Je suis désepérée personne pour m'aider....

Résolu
cclrem Messages postés 35 Statut Membre -  
afideg Messages postés 10970 Statut Contributeur sécurité -
Bonjour,

Pourriez vous m'aider j'ai chpé qlq chose j'arrive pas à m'en débarrasser

Merci
d'avance

31 réponses

Précédent
  • 1
  • 2
Réponse 21 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
(suite)

Je te demande de rapporter ceci, SVP; relativement à ma procédure du post # 22 (oui, encore) ;)

1°- NOTE: Mais peut-être est-ce là que tu as trouvé ce fichier nynmfile.exe.vir analysé chez VirusTotal en lieu et place de shiponkb.exe comme demandé ?? Si c'est le cas, supprime les deux si tu les trouves.
==> Finalement, quel est exactement le fichier que tu as trouvé, et supprimé ?? (je nai pas reçu d'écho)
Je ne comprends pas pourquoi tu as fait analyser nynmfile.exe.vir, alors qu'il était question de shiponkb.exe. Habituellement, tu me dis dès qu'une 'anomalie' se présente (?).

2°- NOTE: Mais peut-être est-ce également là que tu as trouvé ce fichier afwbyjez.exe analysé chez VirusTotal en lieu et place de xstwzyrc.exe comme demandé ??
==> Finalement, quel est exactement le fichier que tu as trouvé, et supprimé ?? (je nai pas reçu d'écho)
Je ne comprends pas pourquoi tu as fait analyser afwbyjez.exe, alors qu'il était question de xstwzyrc.exe. Habituellement, tu me dis dès qu'une 'anomalie' se présente (?).

3°- Tu me rapportes ne pas avoir trouvé le fichier dorshwdu.exe
Mais as-tu bien trouvé la sous-clé [hagdphnu] de cette clé O4 - HKCU\..\Run: [hagdphnu] C:\ProgramData\hagdphnu\dorshwdu.exe ??

4°- Dans l'étape des registres, je te demandais ceci:
« ... puis Run > + ==> clic-droit > supprimer utugzyfy qui doit se trouver dans le panneau de gauche sous la sous-clé "Run". (Si ce n'est pas le cas, ouvre "Run" et regarde dans la plage de droite si tu les trouves sous "Nom" (en valeur) ==> idem: clic-droit dessus et supprime). ==> rapporte-moi cette étape, svp. »
Puis-je savoir si utugzyfy se trouvait dans le panneau de navigation de gauche, ou dans le panneau des valeurs et données à droite de la page REGEDIT ? Merci.

5°- Ce post # 22 se terminait par « Relance ensuite une analyse SREng suivi de HijackThis. »
Et poste-moi les deux rapports, bien évidemment. Merci.


Bon dimanche.
Al.
0
cclrem Messages postés 35 Statut Membre
 
pour les réponses à tes notes

1
shiponkb.exe a été supprimé pas d'autres fichiers trouvés

2
xstwzyrc.exe idem

je ne sais pas pq j'ai fait analyser autres fichiers

3
dorshwdu.exe
je l'ai trouvé mais je n'arrive pas à le supprimer

4
utugzyfy se trouvait ds la partie droite de la page et non pas juste en dessous du run

désolée mais je comprends pas ce que je fais donc pas evident

bon dimanche également
0
Réponse 22 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
(suite)

Merci pour les précieuses précisions apportées en réponse



Rapport HijackThis ??
SVP

Et profite pour fixer ces lignes en HJT :
O4 - HKCU\..\Run: [coeiekrk] C:\ProgramData\coeiekrk\xstwzyrc.exe
O4 - HKCU\..\Run: [hagdphnu] C:\ProgramData\hagdphnu\dorshwdu.exe
O4 - HKCU\..\Run: [ykldxlrd] C:\ProgramData\ykldxlrd\dohylwdi.exe
O4 - HKCU\..\Run: [lsghnjhc] C:\ProgramData\lsghnjhc\xutajixq.exe
O4 - HKCU\..\Run: [rixwmjrh] C:\ProgramData\rixwmjrh\pijmfobg.exe
O4 - HKCU\..\Run: [utugzyfy] C:\ProgramData\utugzyfy\shiponkb.exe
O4 - HKCU\..\Run: [0PHK9nxvhb] C:\ProgramData\idazwden\gpiriheb.exe
O4 - HKLM\..\Policies\Explorer\Run: [0PHK9nxvhb] C:\ProgramData\idazwden\gpiriheb.exe
Aide en images --> Fixer ligne avec HJT
http://dcangeldark.blogspot.com/2008/02/hijackthis-202-corriger-des-lignes.html

Et poster un rapport d'analyse HJT complète ensuite
0
cclrem Messages postés 35 Statut Membre
 
re,

rapport demandé je fixe les lignes ap

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:38:41, on 06/04/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\sttray.exe
C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Logitech\QuickCam10\COCIManager.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [LogitechSetup] E:\Setup\Setup.exe /restart /l:fra
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [rsvcmyyd] C:\Windows\system32\kfqpedkf.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
0
cclrem Messages postés 35 Statut Membre
 
je ne peux pas fixer ces lignes car elles n'existent pas ???!!!
est ce normal?
0
cclrem Messages postés 35 Statut Membre
 
je ne peux pas fixer ces lignes car elles n'existent pas ???!!!
est ce normal?
0
cclrem Messages postés 35 Statut Membre
 
je ne peux pas fixer ces lignes car elles n'existent pas?!!!
est ce normal?
0
cclrem Messages postés 35 Statut Membre
 
je pense que tu dois le savoir mais antivir n'arrête pas de me donner une alerte concernant le pg que je n'ai pas réussi à effacer
dorshwdu.exe
0
Réponse 23 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Oui, je l'ai vu

