Sujet Précédent Sujet Suivant

Virus en quarantaine et adware à supprimer

Fermé
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008 - 3 avril 2008 à 12:48
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 13 mai 2008 à 23:08
Bonjour,

Après plusieurs nettoyage, j'ai mis en quarantaine un cheval de troie et 7 adware.
Que dois je faire maintenant...

Merci ...
A voir également:

15 réponses

Réponse 1 / 15
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
17 avril 2008 à 09:36
Salut

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34
http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto

Exécute le en choisissant l’option 1,
il va générer un rapport
Copie/colle le sur le poste stp.

Bon courage
A++

1
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
17 avril 2008 à 11:58
SmitFraudFix v2.314

Rapport fait à 11:56:19,59, 17/04/2008
Executé à partir de C:\Documents and Settings\Propri‚taire\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Propri‚taire\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PROPRI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8CB7654E-5E99-470D-BA3A-0FF5ECB65DF1}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8CB7654E-5E99-470D-BA3A-0FF5ECB65DF1}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8CB7654E-5E99-470D-BA3A-0FF5ECB65DF1}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 2 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
3 avril 2008 à 13:55
salut,

tu as des rapports? avec quoi as tu supprimées ces saloperies ?

tu surf avec internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

puis

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

@+
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
3 avril 2008 à 14:38
BONJOUR,

Je me suis servie de cleaner wast, tune utilities.
J'ai supprimé les virus mis en querantaine j'ai refais un scan et j'en ai d'autres. Je pensais refaire la manip c'est à dire sur avast les supprimer.
Je viens de mettre à jour la version 7 de windows
Je vais continuer vos conseils..
Je commence à désespérer j'y suis depuis plusierus jours à tout essayer!!!
Merci pour l'aide
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
3 avril 2008 à 14:41
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:40:33, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\EoRezo\EoEngine.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\pdf.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\CPV\CPV7.dll
O2 - BHO: (no name) - {4346C4BA-5250-2BD4-0A65-2B00BCB589BC} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\mswords.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Print2Email - Unknown owner - C:\WINDOWS\pdf.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 3 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
3 avril 2008 à 14:41
ok mag01,

post le rapport hijack this pour que je voie ;-)

@+
0
Réponse 4 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
3 avril 2008 à 14:46
mag,

il y a encore des saloperies...

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message ainsi qu´un nouveau hijack this.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

@+
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
3 avril 2008 à 17:47
j'ai oublié de sésactiver l'antivirus, dis je refaire la manip, sinon voici le rapport.Merci pour l'aide...
Que dois je faire maintenant... Merci ComboFix 08-04-02.1 - Propriétaire 2008-04-03 17:40:42.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.294 [GMT 2:00]
Endroit: C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\5VGQHAWZ\ComboFix[1].exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
TimedOut: Windir.dat

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\salesmonitor
C:\Documents and Settings\Default User\err.log
C:\Documents and Settings\Default User\ResErrors.log
C:\Documents and Settings\Propriétaire\Application Data\DriveCleaner Free
C:\Documents and Settings\Propriétaire\Application Data\DriveCleaner Free\Logs\update.log
C:\Documents and Settings\Propriétaire\Application Data\WinTouch
C:\Documents and Settings\Propriétaire\Application Data\WinTouch\wintouch.cfg
C:\Documents and Settings\Propriétaire\err.log
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\CPV.stt
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Outerinfo
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Outerinfo\Terms.lnk
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Outerinfo\Uninstall.lnk
C:\Documents and Settings\Propriétaire\ResErrors.log
C:\WINDOWS\b152.exe
C:\WINDOWS\b153.exe
C:\WINDOWS\b155.exe
C:\WINDOWS\system32\config\systemprofile\Application Data\DriveCleaner Free
C:\WINDOWS\system32\config\systemprofile\Application Data\DriveCleaner Free\Logs\update.log
C:\WINDOWS\system32\config\systemprofile\err.log
C:\WINDOWS\system32\config\systemprofile\ResErrors.log
C:\WINDOWS\system32\vgofntx.exe
D:\Autorun.inf
.
---- Previous Run -------
.
C:\Autorun.inf
C:\Program Files\JavaCore
C:\Program Files\JavaCore\JavaCore.exe
C:\Program Files\JavaCore\UnInstall.exe
C:\Program Files\outerinfo
C:\Program Files\outerinfo\FF\chrome.manifest
C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt
C:\Program Files\outerinfo\FF\install.rdf
C:\Program Files\outerinfo\Terms.rtf
C:\Program Files\Temporary
C:\Program Files\Temporary\InsiDERInst.exe
C:\WINDOWS\racle~1
C:\WINDOWS\scurit~1
C:\WINDOWS\scurit~1\s?curity\
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-03 to 2008-04-03 ))))))))))))))))))))))))))))))))))))
.

