Search_URL" (new data: "https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF") modifié(e) in Browser page!
26/03/2008 14:51:38 Autorisé(e) (based on user decision) value "Default_Page_URL" (new data: "https://www.msn.com/fr-fr/?ocid=iehp") ajouté(e) in Browser page!
26/03/2008 14:55:17 Autorisé(e) (based on user whitelist) value "BrandClearStubs" (new data: "RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{ED3DF1A7-E9AD-41C7-A62A-1CDA6E33F517}") ajouté(e) in System Startup global entry!
26/03/2008 14:55:38 Refusé(e) (based on user decision) value "Start Page" (new data: "https://www.01net.com/telecharger/") modifié(e) in Browser page!
26/03/2008 14:55:41 Refusé(e) (based on user decision) value "Default_Page_URL" (new data: "https://www.01net.com/telecharger/") modifié(e) in Browser page!
26/03/2008 14:56:53 Autorisé(e) (based on user decision) value "NoIE4StubProcessing" (new data: "C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f") ajouté(e) in System Startup global entry!
26/03/2008 14:57:16 Autorisé(e) (based on user whitelist) value "wextract_cleanup0" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 15:02:28 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
26/03/2008 15:02:29 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 15:02:51 Autorisé(e) (based on user decision) value "BrandClearStubs" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 15:03:04 Autorisé(e) (based on user decision) value "NoIE4StubProcessing" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 15:18:12 Autorisé(e) (based on user decision) value "ITBar7Layout" (new data: "hex:13,00,00,00,00,00,00,00,00,00,00,00,30,00,00,00,10,00,00,00,15,00,00,00,01,00,00,00,80,06,00,00,5E,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,") ajouté(e) in User-specific browser toolbar!
26/03/2008 15:22:28 Autorisé(e) (based on user decision) value "{6414512B-B978-451D-A0D8-FCFDF33E833C}" (new data: "") ajouté(e) in ActiveX Distribution Unit!
26/03/2008 15:45:02 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
26/03/2008 15:45:44 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 15:56:24 Refusé(e) (based on user decision) value "GrpConv" (new data: "grpconv -o") ajouté(e) in System Startup global entry!
26/03/2008 15:56:59 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 16:02:45 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
26/03/2008 16:02:46 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 16:34:24 Autorisé(e) (based on user whitelist) value "wextract_cleanup0" (new data: "rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\IXP000.TMP\"") ajouté(e) in System Startup global entry!
26/03/2008 16:34:54 Autorisé(e) (based on user whitelist) value "wextract_cleanup0" (new data: "") supprimé(e) in System Startup global entry!
26/03/2008 17:09:34 Refusé(e) (based on user decision) value "NvCplDaemon" (new data: "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup") ajouté(e) in System Startup global entry!
26/03/2008 17:09:35 Refusé(e) (based on user decision) value "" (new data: "") supprimé(e) in System Startup global entry!

Réponse 4 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

# Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Double-clique sur l’icône.
Les icônes vont disparaître. C’est normal.
Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
Redémarre ensuite le PC.

3/
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

rootsmania Messages postés 21 Statut Membre

Bonjour à toi,

Bien j'ai fait les 2 outils Rav et Flash désinfector, machine saine , rien trouver,

pour le scan de Malekal , je ne peux pas installer le logiciel , message d'erreur:

UNE ERREUR EST SURVENUE EN ESSAYANT DE RENOMMER UN FICHIER DANS LE DOSSIER DE DESTINATION
MOVEFILES A ECHOUE CODE 5 ACCES REFUSE

Suit proposition abandonner recommencer ignorer(déconseiller)

J'ai réessayais toujours pareil...

Pour reprendre le problème à la base, le problème se manifeste ou se met en route au prime allumage de la bécane
Ensuite il se perpétue au mise en veille, là, je suis obligé de redémarré.
J'ai essayé d'allonger ma durée de veille (option d'allim etc), je peux changer les paramètres mais cela reste sans effet.
Je commence à désespérer...

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

mets a jour internet explorer:
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

_____________

AVG antispyware
https://www.01net.com/telecharger/
http://free.grisoft.com/doc/download-free-anti-spyware/us/frt/0

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

rootsmania Messages postés 21 Statut Membre

AVG antispyware à juste trouvé 2 cookies Weborama que j'ai effacé , pas de rapport produit.