C'est bien là qu'est le problème:

Registry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<rsvcmyyd><C:\Windows\system32\kfqpedkf.exe> []

Drivers
[blbdrive / blbdrive][Stopped/Disabled]
<\SystemRoot\system32\drivers\blbdrive.sys><N/A>
[IPX Traffic Forwarder Driver / NwlnkFwd][Stopped/Manual Start]
<system32\DRIVERS\nwlnkfwd.sys><N/A>


A)- Peux-tu relancer IceSword comme indiqué précédemment:
==> ou "Clic-droit" sur l’icône IceSword.exe puis "Exécuter en tant qu'administrateur" si le petit menu contextuel s'affiche avec VISTA)

1° ==> Choisis le bouton radio [Win32 Services], laisse afficher tous les services dans la plage de droite.
Ensuite retrouve blbdrive que tu supprimes

2° ==> appuie sur la touche [Registry]; tu vois s'afficher l'arborescence de la base de registres dans laquelle il faut naviguer
a)- sous HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Run, ensuite ouvre "Run" et regarde dans la plage de droite si tu trouves rsvcmyyd sous "Nom" (en valeur) ==> idem: clic-droit dessus et supprime). ==> rapporte-moi cette étape, svp.
B)- sous HKEY_LOCAL_MACHINE\System\CurrentControl\Services\blbdrive <-- supprime ce driver si tu le trouves (à gauche ou à droite).==> rapporte-moi cette étape, svp

3°- ==> cliquer sur le bouton radio [File]
- Il faut naviguer (clic sur les + devant les répertoires ad hoc) dans l'arborescence (volet de gauche) jusqu'à atteindre le dossier contenant les fichiers infectés à supprimer:
a) ==> C:\Windows\system32\kfqpedkf.exe. <-- le fichier
b) ==> C:\Windows\system32\drivers\blbdrive.sys <-- le fichier




B)- Faire analyser ce fichier nwlnkfwd.sys chez VirusTotal
Il est en C:\Windows\DRIVERS\nwlnkfwd.sys><N/A>



C)- Terminer par une analyse ComboFix comme ceci:
Télécharge ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre-le sur le bureau.

Avant d'utiliser ComboFix :
==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

Une fois fait, sur ton bureau clic-droit sur Combofix.exe > choisir "Exécuter en tant qu'administrateur".
- Réponds "oui" au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)/!\

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

==> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.
==> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.




D)- EDIT ==> Connais-tu ce New Boundary Technologies que je vois ici :
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program Files\Common Files\New Boundary\PrismXL\PRISMXL.SYS


Courage
Je t'avais annoncé que ton PC était salement infecté.
Al.
0
cclrem Messages postés 35 Statut Membre
 
les réponses d'abord

A
1 j'ai bien trouvé le fichier win 32 mais pas blbdrive

2
a rsvcmyyd a bien été supprimé
b blbdrive a été supprimé et il se trouvait ds le menu défile de gauche

3 kfqpedkf.exe non trouvé
ainsi que son petit copain blbdrive.sys pas trouvé

B
c:\windows\Drivers n'existe pas il y a seulement un fichier Drivers cache


Mon pc a ramé avec combofix mais voici le rapport
ComboFix 08-04-04.1 - Ccil 2008-04-06 19:05:53.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.350 [GMT 2:00]
Endroit: C:\Users\Ccil\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Users\Ccil\Desktopblackbird.jpg
C:\Users\Ccil\DesktopEditorFKWP1.5.exe
C:\Users\Ccil\DesktopEditorFKWP2.0.exe
C:\Users\Ccil\Desktopfilemanagerclient.exe
C:\Users\Ccil\Desktopfkwp1.5.exe
C:\Users\Ccil\Desktopfkwp2.0.exe
C:\Users\Ccil\Desktopfwebd.exe
C:\Users\Ccil\DesktopFWebdEditor.exe
C:\Users\Ccil\DesktopTrojan.Win32.BlackBird.exe
C:\Users\Ccil\Desktopvirii
C:\Windows\system32\x64
D:\Autorun.inf
D:\RECYCLER\autorun.inf
D:\RECYCLER\desktop.ini
D:\RECYCLER\Folder.htt
D:\RECYCLER\info.exe
D:\RECYCLER\protect.ed
D:\RECYCLER\warning.bmp