2008-04-03 14:40 . 2008-04-03 14:40 <REP> d-------- C:\Program Files\Trend Micro
2008-04-03 14:26 . 2008-04-03 14:27 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-03 10:33 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-03 10:33 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-03 09:13 . 2008-04-03 09:13 <REP> d-------- C:\Program Files\CCleaner
2008-04-02 20:16 . 2008-04-02 20:16 <REP> d-------- C:\fsaua.data
2008-03-29 21:06 . 2008-03-29 21:07 <REP> d-------- C:\Program Files\TuneUp Utilities 2008
2008-03-29 21:06 . 2008-03-29 21:06 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\TuneUp Software
2008-03-29 21:06 . 2008-03-29 21:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-03-29 21:06 . 2008-03-29 21:06 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-29 21:06 . 2008-02-27 14:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-29 21:05 . 2008-03-29 21:05 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-28 12:31 . 2008-03-28 12:31 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\ItsLabel
2008-03-28 12:07 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-28 12:07 . 2004-01-09 11:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-28 12:07 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-28 12:07 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-28 12:07 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-28 12:07 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-28 12:07 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-28 12:07 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-28 12:06 . 2008-04-03 16:10 <REP> d-------- C:\Program Files\EoRezo
2008-03-28 12:06 . 2008-04-03 17:43 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\EoRezo
2008-03-28 12:04 . 2008-03-28 12:04 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico
2008-03-28 11:49 . 2008-03-28 11:49 7,900 --a------ C:\mitm.exe
2008-03-27 21:30 . 2008-04-02 22:20 <REP> d-------- C:\Program Files\nvcoi
2008-03-27 21:30 . 2008-03-27 21:30 12,620 --a------ C:\WINDOWS\system32\wpa.bak
2008-03-27 21:25 . 2008-03-27 21:25 <REP> d-------- C:\Program Files\CPV
2008-03-26 18:18 . 2008-04-03 15:11 536,428,544 --a------ C:\WINDOWS\MEMORY.DMP
2008-03-26 17:50 . 2008-03-26 17:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
2008-03-26 17:41 . 2004-08-05 14:00 10,129,408 --a--c--- C:\WINDOWS\system32\dllcache\hwxkor.dll
2008-03-26 17:40 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-03-26 17:39 . 2003-03-24 16:52 20,540 --a--c--- C:\WINDOWS\system32\dllcache\author.dll
2008-03-26 17:39 . 2003-03-24 16:52 20,540 --a--c--- C:\WINDOWS\system32\dllcache\admin.dll
2008-03-26 17:39 . 2003-03-24 16:52 16,439 --a--c--- C:\WINDOWS\system32\dllcache\author.exe
2008-03-26 17:39 . 2003-03-24 16:52 16,439 --a--c--- C:\WINDOWS\system32\dllcache\admin.exe
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-03-26 17:38 . 2008-03-26 17:38 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-03-26 17:37 . 2004-08-05 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-03-26 17:33 . 2007-12-17 14:53 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-03-26 17:32 . 2004-08-03 23:31 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2008-03-26 08:55 . 2008-03-26 08:55 53,248 --a------ C:\WINDOWS\system32\gtabi.exe
2008-03-26 08:55 . 2008-03-26 08:55 45,056 --a------ C:\WINDOWS\system32\mcfr.exe
2008-03-26 08:55 . 2008-03-26 08:55 38,912 --a------ C:\WINDOWS\system32\hebwa.exe
2008-03-26 08:54 . 2008-03-26 08:54 53,248 --a------ C:\WINDOWS\system32\gsnd.exe
2008-03-26 08:54 . 2008-03-26 08:54 45,056 --a------ C:\WINDOWS\system32\gvznvvb.exe
2008-03-26 08:54 . 2008-03-26 08:54 38,912 --a------ C:\WINDOWS\system32\dpitoxxl.exe
2008-03-26 08:06 . 2008-03-26 08:06 53,248 --a------ C:\WINDOWS\system32\npvwuwx.exe
2008-03-26 08:06 . 2008-03-26 08:06 45,056 --a------ C:\WINDOWS\system32\jpeabe.exe
2008-03-26 08:06 . 2008-03-26 08:06 38,912 --a------ C:\WINDOWS\system32\yinoai.exe
2008-03-25 20:53 . 2008-03-25 20:53 53,248 --a------ C:\WINDOWS\system32\bihtocus.exe
2008-03-25 20:53 . 2008-03-25 20:53 52,736 --a------ C:\WINDOWS\system32\kovz.exe
2008-03-25 20:53 . 2008-03-25 20:53 36,864 --a------ C:\WINDOWS\system32\vpnetih.exe
2008-03-25 20:51 . 2008-03-25 20:51 53,248 --a------ C:\WINDOWS\system32\nawp.exe
2008-03-25 20:51 . 2008-03-25 20:51 52,736 --a------ C:\WINDOWS\system32\puxlnmbh.exe
2008-03-25 20:51 . 2008-03-25 20:51 36,864 --a------ C:\WINDOWS\system32\ijiqlo.exe
2008-03-25 20:49 . 2008-03-25 20:49 53,248 --a------ C:\WINDOWS\system32\cmopu.exe
2008-03-25 20:49 . 2008-03-25 20:49 52,736 --a------ C:\WINDOWS\system32\eamzpp.exe
2008-03-25 20:49 . 2008-03-25 20:49 36,864 --a------ C:\WINDOWS\system32\wkjnx.exe
2008-03-25 20:48 . 2008-03-25 20:48 53,248 --a------ C:\WINDOWS\system32\wjnoau.exe
2008-03-25 20:48 . 2008-03-25 20:48 52,736 --a------ C:\WINDOWS\system32\akdah.exe
2008-03-25 20:48 . 2008-03-25 20:48 36,864 --a------ C:\WINDOWS\system32\rtfbmjho.exe
2008-03-25 20:38 . 2008-03-25 20:40 17,704 --ah----- C:\WINDOWS\system32\esrnsc.exe
2008-03-25 20:37 . 2008-03-25 20:44 69,744 --ah----- C:\WINDOWS\system32\tqkzutl.exe
2008-03-25 20:28 . 2008-03-25 20:29 7,696 --ah----- C:\WINDOWS\system32\etqgain.exe
2008-03-25 20:26 . 2008-03-25 20:28 1,412 --ah----- C:\WINDOWS\system32\egfbsn.exe
2008-03-25 20:20 . 2008-03-25 20:20 120 --a------ C:\WINDOWS\system32\mfnsxnc.bat
2008-03-25 20:19 . 2008-03-25 20:21 405,504 --a------ C:\WINDOWS\system32\moo6.exe
2008-03-25 20:19 . 2008-03-25 20:19 63 --a------ C:\WINDOWS\system32\i
2008-03-25 20:15 . 2008-03-25 20:30 19,768 --ah----- C:\WINDOWS\system32\qthzqbx.exe
2008-03-25 20:14 . 2008-03-25 20:14 0 -ra------ C:\WINDOWS\system32\TFTP24616
2008-03-25 20:12 . 2008-03-25 20:12 124 --a------ C:\WINDOWS\system32\xvkvm.bat
2008-03-25 20:09 . 2001-02-14 07:00 66,320 --a------ C:\WINDOWS\system32\CNMLM3A.DLL
2008-03-25 16:26 . 2007-12-05 02:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-03-25 16:26 . 2008-03-26 17:50 164,081 --a------ C:\WINDOWS\system32\nvapps.xml
2008-03-25 16:26 . 2007-12-05 02:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-03-25 16:22 . 2007-12-05 03:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-03-25 16:21 . 2008-03-25 16:21 <REP> d-------- C:\NVIDIA
2008-03-25 14:19 . 2008-01-30 10:28 99,576 --a------ C:\WINDOWS\system32\config\systemprofile\Application Data\GDIPFONTCACHEV1.DAT
2008-03-25 14:19 . 2008-03-04 14:31 9 --a------ C:\WINDOWS\system32\config\systemprofile\Application Data\mdb.bin
2008-03-25 13:58 . 2007-08-08 17:56 <REP> d--hs---- C:\WINDOWS\system32\config\systemprofile\UserData
2008-03-25 13:58 . 2007-09-08 08:59 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Contacts
2008-03-25 13:58 . 2008-02-23 13:02 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\uTorrent
2008-03-25 13:58 . 2007-08-08 09:53 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\InterVideo
2008-03-25 13:20 . 2008-03-25 13:20 <REP> d--hs---- C:\found.000
2008-03-21 14:44 . 2008-03-21 14:44 52,736 --a------ C:\WINDOWS\system32\dbmcp.exe
2008-03-21 14:44 . 2008-03-21 14:44 36,864 --a------ C:\WINDOWS\system32\abpbmyk.exe
2008-03-21 14:27 . 2007-08-08 17:56 <REP> d--hs---- C:\Documents and Settings\Default User\UserData
2008-03-21 14:27 . 2007-09-08 08:59 <REP> d-------- C:\Documents and Settings\Default User\Contacts
2008-03-21 14:22 . 2004-08-04 00:07 42,368 --a------ C:\WINDOWS\system32\drivers\AGP440.SYS
2008-03-21 14:22 . 2004-08-04 00:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-03-04 14:31 . 2008-03-04 14:31 9 --a------ C:\Documents and Settings\Propriétaire\Application Data\mdb.bin
2008-03-04 14:28 . 2008-03-25 20:21 <REP> d-------- C:\Program Files\PHOTOCITE Collection