J'avais déjà hier fait les mises à jour IE7

Réponse 6 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

rootsmania Messages postés 21 Statut Membre

Voici le rapport SDFIX :

[b]SDFix: Version 1.162 [/b]

Run by Jean- Pierre on 27/03/2008 at 14:33

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\JEAN-P~1\Bureau\SDFix

[b]Checking Services [/b]:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

[b]Checking Files [/b]:

Trojan Files Found:

Could Not Remove C:\autorun.inf

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 14:50:25
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\utorrent\\utorrent.exe"="D:\\utorrent\\utorrent.exe:*:Enabled:æTorrent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:

C:\autorun.inf Found

File Backups: - C:\DOCUME~1\JEAN-P~1\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 30 Aug 2002 24,448 A.SHR --- "C:\NTBOOTDD.SYS"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 19 Aug 2004 4,639 ..SH. --- "C:\Program Files\Windows Media Player\mplayer2.exe"
Fri 3 Nov 2006 64,000 ..SH. --- "C:\Program Files\Windows Media Player\wmplayer.exe"
Wed 20 Jun 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 19 Aug 2004 93,184 A.SH. --- "C:\WINDOWS\BricoPacks\SysFiles\79_iexplore.exe"
Thu 16 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 16 Aug 2007 2,946,373 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6235b6326c9bf43dc0cc36408da2f943\download\BIT17.tmp"

[b]Finished![/b]

Réponse 7 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

rootsmania Messages postés 21 Statut Membre

Voilà pour Combofix

ComboFix 08-03-26.1 - Jean- Pierre 2008-03-27 16:26:07.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.215 [GMT 1:00]
Endroit: C:\Documents and Settings\Jean- Pierre\Bureau\Ratatouille.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-27 to 2008-03-27 ))))))))))))))))))))))))))))))))))))
.