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-06 to 2008-04-06 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-05 22:02 --------- d-----w C:\ProgramData\rixwmjrh
2008-04-05 22:02 --------- d-----w C:\ProgramData\lsghnjhc
2008-04-05 22:01 --------- d-----w C:\ProgramData\ykldxlrd
2008-04-05 22:00 --------- d-----w C:\ProgramData\coeiekrk
2008-04-05 21:59 --------- d-----w C:\ProgramData\utugzyfy
2008-04-04 22:40 --------- d-----w C:\ProgramData\idazwden
2008-04-04 22:16 --------- d-----w C:\Program Files\Alwil Software
2008-04-04 22:05 --------- d-----w C:\ProgramData\Avira
2008-04-04 22:05 --------- d-----w C:\Program Files\Avira
2008-04-04 21:40 --------- d-----w C:\Program Files\Java
2008-04-04 21:35 --------- d-----w C:\Program Files\Logitech
2008-04-04 21:28 106,496 ----a-w C:\Windows\System32\kfqpedkf.exe
2008-04-04 21:22 --------- d-----w C:\Program Files\Trend Micro
2008-04-04 20:29 --------- d-----w C:\Program Files\PC-Cleaner
2008-04-01 05:34 --------- d-----w C:\ProgramData\hagdphnu
2008-03-31 19:39 --------- d-----w C:\Users\Ccil\AppData\Roaming\PC-Antispyware
2008-03-31 17:45 --------- d-----w C:\ProgramData\Lavasoft
2008-03-31 17:44 --------- d-----w C:\Users\Ccil\AppData\Roaming\Apple Computer
2008-03-31 17:17 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-03-31 17:02 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-30 12:23 --------- d-----w C:\Users\Ccil\AppData\Roaming\CDBurnerXP_Soft
2008-03-30 12:23 --------- d-----w C:\Program Files\CDBurnerXP
2008-03-29 12:25 --------- d-----w C:\Program Files\Safari
2008-03-12 02:07 --------- d-----w C:\Program Files\Windows Mail
2008-02-27 21:01 --------- d-----w C:\Program Files\Windows Live
2008-02-27 19:54 --------- d-----w C:\ProgramData\Apple Computer
2008-02-27 19:54 --------- d-----w C:\Program Files\iTunes
2008-02-27 19:54 --------- d-----w C:\Program Files\iPod
2008-02-27 19:53 --------- d-----w C:\Program Files\Bonjour
2008-02-27 19:52 --------- d-----w C:\Program Files\QuickTime
2008-02-27 19:51 --------- d-----w C:\Program Files\Apple Software Update
2008-02-27 19:49 --------- d-----w C:\ProgramData\Apple
2008-02-27 19:49 --------- d-----w C:\Program Files\Common Files\Apple
2008-02-14 02:03 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-14 02:03 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-14 01:59 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-14 01:59 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-14 01:59 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-14 01:59 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-14 01:59 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-14 01:59 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-14 01:59 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-14 01:59 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-14 01:59 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-14 01:59 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-14 01:59 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-14 01:59 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-14 01:58 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 01:58 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 01:58 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-14 01:58 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-14 01:58 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-14 01:58 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-14 01:56 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-14 01:56 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-14 01:56 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 01:56 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-01 10:17 587,264 ----a-w C:\Windows\WLXPGSS.SCR
2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-01-08 21:50 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2007-11-17 19:50 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-08 23:50 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"AdobeUpdater"="C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-12-03 08:12 171448]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-17 21:45 1006264]
"SigmatelSysTrayApp"="sttray.exe" [2007-05-06 11:10 405504 C:\Windows\sttray.exe]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 10:46 497200]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34 614960]
"LVCOMSX"="C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-06-26 11:33 243248]
"LogitechSetup"="E:\Setup\Setup.exe" [ ]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2007-10-31 11:19 378784]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2008-01-02 18:07 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2008-01-02 18:06 166424]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2008-01-02 18:07 133656]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-06 00:06 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 23:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= lvcodec2.dll
"MSVideo"= vfwwdm32.dll
"MSVideo8"= VfWWDM32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{182DF67D-994D-458C-95C0-3D69A2577C5C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F31A32DC-AC4C-4F1E-A970-F2F9BCB4176E}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{AC3ABD10-A53E-4C61-AF33-0A7BA78B09D4}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{C198507C-0291-4A69-87A5-4886452774D5}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{B4AB8556-0257-4AF6-82C3-1A18E7D58AB5}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2008-01-02 17:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8ab3376-b318-11dc-9b9e-0019213bb845}]
\shell\AutoRun\command - J:\InstallTomTomHOME.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-06 17:40:02 C:\Windows\Tasks\User_Feed_Synchronization-{8ABDB5B5-FF3F-403F-8AFD-41D0F8445D10}.job"
- C:\Windows\system32\msfeedssync.exe
"2008-04-05 18:29:20 C:\Windows\Tasks\User_Feed_Synchronization-{D883E0D3-180C-4DDE-901A-FF6D9011CEA8}.job"
- C:\Windows\system32\msfeedssync.exe
"2007-12-11 06:20:38 C:\Windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-06 19:08:11
Windows 6.0.6000 NTFS

Balayage processus cachés ...

LVPrcSrv.exe [31140]

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-06 20:04:05
ComboFix-quarantined-files.txt 2008-04-06 17:50:33
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
.
2008-04-04 18:07:53 --- E O F ---


je ne sais pas si ça te va???

et je ne connais pas ( forcement) new boundary technologies
0
Réponse 24 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Bien, merci.
On avance !

Tu as donc toujours l'icône ComboFix sur le bureau. Il va servir.