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-01 08:44 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\uTorrent
2008-03-29 14:44 --------- d-----w C:\Program Files\Google
2008-03-29 14:10 --------- d-----w C:\Program Files\Kaspersky Lab
2008-03-28 10:31 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
2008-03-28 10:31 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
2008-03-26 15:46 359,040 ------w C:\WINDOWS\system32\drivers\tcpip.sys
2008-03-25 18:36 --------- d---a-w C:\Program Files\Symantec
2008-03-25 18:36 --------- d---a-w C:\Program Files\Fichiers communs\Symantec Shared
2008-03-25 18:36 --------- d---a-w C:\Documents and Settings\All Users\Application Data\Symantec
2008-03-25 18:23 92,221 ----a-w C:\WINDOWS\java\Packages\XVNX7TJ5.ZIP
2008-03-25 18:23 92,035 ----a-w C:\WINDOWS\java\Packages\Z9VNVLNZ.ZIP
2008-03-25 18:23 5,831,471 ----a-w C:\WINDOWS\java\Packages\AYR73L39.ZIP
2008-03-25 18:23 404,778 ----a-w C:\WINDOWS\java\Packages\N1ZXVLBV.ZIP
2008-03-25 18:23 4,395,238 ----a-w C:\WINDOWS\java\Packages\OX39FH7J.ZIP
2008-03-25 18:23 237,077 ----a-w C:\WINDOWS\java\Packages\P33RBPFT.ZIP
2008-03-25 18:23 218,208 ----a-w C:\WINDOWS\java\Packages\GJ3LRTRF.ZIP
2008-03-25 18:22 639,224 ----a-w C:\WINDOWS\java\Packages\5RVDRPB7.ZIP
2008-03-25 18:22 5,832,931 ----a-w C:\WINDOWS\java\Packages\AXN9VPNB.ZIP
2008-03-25 18:22 404,778 ----a-w C:\WINDOWS\java\Packages\2E6CEVBP.ZIP
2008-03-25 18:22 4,395,238 ----a-w C:\WINDOWS\java\Packages\7FT7F131.ZIP
2008-03-25 18:22 272,924 ----a-w C:\WINDOWS\java\Packages\5V139RFJ.ZIP
2008-03-25 18:22 272,912 ----a-w C:\WINDOWS\java\Packages\7JHZ1FFJ.ZIP
2008-03-25 18:22 218,564 ----a-w C:\WINDOWS\java\Packages\1BBJVP71.ZIP
2008-03-25 18:20 --------- d-----w C:\Program Files\Mon Livre Photo by CeWe
2008-03-25 12:22 4,020 --sha-r C:\WINDOWS\system32\drivers\HP_DF109A-ABF S3450 FR360_YC_Pres_QCZB315_E32FRheREF2_4_IMS-6577_SMICRO-STAR INTERNATIONAL CO., LTD_V030_B3.17_T030321_W1_L40C_M512_J82_7Intel_8Pentium 4_92,4_1103300F2_N10EC8139_P_Z_K_A808624C5_U808624C2_G.MRK
2008-03-25 11:57 --------- d---a-w C:\Program Files\InstallShield Installation Information
2008-03-21 11:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-02-24 13:53 --------- d-----w C:\Program Files\Mininova
2008-02-24 13:53 --------- d-----w C:\Program Files\Conduit
2008-02-17 19:48 --------- d-----w C:\Program Files\uTorrent
2008-02-13 07:06 --------- d-----w C:\Program Files\Picasa2
2008-01-30 08:28 99,576 ----a-w C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2004-08-05 14:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\system32\dllcache\tcpip.sys
2008-03-26 17:46 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}]
2008-03-27 21:25 51200 --a------ C:\Program Files\CPV\CPV7.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4346C4BA-5250-2BD4-0A65-2B00BCB589BC}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-08 00:04 52736]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2002-09-14 05:42 212992]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 02:41 8523776]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 02:41 81920]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-03-05 18:43 561152]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"JavaCore"=C:\Program Files\\JavaCore\\JavaCore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"StorageGuard"="C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
"PS2"=C:\WINDOWS\system32\ps2.exe
"KBD"=C:\HP\KBD\KBD.EXE
"WCOLOREAL"="C:\Program Files\Coloreal\coloreal.exe"
"KYE_Showicon"="C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
"ItsTV"="C:\Program Files\EoRezo\EoWeather\ItsTV.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S2 Microsoft Agent;Microsoft Agent;"C:\WINDOWS\System32\dllcache\mswords.exe" []
S2 Print2Email;Print2Email;"C:\WINDOWS\pdf.exe" []
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8634ee7-fb4b-11dc-8174-0010dcfa3ee9}]
\Shell\Auto\command - G:\ijujlkntq.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ijujlkntq.exe