2008-03-27 14:30 . 2008-03-27 14:30 <REP> d-------- C:\WINDOWS\ERUNT
2008-03-27 11:51 . 2008-03-27 11:51 <REP> d-------- C:\Documents and Settings\Jean- Pierre\Application Data\Grisoft
2008-03-27 11:50 . 2008-03-27 11:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-03-27 11:50 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-03-27 09:07 . 2008-03-27 10:38 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-03-27 08:48 . 2008-03-27 08:48 171 --a--c--- C:\curr_ver.tmp
2008-03-26 16:46 . 2006-08-21 10:14 23,040 -----c--- C:\WINDOWS\system32\dllcache\fltmc.exe
2008-03-26 16:46 . 2006-08-21 13:26 16,896 -----c--- C:\WINDOWS\system32\dllcache\fltlib.dll
2008-03-26 16:34 . 2003-02-28 18:26 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2008-03-26 16:34 . 2003-02-28 18:26 46,352 --a------ C:\WINDOWS\setdebug.exe
2008-03-26 16:34 . 2003-02-28 16:54 7,315 --a------ C:\WINDOWS\system32\javasup.vxd
2008-03-26 16:34 . 2003-02-28 16:35 6,550 --a------ C:\WINDOWS\jautoexp.dat
2008-03-26 16:34 . 2003-02-28 16:38 113 --a------ C:\WINDOWS\system32\zonedon.reg
2008-03-26 16:34 . 2003-02-28 16:38 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2008-03-26 16:15 . 2007-07-09 14:19 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-03-26 16:14 . 2006-08-24 12:17 500,278 -----c--- C:\WINDOWS\system32\dllcache\dxmasf.dll
2008-03-26 15:52 . 2007-03-17 14:44 293,376 -----c--- C:\WINDOWS\system32\dllcache\winsrv.dll
2008-03-26 15:52 . 2006-08-16 12:59 100,352 -----c--- C:\WINDOWS\system32\dllcache\6to4svc.dll
2008-03-26 15:51 . 2006-10-14 09:13 981,760 -----c--- C:\WINDOWS\system32\dllcache\mfc42u.dll
2008-03-26 15:51 . 2006-11-27 15:55 539,136 -----c--- C:\WINDOWS\system32\dllcache\msftedit.dll
2008-03-26 15:50 . 2007-11-07 10:28 728,576 -----c--- C:\WINDOWS\system32\dllcache\lsasrv.dll
2008-03-26 15:50 . 2006-08-17 13:29 332,288 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-03-26 15:50 . 2006-08-17 13:29 132,096 -----c--- C:\WINDOWS\system32\dllcache\wkssvc.dll
2008-03-26 15:50 . 2007-03-09 15:00 57,344 -----c--- C:\WINDOWS\system32\dllcache\agentdpv.dll
2008-03-26 15:47 . 2007-02-28 17:02 2,138,112 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-03-26 15:47 . 2007-02-28 17:02 2,017,792 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-03-26 15:46 . 2007-03-08 16:33 1,843,712 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-26 15:46 . 2007-03-08 16:37 578,560 -----c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-03-26 15:46 . 2006-12-19 19:17 334,336 -----c--- C:\WINDOWS\system32\dllcache\wiaservc.dll
2008-03-26 15:46 . 2007-06-19 14:32 282,112 -----c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2008-03-26 15:46 . 2007-03-08 16:37 40,960 -----c--- C:\WINDOWS\system32\dllcache\mf3216.dll
2008-03-26 15:45 . 2007-10-25 17:43 8,516,608 --a--c--- C:\WINDOWS\system32\dllcache\shell32.dll
2008-03-26 15:45 . 2006-06-22 11:48 181,248 -----c--- C:\WINDOWS\system32\dllcache\rasmans.dll
2008-03-26 15:45 . 2006-12-19 22:49 135,168 -----c--- C:\WINDOWS\system32\dllcache\shsvcs.dll
2008-03-26 15:45 . 2006-06-22 06:13 69,120 -----c--- C:\WINDOWS\system32\dllcache\ciodm.dll
2008-03-26 15:36 . 2007-08-21 07:17 683,520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-03-26 15:35 . 2006-08-25 16:51 617,472 -----c--- C:\WINDOWS\system32\dllcache\comctl32.dll
2008-03-26 15:35 . 2006-06-26 18:41 148,480 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-03-26 15:35 . 2006-05-19 14:23 112,128 -----c--- C:\WINDOWS\system32\dllcache\dhcpcsvc.dll
2008-03-26 15:35 . 2006-05-19 14:23 95,744 -----c--- C:\WINDOWS\system32\dllcache\iphlpapi.dll
2008-03-26 15:34 . 2006-10-20 02:38 716,800 -----c--- C:\WINDOWS\system32\dllcache\sxs.dll
2008-03-26 15:33 . 2006-10-12 12:09 256,512 -----c--- C:\WINDOWS\system32\dllcache\agentsvr.exe
2008-03-26 15:33 . 2007-04-25 15:22 144,896 -----c--- C:\WINDOWS\system32\dllcache\schannel.dll
2008-03-26 15:33 . 2006-10-12 15:04 42,496 -----c--- C:\WINDOWS\system32\dllcache\agentdp2.dll
2008-03-26 15:32 . 2006-03-17 01:38 28,672 --------- C:\WINDOWS\system32\verclsid.exe
2008-03-26 15:31 . 2007-04-16 16:53 1,049,600 -----c--- C:\WINDOWS\system32\dllcache\kernel32.dll
2008-03-26 15:31 . 2006-06-26 18:41 8,192 -----c--- C:\WINDOWS\system32\dllcache\rasadhlp.dll