1°- PREALABLES :
A)-Désactiver le TeaTimer de Spybot en passant par les options de Spybot, comme ceci:
- une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" .
- Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!
•- Ne fais pas l'impasse sur cette étape, car ça peut faire échouer la procédure de désinfection !

B)- Etant donné que ANTIVIR détecte un risque sécuritaire dans l'outil; à savoir: nircmd.cfexe qui appartient à ComboFix. ==> il faut que tu désactives le "bouclier d'Antivir" le temps de cette procédure.
==> Fais un clic-droit sur l'icône d'Antivir dans la barre des tâches et décoche "Antivir Guard enable"
==> Réactive-le en fin de cette procédure ComboFix.

2°- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

3°- > Redémarrer le PC en mode sans échec</gras> < http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 > (si F8 ne va pas, essaie F5)
NOTE : Quand tu as le curseur qui clignote à l'écran), tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.

4°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\Windows\System32\kfqpedkf.exe

Folder::
C:\ProgramData\rixwmjrh
C:\ProgramData\lsghnjhc
C:\ProgramData\ykldxlrd
C:\ProgramData\coeiekrk
C:\ProgramData\utugzyfy
C:\ProgramData\idazwden
C:\ProgramData\hagdphnu

Driver::
blbdrive

5°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
• Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >

6°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur" Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

7°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt
8°- Arrêter puis redémarrer le PC

9°- Poste un nouveau rapport ComboFix.txt comme ceci :
Branche ta clé USB.
- clic-droit sur Combofix.exe > choisir "Exécuter en tant qu'administrateur".
- Réponds "oui" au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum.


----------------------------------------


Il nous faut faire analyser ce fichier nwlnkfwd.sys chez VirusTotal
Il est signalé en C:\Windows\DRIVERS\nwlnkfwd.sys><N/A>
Il faut donc le rechercher et le localiser, comme ceci:

Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe >
•-Enregistre-le sur ton bureau
•- Lancer « OAD.exe » en faisant un clic-droit sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter en tant qu'administrateur»
==> une page bleue s’affiche.
•- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : taper (ou faire un copier/coller de) : valeur à rechercher avec l’extension du fichier , soit nwlnkfwd.sys puis [Enter]
==> une nouvelle page bleue s’affiche.
- Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.
•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".



Merci
Al.
0
cclrem Messages postés 35 Statut Membre
 
bonjour,

qqs petits commentaires

etape 1 ok
etape 2 ok
etape 3j'ai eu du mal avec le mode sans échec...docn pour info il faut attendre que le curseur apparraisse pour taper f8 ou f5 sinon ça ne fonctionne. c'est pour ça que je n'y arrivai pas
étape 4 j'ai dû redémarrerer le pc car le mode sans échec pas compatible avec le reste sinon je ne pouvais ma faire glisser le fichier vers combafix
étape 5 et 6 ci dessous le rapport
ComboFix 08-04-04.1 - Ccil 2008-04-07 19:31:09.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.367 [GMT 2:00]
Endroit: C:\Users\Ccil\Desktop\ComboFix.exe
Command switches used :: C:\Users\Ccil\Desktop\Cfscript.txt