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-03 15:00:03 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
"2008-04-03 15:07:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 17:43:27
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-03 17:44:13
ComboFix-quarantined-files.txt 2008-04-03 15:43:59
Pre-Run: 59,087,536,128 octets libres
Post-Run: 59,081,805,824 octets libres
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
3 avril 2008 à 17:47
j'ai oublié de sésactiver l'antivirus, dis je refaire la manip, sinon voici le rapport.Merci pour l'aide...
Que dois je faire maintenant... Merci ComboFix 08-04-02.1 - Propriétaire 2008-04-03 17:40:42.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.294 [GMT 2:00]
Endroit: C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\5VGQHAWZ\ComboFix[1].exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
TimedOut: Windir.dat

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\salesmonitor
C:\Documents and Settings\Default User\err.log
C:\Documents and Settings\Default User\ResErrors.log
C:\Documents and Settings\Propriétaire\Application Data\DriveCleaner Free
C:\Documents and Settings\Propriétaire\Application Data\DriveCleaner Free\Logs\update.log
C:\Documents and Settings\Propriétaire\Application Data\WinTouch
C:\Documents and Settings\Propriétaire\Application Data\WinTouch\wintouch.cfg
C:\Documents and Settings\Propriétaire\err.log
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\CPV.stt
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Outerinfo
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Outerinfo\Terms.lnk
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Outerinfo\Uninstall.lnk
C:\Documents and Settings\Propriétaire\ResErrors.log
C:\WINDOWS\b152.exe
C:\WINDOWS\b153.exe
C:\WINDOWS\b155.exe
C:\WINDOWS\system32\config\systemprofile\Application Data\DriveCleaner Free
C:\WINDOWS\system32\config\systemprofile\Application Data\DriveCleaner Free\Logs\update.log
C:\WINDOWS\system32\config\systemprofile\err.log
C:\WINDOWS\system32\config\systemprofile\ResErrors.log
C:\WINDOWS\system32\vgofntx.exe
D:\Autorun.inf
.
---- Previous Run -------
.
C:\Autorun.inf
C:\Program Files\JavaCore
C:\Program Files\JavaCore\JavaCore.exe
C:\Program Files\JavaCore\UnInstall.exe
C:\Program Files\outerinfo
C:\Program Files\outerinfo\FF\chrome.manifest
C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt
C:\Program Files\outerinfo\FF\install.rdf
C:\Program Files\outerinfo\Terms.rtf
C:\Program Files\Temporary
C:\Program Files\Temporary\InsiDERInst.exe
C:\WINDOWS\racle~1
C:\WINDOWS\scurit~1
C:\WINDOWS\scurit~1\s?curity\
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-03 to 2008-04-03 ))))))))))))))))))))))))))))))))))))
.