2008-03-26 15:29 . 2007-01-23 20:31 546,304 -----c--- C:\WINDOWS\system32\dllcache\hhctrl.ocx
2008-03-26 15:23 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-03-26 14:50 . 2008-03-26 14:53 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-03-26 14:40 . 2007-12-07 03:08 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-26 14:40 . 2007-07-01 04:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-26 14:40 . 2007-12-07 03:08 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-26 14:40 . 2007-12-07 03:08 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-26 14:40 . 2007-12-07 03:08 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-26 14:40 . 2007-12-07 03:08 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-26 14:40 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-26 14:39 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-26 14:39 . 2007-12-07 03:08 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-25 09:48 . 2008-03-25 09:48 <REP> d----c--- C:\stdtsa
2008-03-24 12:01 . 2008-03-24 13:41 <REP> d-------- C:\Documents and Settings\Jean- Pierre\.housecall6.6
2008-03-23 16:20 . 2008-03-24 11:42 <REP> d-------- C:\Program Files\True Sword 4
2008-03-23 16:20 . 2008-03-23 16:20 <REP> d-------- C:\Documents and Settings\Jean- Pierre\Application Data\True Sword
2008-03-23 15:21 . 2008-03-23 15:21 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-03-23 12:07 . 2007-05-15 13:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-03-23 12:07 . 2007-05-15 13:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-03-23 12:07 . 2007-05-15 12:30 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-03-23 12:07 . 2007-05-15 13:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-03-23 12:07 . 2007-05-15 13:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-03-23 12:07 . 2008-03-23 15:59 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-03-23 12:07 . 2008-03-23 15:49 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-03-23 12:06 . 2008-03-27 14:27 495 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2008-03-21 21:29 . 2008-03-21 21:29 <REP> d-------- C:\Program Files\Sunbelt Software
2008-03-16 17:10 . 2008-03-26 14:55 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-16 14:41 . 2008-03-26 16:07 <REP> d-------- C:\Program Files\Navilog1
2008-03-16 14:05 . 2008-03-24 15:34 <REP> d-------- C:\hitjackthis
2008-03-15 10:20 . 2008-03-15 10:20 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-03-15 10:20 . 2008-03-15 11:19 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 14:05 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-03-27 13:47 --------- d-----w C:\Program Files\DrWeb
2008-03-24 14:30 159,810 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2008-03-24 10:12 --------- d-----w C:\Documents and Settings\Jean- Pierre\Application Data\OpenOffice.org2
2008-03-20 14:57 --------- d-----w C:\Documents and Settings\Jean- Pierre\Application Data\uTorrent
2008-03-16 17:25 --------- d-----w C:\Program Files\QuickTime
2008-02-23 17:57 65,175 ----a-w C:\WINDOWS\BricoPackUninst.cmd
2008-02-23 17:57 6,120 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-02-23 17:57 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-02-21 12:03 --------- d-----w C:\Documents and Settings\Jean- Pierre\Application Data\EoRezo
2008-02-21 11:53 --------- d-----w C:\Documents and Settings\Jean- Pierre\Application Data\ItsLabel
2008-02-08 16:46 63,488 ----a-w C:\WINDOWS\xobglu16.dll
2008-02-08 16:46 23,552 ----a-w C:\WINDOWS\xobglu32.dll
2008-01-30 13:26 77,824 ----atw C:\WINDOWS\system32\DRWEBSP.DLL
2008-01-30 13:25 --------- d-----w C:\Documents and Settings\Jean- Pierre\Application Data\InstallShield
2008-01-08 10:41 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-01-08 10:41 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-11-28 13:25 49,152 -c--a-w C:\Program Files\wssupdt.dll
2007-06-22 11:03 2,336,528 -c--a-w C:\Program Files\acwizard_lite.exe
2007-06-05 05:48 103,452 -c--a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_06_05_00_07_06_small.dmp.zip
1998-07-31 09:06 7,488 -c--a-w C:\WINDOWS\inf\unregpn.exe
2004-08-19 14:09 93,184 --sha-w C:\WINDOWS\BricoPacks\SysFiles\79_iexplore.exe
.