FILE ::
C:\Windows\System32\kfqpedkf.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\ProgramData\coeiekrk
C:\ProgramData\hagdphnu
C:\ProgramData\hagdphnu\dorshwdu.exe
C:\ProgramData\idazwden
C:\ProgramData\lsghnjhc
C:\ProgramData\rixwmjrh
C:\ProgramData\utugzyfy
C:\ProgramData\ykldxlrd
C:\Users\Ccil\DesktopEditorFKWP1.5.exe
C:\Users\Ccil\DesktopEditorFKWP2.0.exe
C:\Users\Ccil\Desktopfilemanagerclient.exe
C:\Users\Ccil\Desktopfkwp1.5.exe
C:\Users\Ccil\Desktopfkwp2.0.exe
C:\Users\Ccil\Desktopfwebd.exe
C:\Users\Ccil\DesktopFWebdEditor.exe
C:\Users\Ccil\DesktopTrojan.Win32.BlackBird.exe
C:\Users\Ccil\Desktopvirii
C:\Windows\System32\kfqpedkf.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-07 to 2008-04-07 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-07 16:52 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-04-04 22:16 --------- d-----w C:\Program Files\Alwil Software
2008-04-04 22:05 --------- d-----w C:\ProgramData\Avira
2008-04-04 22:05 --------- d-----w C:\Program Files\Avira
2008-04-04 21:40 --------- d-----w C:\Program Files\Java
2008-04-04 21:35 --------- d-----w C:\Program Files\Logitech
2008-04-04 21:22 --------- d-----w C:\Program Files\Trend Micro
2008-04-04 20:29 --------- d-----w C:\Program Files\PC-Cleaner
2008-03-31 19:39 --------- d-----w C:\Users\Ccil\AppData\Roaming\PC-Antispyware
2008-03-31 17:45 --------- d-----w C:\ProgramData\Lavasoft
2008-03-31 17:44 --------- d-----w C:\Users\Ccil\AppData\Roaming\Apple Computer
2008-03-31 17:02 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-30 12:23 --------- d-----w C:\Users\Ccil\AppData\Roaming\CDBurnerXP_Soft
2008-03-30 12:23 --------- d-----w C:\Program Files\CDBurnerXP
2008-03-29 12:25 --------- d-----w C:\Program Files\Safari
2008-03-12 02:07 --------- d-----w C:\Program Files\Windows Mail
2008-02-27 21:01 --------- d-----w C:\Program Files\Windows Live
2008-02-27 19:54 --------- d-----w C:\ProgramData\Apple Computer
2008-02-27 19:54 --------- d-----w C:\Program Files\iTunes
2008-02-27 19:54 --------- d-----w C:\Program Files\iPod
2008-02-27 19:53 --------- d-----w C:\Program Files\Bonjour
2008-02-27 19:52 --------- d-----w C:\Program Files\QuickTime
2008-02-27 19:51 --------- d-----w C:\Program Files\Apple Software Update
2008-02-27 19:49 --------- d-----w C:\ProgramData\Apple
2008-02-27 19:49 --------- d-----w C:\Program Files\Common Files\Apple
2008-02-14 02:03 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-14 02:03 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-14 01:59 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-14 01:59 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-14 01:59 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-14 01:59 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-14 01:59 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-14 01:59 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-14 01:59 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-14 01:59 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-14 01:59 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-14 01:59 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-14 01:59 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-14 01:59 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-14 01:58 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 01:58 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 01:58 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-14 01:58 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-14 01:58 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-14 01:58 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-14 01:56 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-14 01:56 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-14 01:56 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 01:56 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-01 10:17 587,264 ----a-w C:\Windows\WLXPGSS.SCR
2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-01-08 21:50 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2007-11-17 19:50 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-08 23:50 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"AdobeUpdater"="C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-12-03 08:12 171448]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-17 21:45 1006264]
"SigmatelSysTrayApp"="sttray.exe" [2007-05-06 11:10 405504 C:\Windows\sttray.exe]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 10:46 497200]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34 614960]
"LVCOMSX"="C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-06-26 11:33 243248]
"LogitechSetup"="E:\Setup\Setup.exe" [ ]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2007-10-31 11:19 378784]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2008-01-02 18:07 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2008-01-02 18:06 166424]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2008-01-02 18:07 133656]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-06 00:06 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 23:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= lvcodec2.dll
"MSVideo"= vfwwdm32.dll
"MSVideo8"= VfWWDM32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{182DF67D-994D-458C-95C0-3D69A2577C5C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F31A32DC-AC4C-4F1E-A970-F2F9BCB4176E}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{AC3ABD10-A53E-4C61-AF33-0A7BA78B09D4}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{C198507C-0291-4A69-87A5-4886452774D5}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{B4AB8556-0257-4AF6-82C3-1A18E7D58AB5}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2008-01-02 17:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8ab3376-b318-11dc-9b9e-0019213bb845}]
\shell\AutoRun\command - J:\InstallTomTomHOME.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-07 17:30:00 C:\Windows\Tasks\User_Feed_Synchronization-{8ABDB5B5-FF3F-403F-8AFD-41D0F8445D10}.job"
- C:\Windows\system32\msfeedssync.exe
"2008-04-07 16:55:19 C:\Windows\Tasks\User_Feed_Synchronization-{D883E0D3-180C-4DDE-901A-FF6D9011CEA8}.job"
- C:\Windows\system32\msfeedssync.exe
"2007-12-11 06:20:38 C:\Windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-07 19:33:41
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-07 19:34:20
ComboFix-quarantined-files.txt 2008-04-07 17:34:16
ComboFix2.txt 2008-04-06 18:06:03
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
.
2008-04-04 18:07:53 --- E O F ---

je continue
0
cclrem Messages postés 35 Statut Membre
 
étape 9
rapport
ComboFix 08-04-04.1 - Ccil 2008-04-07 19:51:16.2 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.98 [GMT 2:00]
Endroit: C:\Users\Ccil\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-07 to 2008-04-07 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-07 16:52 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-04-04 22:16 --------- d-----w C:\Program Files\Alwil Software
2008-04-04 22:05 --------- d-----w C:\ProgramData\Avira
2008-04-04 22:05 --------- d-----w C:\Program Files\Avira
2008-04-04 21:40 --------- d-----w C:\Program Files\Java
2008-04-04 21:35 --------- d-----w C:\Program Files\Logitech
2008-04-04 21:22 --------- d-----w C:\Program Files\Trend Micro
2008-04-04 20:29 --------- d-----w C:\Program Files\PC-Cleaner
2008-03-31 19:39 --------- d-----w C:\Users\Ccil\AppData\Roaming\PC-Antispyware
2008-03-31 17:45 --------- d-----w C:\ProgramData\Lavasoft
2008-03-31 17:44 --------- d-----w C:\Users\Ccil\AppData\Roaming\Apple Computer
2008-03-31 17:02 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-03-30 12:23 --------- d-----w C:\Users\Ccil\AppData\Roaming\CDBurnerXP_Soft
2008-03-30 12:23 --------- d-----w C:\Program Files\CDBurnerXP
2008-03-29 12:25 --------- d-----w C:\Program Files\Safari
2008-03-12 02:07 --------- d-----w C:\Program Files\Windows Mail
2008-02-27 21:01 --------- d-----w C:\Program Files\Windows Live
2008-02-27 19:54 --------- d-----w C:\ProgramData\Apple Computer
2008-02-27 19:54 --------- d-----w C:\Program Files\iTunes
2008-02-27 19:54 --------- d-----w C:\Program Files\iPod
2008-02-27 19:53 --------- d-----w C:\Program Files\Bonjour
2008-02-27 19:52 --------- d-----w C:\Program Files\QuickTime
2008-02-27 19:51 --------- d-----w C:\Program Files\Apple Software Update
2008-02-27 19:49 --------- d-----w C:\ProgramData\Apple
2008-02-27 19:49 --------- d-----w C:\Program Files\Common Files\Apple
2008-02-14 02:03 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-02-14 02:03 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-02-14 01:59 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-02-14 01:59 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-02-14 01:59 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-02-14 01:59 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-02-14 01:59 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-02-14 01:59 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-02-14 01:59 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-02-14 01:59 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-02-14 01:59 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-02-14 01:59 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-02-14 01:59 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys
2008-02-14 01:59 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-02-14 01:58 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-02-14 01:58 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-02-14 01:58 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-02-14 01:58 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-02-14 01:58 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-02-14 01:58 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-02-14 01:56 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-02-14 01:56 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-02-14 01:56 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-02-14 01:56 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-02-01 10:17 587,264 ----a-w C:\Windows\WLXPGSS.SCR
2008-01-10 05:50 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-01-08 21:50 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2007-11-17 19:50 174 --sha-w C:\Program Files\desktop.ini
.