2008-04-03 14:40 . 2008-04-03 14:40 <REP> d-------- C:\Program Files\Trend Micro
2008-04-03 14:26 . 2008-04-03 14:27 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-03 10:33 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-03 10:33 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-03 09:13 . 2008-04-03 09:13 <REP> d-------- C:\Program Files\CCleaner
2008-04-02 20:16 . 2008-04-02 20:16 <REP> d-------- C:\fsaua.data
2008-03-29 21:06 . 2008-03-29 21:07 <REP> d-------- C:\Program Files\TuneUp Utilities 2008
2008-03-29 21:06 . 2008-03-29 21:06 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\TuneUp Software
2008-03-29 21:06 . 2008-03-29 21:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-03-29 21:06 . 2008-03-29 21:06 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-03-29 21:06 . 2008-02-27 14:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-03-29 21:05 . 2008-03-29 21:05 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-03-28 12:31 . 2008-03-28 12:31 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\ItsLabel
2008-03-28 12:07 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe
2008-03-28 12:07 . 2004-01-09 11:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx
2008-03-28 12:07 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr
2008-03-28 12:07 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2008-03-28 12:07 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2008-03-28 12:07 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2008-03-28 12:07 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2008-03-28 12:07 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2008-03-28 12:06 . 2008-04-03 16:10 <REP> d-------- C:\Program Files\EoRezo
2008-03-28 12:06 . 2008-04-03 17:43 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\EoRezo
2008-03-28 12:04 . 2008-03-28 12:04 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico
2008-03-28 11:49 . 2008-03-28 11:49 7,900 --a------ C:\mitm.exe
2008-03-27 21:30 . 2008-04-02 22:20 <REP> d-------- C:\Program Files\nvcoi
2008-03-27 21:30 . 2008-03-27 21:30 12,620 --a------ C:\WINDOWS\system32\wpa.bak
2008-03-27 21:25 . 2008-03-27 21:25 <REP> d-------- C:\Program Files\CPV
2008-03-26 18:18 . 2008-04-03 15:11 536,428,544 --a------ C:\WINDOWS\MEMORY.DMP
2008-03-26 17:50 . 2008-03-26 17:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\nView_Profiles
2008-03-26 17:41 . 2004-08-05 14:00 10,129,408 --a--c--- C:\WINDOWS\system32\dllcache\hwxkor.dll
2008-03-26 17:40 . 2004-08-05 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-03-26 17:39 . 2003-03-24 16:52 20,540 --a--c--- C:\WINDOWS\system32\dllcache\author.dll
2008-03-26 17:39 . 2003-03-24 16:52 20,540 --a--c--- C:\WINDOWS\system32\dllcache\admin.dll
2008-03-26 17:39 . 2003-03-24 16:52 16,439 --a--c--- C:\WINDOWS\system32\dllcache\author.exe
2008-03-26 17:39 . 2003-03-24 16:52 16,439 --a--c--- C:\WINDOWS\system32\dllcache\admin.exe
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-03-26 17:38 . 2008-03-26 17:38 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-03-26 17:38 . 2008-03-26 17:38 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-03-26 17:37 . 2004-08-05 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-03-26 17:33 . 2007-12-17 14:53 159,458 --a------ C:\WINDOWS\system32\nvapps.nvb
2008-03-26 17:32 . 2004-08-03 23:31 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2008-03-26 08:55 . 2008-03-26 08:55 53,248 --a------ C:\WINDOWS\system32\gtabi.exe
2008-03-26 08:55 . 2008-03-26 08:55 45,056 --a------ C:\WINDOWS\system32\mcfr.exe
2008-03-26 08:55 . 2008-03-26 08:55 38,912 --a------ C:\WINDOWS\system32\hebwa.exe
2008-03-26 08:54 . 2008-03-26 08:54 53,248 --a------ C:\WINDOWS\system32\gsnd.exe
2008-03-26 08:54 . 2008-03-26 08:54 45,056 --a------ C:\WINDOWS\system32\gvznvvb.exe
2008-03-26 08:54 . 2008-03-26 08:54 38,912 --a------ C:\WINDOWS\system32\dpitoxxl.exe
2008-03-26 08:06 . 2008-03-26 08:06 53,248 --a------ C:\WINDOWS\system32\npvwuwx.exe
2008-03-26 08:06 . 2008-03-26 08:06 45,056 --a------ C:\WINDOWS\system32\jpeabe.exe
2008-03-26 08:06 . 2008-03-26 08:06 38,912 --a------ C:\WINDOWS\system32\yinoai.exe
2008-03-25 20:53 . 2008-03-25 20:53 53,248 --a------ C:\WINDOWS\system32\bihtocus.exe
2008-03-25 20:53 . 2008-03-25 20:53 52,736 --a------ C:\WINDOWS\system32\kovz.exe
2008-03-25 20:53 . 2008-03-25 20:53 36,864 --a------ C:\WINDOWS\system32\vpnetih.exe
2008-03-25 20:51 . 2008-03-25 20:51 53,248 --a------ C:\WINDOWS\system32\nawp.exe
2008-03-25 20:51 . 2008-03-25 20:51 52,736 --a------ C:\WINDOWS\system32\puxlnmbh.exe
2008-03-25 20:51 . 2008-03-25 20:51 36,864 --a------ C:\WINDOWS\system32\ijiqlo.exe
2008-03-25 20:49 . 2008-03-25 20:49 53,248 --a------ C:\WINDOWS\system32\cmopu.exe
2008-03-25 20:49 . 2008-03-25 20:49 52,736 --a------ C:\WINDOWS\system32\eamzpp.exe
2008-03-25 20:49 . 2008-03-25 20:49 36,864 --a------ C:\WINDOWS\system32\wkjnx.exe
2008-03-25 20:48 . 2008-03-25 20:48 53,248 --a------ C:\WINDOWS\system32\wjnoau.exe
2008-03-25 20:48 . 2008-03-25 20:48 52,736 --a------ C:\WINDOWS\system32\akdah.exe
2008-03-25 20:48 . 2008-03-25 20:48 36,864 --a------ C:\WINDOWS\system32\rtfbmjho.exe
2008-03-25 20:38 . 2008-03-25 20:40 17,704 --ah----- C:\WINDOWS\system32\esrnsc.exe
2008-03-25 20:37 . 2008-03-25 20:44 69,744 --ah----- C:\WINDOWS\system32\tqkzutl.exe
2008-03-25 20:28 . 2008-03-25 20:29 7,696 --ah----- C:\WINDOWS\system32\etqgain.exe
2008-03-25 20:26 . 2008-03-25 20:28 1,412 --ah----- C:\WINDOWS\system32\egfbsn.exe
2008-03-25 20:20 . 2008-03-25 20:20 120 --a------ C:\WINDOWS\system32\mfnsxnc.bat
2008-03-25 20:19 . 2008-03-25 20:21 405,504 --a------ C:\WINDOWS\system32\moo6.exe
2008-03-25 20:19 . 2008-03-25 20:19 63 --a------ C:\WINDOWS\system32\i
2008-03-25 20:15 . 2008-03-25 20:30 19,768 --ah----- C:\WINDOWS\system32\qthzqbx.exe
2008-03-25 20:14 . 2008-03-25 20:14 0 -ra------ C:\WINDOWS\system32\TFTP24616
2008-03-25 20:12 . 2008-03-25 20:12 124 --a------ C:\WINDOWS\system32\xvkvm.bat
2008-03-25 20:09 . 2001-02-14 07:00 66,320 --a------ C:\WINDOWS\system32\CNMLM3A.DLL
2008-03-25 16:26 . 2007-12-05 02:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-03-25 16:26 . 2008-03-26 17:50 164,081 --a------ C:\WINDOWS\system32\nvapps.xml
2008-03-25 16:26 . 2007-12-05 02:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-03-25 16:22 . 2007-12-05 03:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-03-25 16:21 . 2008-03-25 16:21 <REP> d-------- C:\NVIDIA
2008-03-25 14:19 . 2008-01-30 10:28 99,576 --a------ C:\WINDOWS\system32\config\systemprofile\Application Data\GDIPFONTCACHEV1.DAT
2008-03-25 14:19 . 2008-03-04 14:31 9 --a------ C:\WINDOWS\system32\config\systemprofile\Application Data\mdb.bin
2008-03-25 13:58 . 2007-08-08 17:56 <REP> d--hs---- C:\WINDOWS\system32\config\systemprofile\UserData
2008-03-25 13:58 . 2007-09-08 08:59 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Contacts
2008-03-25 13:58 . 2008-02-23 13:02 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\uTorrent
2008-03-25 13:58 . 2007-08-08 09:53 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\InterVideo
2008-03-25 13:20 . 2008-03-25 13:20 <REP> d--hs---- C:\found.000
2008-03-21 14:44 . 2008-03-21 14:44 52,736 --a------ C:\WINDOWS\system32\dbmcp.exe
2008-03-21 14:44 . 2008-03-21 14:44 36,864 --a------ C:\WINDOWS\system32\abpbmyk.exe
2008-03-21 14:27 . 2007-08-08 17:56 <REP> d--hs---- C:\Documents and Settings\Default User\UserData
2008-03-21 14:27 . 2007-09-08 08:59 <REP> d-------- C:\Documents and Settings\Default User\Contacts
2008-03-21 14:22 . 2004-08-04 00:07 42,368 --a------ C:\WINDOWS\system32\drivers\AGP440.SYS
2008-03-21 14:22 . 2004-08-04 00:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-03-04 14:31 . 2008-03-04 14:31 9 --a------ C:\Documents and Settings\Propriétaire\Application Data\mdb.bin
2008-03-04 14:28 . 2008-03-25 20:21 <REP> d-------- C:\Program Files\PHOTOCITE Collection