------- Sigcheck -------

2007-06-13 14:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe
2007-06-13 14:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2002-08-30 13:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2007-06-13 14:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2007-06-13 14:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpIDerMail"="C:\Program Files\DrWeb\spiderml.exe" [2007-12-25 14:34 500976]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-01-08 11:41 185896]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:09 15360]

C:\Documents and Settings\Jean- Pierre\Menu D‚marrer\Programmes\D‚marrage\
RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 23:05:02 630784]
TransBar.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-06-01 20:41:18 65536]
UberIcon.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-05-21 08:43:08 180224]
Y'z Shadow.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-05-21 08:43:14 155648]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement Application Fax.lnk - C:\Program Files\Alliance MCA\SafeFax\faxtray.exe [2007-08-20 13:40:27 749568]
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 00:48:20 40048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Rappels du Calendrier Microsoft Works.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Rappels du Calendrier Microsoft Works.lnk
backup=C:\WINDOWS\pss\Rappels du Calendrier Microsoft Works.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]
--a--c--- 2000-07-12 13:14 311350 C:\Program Files\Microsoft Works\WksSb.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a--c--- 2000-08-04 02:01 28739 C:\Program Files\Microsoft Works\WkDetect.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
C:\Program Files\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]
--a--c--- 2000-07-12 11:59 24576 C:\Program Files\Microsoft Works\wkfud.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe
"Microsoft Works Update Detection"=C:\Program Files\Microsoft Works\WkDetect.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"C-Media Mixer"=Mixer.exe /startup
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\utorrent\\utorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

Paused2 SPIDERNT;SpIDer Guard for Windows;C:\PROGRA~1\DrWeb\spidernt.exe [2008-01-28 14:07]
R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21]
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21]
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21]
R2 SPIDER;SpIDer Guard File System Monitor;C:\PROGRA~1\DrWeb\spider.sys [2008-01-28 14:07]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-19 15:10]
S3 CachemanXPService;CachemanXP;C:\Program Files\CachemanXP\CachemanXP.exe [2004-02-20 00:46]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8ff3820-03de-11dc-8762-0050ba26df5a}]
\Shell\AutoRun\command - H:\start.exe
\Shell\FramaKey\command - H:\start.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-03-22 13:47:09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-03-21 16:21:18 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 16:32:07
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
.
Temps d'accomplissement: 2008-03-27 16:34:30
ComboFix-quarantined-files.txt 2008-03-27 15:34:21
Pre-Run: 107,884,544 octets libres
Post-Run: 106,004,480 octets libres

Réponse 8 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

slt,
je viens de comprendre tu as True Sword ????

c'est un espion il faut le virer de ton ordi

_____________

Colle le rapport :
Clean permettra de faire du nettoyage et supprimer des fichiers que des anti-virus et anti-spywares n'ont pas pu trouver. Le logiciel est régulièrement mis à jour, vous devrez donc le re-téléchargé pour obtenir une version plus récente.

 Téléchargez clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
 Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
 Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laissez la ouverte jusqu'à ce qu'elle se ferme.
Manuel de clean :
http://kerio.probb.fr/tuto-Clean-h37.html
https://kerio.probb.fr/

rootsmania Messages postés 21 Statut Membre

J'ai plus True Sword installé dans la bécane y resté un dossier que je viens de virer.Mais je l'avais chargé APRES les problèmes actuelle , justement pour essayer de me sortir de là , bon je charge Clean .
A + tard

Réponse 9 / 9

jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040

ok colle le rapport clean

puis navilog

Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

rootsmania Messages postés 21 Statut Membre

Rapport Navilog:

Search Navipromo version 3.5.1 commencé le 27/03/2008 à 17:42:16,09

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Jean- Pierre"

Mise à jour le 23.03.2008 à 22h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.11
Système de fichiers : NTFS

Executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans C:\WINDOWS ***

*** Recherche dossiers dans C:\Program Files ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***

*** Recherche dossiers dans "C:\Documents and Settings\Jean- Pierre\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Jean- Pierre\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\Jean- Pierre\menudm~1\progra~1" ***

*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans C:\WINDOWS\system32 *

* Recherche dans "C:\Documents and Settings\Jean- Pierre\locals~1\applic~1" *

* Recherche dans "C:\docume~1\Administrateur\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans C:\WINDOWS\system32 :

* Dans "C:\Documents and Settings\Jean- Pierre\locals~1\applic~1" :

* Dans "C:\docume~1\Administrateur\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 27/03/2008 à 17:47:35,79 ***

Rapport CLEAN:

l 27/03/2008 a 17:21:20,53

*** Recherche des fichiers dans C:
C:\autorun.inf FOUND

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Discussions similaires

Chemin Logo du site de la Cité de l'espace

AGOBOT-KU installé dans fichier nvidia

9 réponses

Votre réponse

Discussions similaires

Newsletters