((((((((((((((((((((((((((((( snapshot@2008-04-07_19.33.56.08 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-07 17:26:40 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-04-07 17:50:07 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-04-07 17:29:01 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-04-07 17:52:39 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-04-07 17:28:19 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-04-07 17:51:43 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-04-07 17:29:53 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-04-07 17:45:31 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-04-07 17:28:14 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-04-07 17:51:48 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-04-07 17:51:48 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2008-04-07 17:33:07 103,726 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-04-07 17:46:53 103,726 ----a-w C:\Windows\System32\perfc009.dat
- 2008-04-07 17:33:07 117,366 ----a-w C:\Windows\System32\perfc00C.dat
+ 2008-04-07 17:46:53 117,366 ----a-w C:\Windows\System32\perfc00C.dat
- 2008-04-07 17:33:07 609,944 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-04-07 17:46:53 609,944 ----a-w C:\Windows\System32\perfh009.dat
- 2008-04-07 17:33:07 690,594 ----a-w C:\Windows\System32\perfh00C.dat
+ 2008-04-07 17:46:53 690,594 ----a-w C:\Windows\System32\perfh00C.dat
- 2008-04-07 17:28:39 7,774 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4219183487-3457623682-3132192621-1000_UserData.bin
+ 2008-04-07 17:52:00 7,862 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4219183487-3457623682-3132192621-1000_UserData.bin
- 2008-04-07 17:28:39 61,510 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-04-07 17:52:00 61,622 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-04-07 17:28:35 42,648 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-04-07 17:51:56 42,934 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-08 23:50 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"AdobeUpdater"="C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe" [ ]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-12-03 08:12 171448]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-11-17 21:45 1006264]
"SigmatelSysTrayApp"="sttray.exe" [2007-05-06 11:10 405504 C:\Windows\sttray.exe]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe" [2006-06-26 10:46 497200]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam10\QuickCam10.exe" [2006-06-26 11:34 614960]
"LVCOMSX"="C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe" [2006-06-26 11:33 243248]
"LogitechSetup"="E:\Setup\Setup.exe" [ ]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2007-10-31 11:19 378784]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"IgfxTray"="C:\Windows\system32\igfxtray.exe" [2008-01-02 18:07 141848]
"HotKeysCmds"="C:\Windows\system32\hkcmd.exe" [2008-01-02 18:06 166424]
"Persistence"="C:\Windows\system32\igfxpers.exe" [2008-01-02 18:07 133656]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-06 00:06 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 23:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= lvcodec2.dll
"MSVideo"= vfwwdm32.dll
"MSVideo8"= VfWWDM32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{182DF67D-994D-458C-95C0-3D69A2577C5C}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F31A32DC-AC4C-4F1E-A970-F2F9BCB4176E}"= UDP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{AC3ABD10-A53E-4C61-AF33-0A7BA78B09D4}"= TCP:C:\Program Files\Bonjour\mDNSResponder.exe:Bonjour
"{C198507C-0291-4A69-87A5-4886452774D5}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes
"{B4AB8556-0257-4AF6-82C3-1A18E7D58AB5}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe [2008-01-28 11:43]
R3 igfx;igfx;C:\Windows\system32\DRIVERS\igdkmd32.sys [2008-01-02 17:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8ab3376-b318-11dc-9b9e-0019213bb845}]
\shell\AutoRun\command - J:\InstallTomTomHOME.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-07 17:55:00 C:\Windows\Tasks\User_Feed_Synchronization-{8ABDB5B5-FF3F-403F-8AFD-41D0F8445D10}.job"
- C:\Windows\system32\msfeedssync.exe
"2008-04-07 16:55:19 C:\Windows\Tasks\User_Feed_Synchronization-{D883E0D3-180C-4DDE-901A-FF6D9011CEA8}.job"
- C:\Windows\system32\msfeedssync.exe
"2007-12-11 06:20:38 C:\Windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-07 19:54:29
Windows 6.0.6000 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-07 19:55:28
ComboFix-quarantined-files.txt 2008-04-07 17:55:21
ComboFix2.txt 2008-04-07 17:34:21
ComboFix3.txt 2008-04-06 18:06:03
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
.
2008-04-04 18:07:53 --- E O F ---
0
cclrem Messages postés 35 Statut Membre
 
rapport oad...
je crois que c'est pas bon il a rien trouvé...