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-01 08:44 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\uTorrent
2008-03-29 14:44 --------- d-----w C:\Program Files\Google
2008-03-29 14:10 --------- d-----w C:\Program Files\Kaspersky Lab
2008-03-28 10:31 46,080 ----a-w C:\WINDOWS\system32\ftp.exe
2008-03-28 10:31 17,920 ----a-w C:\WINDOWS\system32\tftp.exe
2008-03-26 15:46 359,040 ------w C:\WINDOWS\system32\drivers\tcpip.sys
2008-03-25 18:36 --------- d---a-w C:\Program Files\Symantec
2008-03-25 18:36 --------- d---a-w C:\Program Files\Fichiers communs\Symantec Shared
2008-03-25 18:36 --------- d---a-w C:\Documents and Settings\All Users\Application Data\Symantec
2008-03-25 18:23 92,221 ----a-w C:\WINDOWS\java\Packages\XVNX7TJ5.ZIP
2008-03-25 18:23 92,035 ----a-w C:\WINDOWS\java\Packages\Z9VNVLNZ.ZIP
2008-03-25 18:23 5,831,471 ----a-w C:\WINDOWS\java\Packages\AYR73L39.ZIP
2008-03-25 18:23 404,778 ----a-w C:\WINDOWS\java\Packages\N1ZXVLBV.ZIP
2008-03-25 18:23 4,395,238 ----a-w C:\WINDOWS\java\Packages\OX39FH7J.ZIP
2008-03-25 18:23 237,077 ----a-w C:\WINDOWS\java\Packages\P33RBPFT.ZIP
2008-03-25 18:23 218,208 ----a-w C:\WINDOWS\java\Packages\GJ3LRTRF.ZIP
2008-03-25 18:22 639,224 ----a-w C:\WINDOWS\java\Packages\5RVDRPB7.ZIP
2008-03-25 18:22 5,832,931 ----a-w C:\WINDOWS\java\Packages\AXN9VPNB.ZIP
2008-03-25 18:22 404,778 ----a-w C:\WINDOWS\java\Packages\2E6CEVBP.ZIP
2008-03-25 18:22 4,395,238 ----a-w C:\WINDOWS\java\Packages\7FT7F131.ZIP
2008-03-25 18:22 272,924 ----a-w C:\WINDOWS\java\Packages\5V139RFJ.ZIP
2008-03-25 18:22 272,912 ----a-w C:\WINDOWS\java\Packages\7JHZ1FFJ.ZIP
2008-03-25 18:22 218,564 ----a-w C:\WINDOWS\java\Packages\1BBJVP71.ZIP
2008-03-25 18:20 --------- d-----w C:\Program Files\Mon Livre Photo by CeWe
2008-03-25 12:22 4,020 --sha-r C:\WINDOWS\system32\drivers\HP_DF109A-ABF S3450 FR360_YC_Pres_QCZB315_E32FRheREF2_4_IMS-6577_SMICRO-STAR INTERNATIONAL CO., LTD_V030_B3.17_T030321_W1_L40C_M512_J82_7Intel_8Pentium 4_92,4_1103300F2_N10EC8139_P_Z_K_A808624C5_U808624C2_G.MRK
2008-03-25 11:57 --------- d---a-w C:\Program Files\InstallShield Installation Information
2008-03-21 11:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-02-24 13:53 --------- d-----w C:\Program Files\Mininova
2008-02-24 13:53 --------- d-----w C:\Program Files\Conduit
2008-02-17 19:48 --------- d-----w C:\Program Files\uTorrent
2008-02-13 07:06 --------- d-----w C:\Program Files\Picasa2
2008-01-30 08:28 99,576 ----a-w C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2004-08-05 14:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\system32\dllcache\tcpip.sys
2008-03-26 17:46 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}]
2008-03-27 21:25 51200 --a------ C:\Program Files\CPV\CPV7.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4346C4BA-5250-2BD4-0A65-2B00BCB589BC}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-08 00:04 52736]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2002-09-14 05:42 212992]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-12-05 02:41 8523776]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-12-05 02:41 81920]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-03-05 18:43 561152]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"JavaCore"=C:\Program Files\\JavaCore\\JavaCore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"StorageGuard"="C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
"PS2"=C:\WINDOWS\system32\ps2.exe
"KBD"=C:\HP\KBD\KBD.EXE
"WCOLOREAL"="C:\Program Files\Coloreal\coloreal.exe"
"KYE_Showicon"="C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
"ItsTV"="C:\Program Files\EoRezo\EoWeather\ItsTV.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S2 Microsoft Agent;Microsoft Agent;"C:\WINDOWS\System32\dllcache\mswords.exe" []
S2 Print2Email;Print2Email;"C:\WINDOWS\pdf.exe" []
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8634ee7-fb4b-11dc-8174-0010dcfa3ee9}]
\Shell\Auto\command - G:\ijujlkntq.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ijujlkntq.exe

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-03 15:00:03 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
"2008-04-03 15:07:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 17:43:27
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-03 17:44:13
ComboFix-quarantined-files.txt 2008-04-03 15:43:59
Pre-Run: 59,087,536,128 octets libres
Post-Run: 59,081,805,824 octets libres
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
3 avril 2008 à 17:56
ok mag01,

post un nouveau rapport hijack this stp

@+
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
3 avril 2008 à 21:36
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:35:00, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\CPV\CPV7.dll
O2 - BHO: (no name) - {4346C4BA-5250-2BD4-0A65-2B00BCB589BC} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\mswords.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Print2Email - Unknown owner - C:\WINDOWS\pdf.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
3 avril 2008 à 21:39
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:41, on 03/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: testCPV6 - {15421B84-3488-49A7-AD18-CBF84A3EFAF6} - C:\Program Files\CPV\CPV7.dll
O2 - BHO: (no name) - {4346C4BA-5250-2BD4-0A65-2B00BCB589BC} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\mswords.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Print2Email - Unknown owner - C:\WINDOWS\pdf.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 6 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
3 avril 2008 à 21:58
re,

il y a beaucoups d´infectons !

la suite :

branche ta cle usb ou disk externe mais ne l´ouvre pas

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\xvkvm.bat
C:\WINDOWS\system32\TFTP24616
C:\WINDOWS\system32\qthzqbx.exe
C:\WINDOWS\system32\i
C:\WINDOWS\System32\dllcache\mswords.exe
C:\WINDOWS\pdf.exe
C:\mitm.exe
G:\ijujlkntq.exe

Folder::
C:\Program Files\EoRezo
C:\Documents and Settings\Propriétaire\Application Data\EoRezo
C:\Program Files\nvcoi
C:\Program Files\CPV

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4346C4BA-5250-2BD4-0A65-2B00BCB589BC}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8634e­e7-fb4b-11dc-8174-0010dcfa3ee9}]

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

pour le reste des fichiers infectés on va voire ce que sdfix en pensse :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

post donc les trois rapports stp

@+
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
4 avril 2008 à 09:03
bonjour,

je ne trouve pas le fichier combofix. je ne le retrouve pas... peut il être en raccourci???
Merci
0
Réponse 7 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
4 avril 2008 à 15:10
salut mag01,

tu parle du logiciel combofix ?

si c´est le cas fais ceci :

demarrer > executer > tape > combofix /u avec l´espace et valide par ok cela va supprimer toutes traces de combofix.

puis reprends le ici :

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

@+
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
6 avril 2008 à 17:35
Bonjour,

Cela ne marche pas si je vais ds exécuter et que je tape combofix /u.J'ai refais les manip' plusieurs fois, tout depuis le début !
J'ai tout mes virus en quarantaine. Je n'ai plus mes messages d'erreur...
Est ce que c'est tjs dangereux ??
0
Réponse 8 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
6 avril 2008 à 17:48
salut mag01,

bah moi j´ai trouvé pas mal d´infection sur le rapport de combofix...

supprime les virus que tu as en quarantaine et fais ceci :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

n´y touche pas

redemarre en mode sans echec:

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
une fois en mode sans echec.


Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15421B84-3488-49A7-AD18-CBF84A3EFAF6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4346C4BA-5250-2BD4-0A65-2B00BCB589BC}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b8634­e­e7-fb4b-11dc-8174-0010dcfa3ee9}]

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\WINDOWS\system32\xvkvm.bat
C:\WINDOWS\system32\TFTP24616
C:\WINDOWS\system32\qthzqbx.exe
C:\WINDOWS\system32\i
C:\WINDOWS\System32\dllcache\mswords.exe
C:\WINDOWS\pdf.exe
C:\mitm.exe
G:\ijujlkntq.exe
C:\Program Files\EoRezo
C:\Documents and Settings\Propriétaire\Application Data\EoRezo
C:\Program Files\nvcoi
C:\Program Files\CPV

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Redemarre normalement et post le rapport de ot_move it ici stp ainsi qu´un nouveau rapport hijack this.

passe egalement sdfix :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

@+
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
8 avril 2008 à 13:27
Bonjour,

Si je veux imprimer tes conseils je n'y arrive pas. Je recopie tout. Et je fais les manips au calme...
Merci a+ tard...
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
11 avril 2008 à 09:45
Re bonjour voici le second rapport ... Que dois je faire maintenant????

Encore Merci

b]SDFix: Version 1.169 [/b]
Run by Propri‚taire on 11/04/2008 at 09:32

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

Name:
Microsoft Agent
Print2Email

Path:
"C:\WINDOWS\System32\dllcache\mswords.exe"
"C:\WINDOWS\pdf.exe"

Microsoft Agent - Deleted
Print2Email - Deleted


C:\WINDOWS\system32\Microsoft\backup.ftp Found
C:\WINDOWS\system32\Microsoft\backup.tftp Found

[b]Checking files[/b]:

[b]Genuine[/b]:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp

[b]Dummy[/b]:
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe

Files copied to SDFix\Backups

Restoring files if backups are found

[b]Final Check[/b]:

[b]Genuine[/b]:
C:\WINDOWS\system32\Microsoft\backup.ftp
C:\WINDOWS\system32\Microsoft\backup.tftp
C:\WINDOWS\system32\ftp.exe
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\dllcache\ftp.exe
C:\WINDOWS\system32\dllcache\tftp.exe




Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\SYSTEM32\IALMCOIN.DLL - Deleted
C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted
C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-11 09:38:54
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Disabled:Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 13 Feb 2008 6,219,320 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 30 Jun 2003 0 A.SH. --- "C:\WINDOWS\SMINST\HPCD.SYS"
Tue 25 Mar 2008 1,412 A..H. --- "C:\WINDOWS\system32\egfbsn.exe"
Tue 25 Mar 2008 17,704 A..H. --- "C:\WINDOWS\system32\esrnsc.exe"
Tue 25 Mar 2008 7,696 A..H. --- "C:\WINDOWS\system32\etqgain.exe"
Tue 25 Mar 2008 69,744 A..H. --- "C:\WINDOWS\system32\tqkzutl.exe"
Mon 8 Oct 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Fri 14 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ad213d081e2675ef87a62c73b8abf209\BIT13.tmp"
Tue 25 Mar 2008 19,768 A..H. --- "C:\_OTMoveIt\MovedFiles\04112008_091953\WINDOWS\system32\qthzqbx.exe"

[b]Finished![/b]
0
Réponse 9 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
8 avril 2008 à 14:14
salut mag,

tu peux copier coller les instructions dans un fichier .txt que tu pourras consulter a ta guise une fois en mode sans echec...

@+
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
11 avril 2008 à 09:25
Salut,

Voici le rapport de OtMoveit...
WINDOWS\system32\xvkvm.bat moved successfully.
C:\WINDOWS\system32\TFTP24616 moved successfully.
C:\WINDOWS\system32\qthzqbx.exe moved successfully.
C:\WINDOWS\system32\i moved successfully.
File/Folder C:\WINDOWS\System32\dllcache\mswords.exe not found.
File/Folder C:\WINDOWS\pdf.exe not found.
C:\mitm.exe moved successfully.
File/Folder G:\ijujlkntq.exe not found.
C:\Program Files\EoRezo\EoWeather moved successfully.
C:\Program Files\EoRezo\EoAdv\tmp moved successfully.
C:\Program Files\EoRezo\EoAdv moved successfully.
C:\Program Files\EoRezo moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo\EoWeather\images_station_meteo moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo\EoWeather\images_classic moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo\EoWeather\images moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo\EoWeather moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo\eoStats moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo\eoDesktop moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo\db moved successfully.
C:\Documents and Settings\Propriétaire\Application Data\EoRezo moved successfully.
C:\Program Files\nvcoi moved successfully.
C:\Program Files\CPV moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04112008_091953


Voilà merci... Je continue la procédure
0
Réponse 10 / 15
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
11 avril 2008 à 18:26
Bonsoir

G!irly s'est absentée; je prend la suite
Le temps de tout relire

Continue la procédure..

A++

0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
11 avril 2008 à 19:02
J'ai fini la procédure. J'ai envoyé dernièrment les 2 rapports. J'ai refais un scan et j'ai toujours des infections.
Là il y aurait un logiciel malveillant type rootick.
Que dois je faire maintenant.
Merci
0
Réponse 11 / 15
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
11 avril 2008 à 19:03
OK

Refais un log hijackthis -- stp

0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
11 avril 2008 à 20:25
Re bonsoir, voici le rapport


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:24:57, on 11/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/adsl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4346C4BA-5250-2BD4-0A65-2B00BCB589BC} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - https://www.f-secure.com/en/home/support
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
0
Réponse 12 / 15
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
12 avril 2008 à 10:03
Bonjour

Comment se comporte ton PC ??

4/ Lance HijackThis
puis --> Do a system scan only
coche les lignes indiquées ci-dessous
puis --> Fix checked
puis oui à la question de confirmation

O2 - BHO: (no name) - {4346C4BA-5250-2BD4-0A65-2B00BCB589BC} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe



Installe un pare feu

télécharger la version gratuite de Kerio

Kerio (pare-feu) : reste gratuit après la période d'essai en français
https://kerio.probb.fr/
Regarde ce tutoriel si tu as besoin d'aide pour l'installation et la configuration de Kerio
https://kerio.probb.fr/
Plus d'info :
->https://kerio.probb.fr/


· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

+++


0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
12 avril 2008 à 14:03
Bonjour, J'ai fais tout ce que tu m'as dis...En voici le rapport.
Mon Pc se comporte bien, juste qd je veux l'arrêter il met bcp de temps... Et c'et si je fais un scan que je m'apperçois que j'ai des virus et logiciel malveillant... Tiens moi au jus si je dois refaire un emanip. Merci

-->- Recherche:

C:\SDFIX: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\SdFix.exe: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Propriétaire\Bureau\OtMoveIt2.exe: trouvé !
C:\hp\patches\32WW5MSN\MsnFix: trouvé !
C:\hp\patches\32WW5MSN\msnfix\MSNFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\SdFix.exe: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Propriétaire\Bureau\OtMoveIt2.exe: supprimé !
C:\hp\patches\32WW5MSN\msnfix\MSNFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\SDFIX: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\hp\patches\32WW5MSN\MsnFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
17 avril 2008 à 09:13
Bonjour,

DErnièrement je t'ai envoyé les rapports, je voulais savoir ce que je devais faire maintenant.
Merci bcp.
0
Réponse 13 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
20 avril 2008 à 16:18
Merci marie^^
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
20 avril 2008 à 17:20
Bonjour,

Marie m'a aidé à faire plusieurs manip'. Si je fais un scan j'ai toujours un virus...
Je ne vois pas de gène au niveau du PC. QUe fair emaintenant après toutes ces manipulations...

Merci
0
Réponse 14 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
20 avril 2008 à 19:09
salut mag,

quand tu scan quel virus est trouvé ?

et ou?
0
MAG01 Messages postés 30 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 21 avril 2008
21 avril 2008 à 13:44
Salut,

Qd je scanne, j'ai dans les fichiers zone quarantaine :
1) kernel32.dll c:/windows/system32
2)winsock.dll
3)wsock32.dll

voilà...

Merci
0
Réponse 15 / 15
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
13 mai 2008 à 23:08
Mag01
j´ai fait un break obligé...
tu as encore des soucis ?
0

Discussions similaires

Comment supprimer un compte Facebook sans email ni mot de passe ?
Joris77 -
Mahmoud96 -

23 réponses