07/04/2008 ---- 20:04:40,34

----------------------------------
§§§§§§ [nwlnkfwd.sys] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Allo ?
Est-ce que tu t'en tires ?
Regarde ici http://img509.imageshack.us/img509/5984/screenshot332wc3.png
Al.
0
cclrem Messages postés 35 Statut Membre
 
bonjour,
decidement .. pb avec la free hier, je m'occupe de tout ça ce soir...
je vais bosser..

à toute
ccil
0
Réponse 26 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Beau travail
Bravo
Merci

Bizarre que tu ne m'aies rien rapporté au sujet de cette action :
« 2°- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK] » ==> as-tu "Poste de travail" avec VISTA ?

DONC ==> cette "restauration système" est-elle toujours désactivée actuellement ??
Tu peux la réactiver.
Réactive aussi l'UAC.
Mets bien à jour ton ANTIVIR.


Comment va le PC ?
As-tu encore des soucis ?


Bonne nuit
Al.
0
cclrem Messages postés 35 Statut Membre
 
bonjour,

qqs réponses
2...ben non je ne sais pas "poste de trvail" sous vista ... donc je me suis débrouillée avec l'aide...je suis allée ds le système et je l'ai désactivée dans propriètés comme tu me l'avais demandé...le chemin d'accès n'est pas forcement facile mais j'ai trouvé...
"poste de travail " s'appelle "ordinateur" mais je n'ai pas trouvé le chemin d'accès via "ordinateur"..
bref j'ai bidouillé et j'ai trouvé
J'avais réactivé restauration système hier en fin de manip
le pc ne m'a pas donné d'alerte auj en le démarrant ni hier...

une petite question pour mettre à jour antivir je cliqe sur " update"
et autre question il vaut mieux faire quoi quand antivir détecte un virus? delete, quarantine,...
je peux effacer tout ce que j'ai téléchargé pour nettoyer? il faut que je laisse spybot?

MERCI MERCIMERCIMERCIMERCIMERCIMERCIMERCIMERCIMERCIMERCIMERCIMERCIMERCIMERCI

Ccil
0
Réponse 27 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Bonjour,

Merci pour ces réponses

1°- Pour ton information:
a- Désactiver et réactiver la restauration système sous Vista
https://forum.malekal.com/viewtopic.php?f=59&t=5385
b- Voila de quoi t'aider pour la restauration systeme
http://www.libellules.ch/restauration_system_vista.php




2°- Cit. « ... pour mettre à jour antivir je cliqe sur " update" »
Je ne sais pas; je n'ai pas ANTIVIR (mais Kaspersky Internet Security 7).
Mais je t'ai donné des tutoriels, non ?

a- Voici ce que je trouve :

aa- Impossible mettre à jour Antivir sur Vista "rien ne se passe"
< https://forum.malekal.com/viewtopic.php?p=46582#p46582 > par Malekal_morte le Sam 01 Déc , 22:57 pm
Source : https://support.avira.com/hc/en-us/community/topics
ab- Vous avez installé Antivir sur Windows Vista et lorsque vous lancez une mise à jour rien ne se passe, aucune mise à jour se lance.
==> Procédure de dépannage "quand rien ne va plus":
- Téléchargez ce zip : http://www.avira.com/documents/utils/tools/reg_appdata_winvista.zip
- Décompressez-le, vous obtenez le fichier : reg_appdata_winvista.reg
- Désactivez les antispywares (notamment "Windows Defender" qui est fourni avec Windows Vista)
- Double-cliquez sur le fichier "reg_appdata_winvista.reg" et acceptez la fusion des données.
- Redémarrez l'ordinateur
- Relancez la mise à jour d'Antivir.

b) Une chose à retenir, cependant:
Citation « Tu as sans doute trop trainé pour effectuer les mises à jour, et tu as dépassé la limite de validité je pense. En fait, Antivir est gratuit, et la date limite d'expiration recule de mise à jour en mise à jour. Du coup si tu ne les effectues pas, au bout d'un certain temps, il n'est plus valide, et tu ne peux plus faire de mises à jour. Il te faut donc alors désinstaller, et réinstaller. »




3°- Cit. « ... il vaut mieux faire quoi quand antivir détecte un virus? delete, quarantine,... »
Le principe de précaution veut que l'on mette en "quarantine", et ensuite que l'on coure vers un dépanneur !
Ma confiance en ANTIVIR (malgré que je ne l'ai pas) me pousse à ne pas tergiverser ==> DELETE !



4°- Cit. « ... je peux effacer tout ce que j'ai téléchargé pour nettoyer? »
Fais ceci:
•- Télécharger _OTMoveIt sur ton bureau > < http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe >
•- Lance OTMoveIt.exe par clic-droit > [exécuter en tant qu'administrateur]
[*]Clique sur CleanUp! (le programme va télécharger un fichier texte qui servira à nettoyer les programmes que l'on a téléchargés).
NOTE : Normalement, ton Firewall (parefeu) devrait te demander si _OTMoveIt peut accéder à Internet. Autorise-le.
[*]Une liste apparaît dans la partie gauche d' _OTMoveIt.
[*]Un message apparaît pour confirmer le nettoyage. Confirme
Ce programme supprime les outils utilisés ainsi que les quarantaines éventuelles.
La manoeuvre nécessitera un reboot (=redémarrage) initié par le programme.
Poste-moi le rapport s'il te plaît.




5°- Cit. « il faut que je laisse spybot? »
Oui, tu peux.
Mais as-tu un vrai tutoriel pour l'utiliser et comprendre ses alertes ?
De surcroît pour surveiller ton PC, il faut activer le Tea-Timer --> ce qui freine le PC au démarrage.

Spybot 1.5 mieux intégré dans Vista < http://www.zebulon.fr/actualites/1358-spybot-vista.html >
Rappelons que ce freeware va traquer et supprimer les mouchards (spywares ou programmes espions) qui infectent votre PC. Il s'occupera également des chevaux de Troie (trojans), du fichier HOSTS et de vos cookies.

De la bonne lecture ici:
http://perso.orange.fr/jesses/Docs/Logiciels/Spybot.htm
http://perso.orange.fr/jesses/Docs/Logiciels/SpybotAnnexe.htm



Bonne continuation
Merci à toi aussi
Al.
0
cclrem Messages postés 35 Statut Membre
 
je ne sais pas en quoi toi tu as me dire merci... mais bon....
merci pour ton aide précieuse et pour ta patience...
si tu cherches du travail un jour, moi je suis ds RH... :-)

Merci encore
Cécile
0
cclrem
 
oups encore moi...
l'assistant de nettoyage ne fonctionne pas totalement otmoveit
de plus je ne vois pas de rapport s'afficher...
est ce normal?
0
Réponse 28 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Salut cclrem

Cit. « je ne sais pas en quoi toi tu as me dire merci... mais bon.... »

Je sais que l'époque n'est plus propice aux remercîments.
À un point tel, que lorsque vous oser dire simplement "Merci", on vous suspecte, ou l'on vous accuse de "provocation".

Cela fait très mal à la génération issue de la guerre 40-45, à laquelle on a appris à dire "Merci".
Bref, venant de toi, je le prends du bon côté.

"Merci" expliqué: Je te remercie pour ta patience, et pour ta rage à réussir les manipulations indispensables pour la cause. Je dis bravo.

Mais dis-moi, n'avais-je pas demandé le rapport _OTMoveIt pour vérifier ce qu'il avait supprimer ?
Est-ce que les réponses que je t'ai apportées te sont satisfactoires ?


Je ne comprends pas ce que signifie RH... (déphasé relativement aux "abréviations populaires actuelles");
mais tu peux me joindre par MP (messagerie privée entre membres inscrits) à partir de la fonction affichée en cliquant sur mon pseudo ==> cela m'intéresse parce que, à quelques-uns, nous apportons de l'aide aux personnes qui en ont le plus besoin (démunis, désœuvrés, détresse face à la justice, victimes d'avocats gourmands, etc.) ==> je ne ferme aucune porte susceptibles de rendre service aux autres. Je suis en Belgique (donc lois belges).


Bonne soirée
Al.
0
jeuneh Messages postés 39 Statut Membre
 
et beinnnnnnnnnnnn bravo a vous deux quel courrage :)
RH resource humaines

bonne soirée
0
Réponse 29 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Ferme toutes les applications en cours.

Donc, pour se débarrasser des outils utilisés à l'occasion, et devenus particulièrement caducs et obsolètes (parce que ce sont parfois des outils dangereux lorsqu'ils ne sont pas mis à jour), il y a lieu d'appliquer ceci:

Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien :
< http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe >, et enregistre-le sur le “Bureau”.
Et exécute-le.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


Merci
Al.
0
cclrem Messages postés 35 Statut Membre
 
Bonjour
je suis désolée maisd ça ne fonctionne pas pour tout et comme j'ai recommencé pour être sûre le rapport est vierge..
ccil
0
Réponse 30 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
Re,

Bonsoir

Cit. « je suis désolée maisd ça ne fonctionne pas pour tout »
Heureusement, sans quoi nous aurions des surprises.
Supprime ce qu'il reste sur ton bureau et qui ne sert plus .
Donne-m'en le détail SVP.
Merci


Al.
0
cclrem Messages postés 35 Statut Membre
 
alors im me restait
desktop
sreng2
kztech...zip et exe
srenglog.log et zip
oad
regapdatta zip et exe...
voili voilou
0
Réponse 31 / 31
afideg Messages postés 10970 Statut Contributeur sécurité 602
 
OK
Supprime

Al.
0

Discussions similaires

Problème avec Acoustica Mixcraft
Kameados -
manno -

33 réponses
Skyrim : Hearthfire, le Jarl Siddgeir en grève
Help4159 -
probleme -

9 réponses
Erreur Windows Update maj impossible 0x800f0805
Alan... -
Alan -

21 réponses
tu peux m'aider??
la-bettancourtoise52 -
Kilique -

1 réponse
aider moi je suis jeune
diddlimarie -
Lazarey -

1 réponse