VIRUS win32 detnat AZ Fermé

Question

Bonjour,
je viens de récupérer mon ordi de chez l'informaticien.. a peine le temps de réinstaller AVAST, et me voila encore infecté par un nouveau virus intitulé Win32 detnat AZ qui siège dans C:\WINDOWS\qyqrzm32\mmlucj.dll  
je n'arrive pas a me débarasser, après l'avoir supprimé ou mis en quarantaine, avast me renvoie une autre fenetre d'avertissement, et ainsi de suite...
COMMENT FAIRE ???

g!rly · Answer

salut

passe ceci :

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe     

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

+

Télécharge HijackThis ici : 

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif 

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

@+

KARI · Answer

j'ai bien télécharger combofix, il a effectué plusieurs suppressions des fichiers infectés, puis mon ordi s'est étein et a redémarré mais je n'ai pas été attentive au compte rendu, et je n'ai pas  su retrouver : combofix txt....

Quoiqu'il en soit il semble que le virus ait bien était supprimé puisque avast a gagné ne s'affole plus... donc a priori ça semble être réglé...
Seule chose qui m'intrigue c'est que dans un fichier intitulé combofix il m'est indiqué : [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
qu'est ce que ça signifie???

est ce que tout est bien rentré dans l'ordre ??

KARI · Answer

(((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\avipit.exe C:\WINDOWS\system32\drivers\conime.exe C:\WINDOWS\system32\severe.exe C:\WINDOWS\system32\verclsid.dat D:\Autorun.inf D:\OSO.exe . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-05 to 2008-04-05 )))))))))))))))))))))))))))))))))))) . 2008-04-05 17:22 . 2008-04-05 17:22 38,400 --------- C:\WINDOWS\system32\mmlucj.dll 2008-04-05 17:21 . 2008-04-05 17:21 268 --ah----- C:\sqmdata09.sqm 2008-04-05 17:21 . 2008-04-05 17:21 244 --ah----- C:\sqmnoopt09.sqm 2008-04-05 15:57 . 2008-04-05 15:57 268 --ah----- C:\sqmdata08.sqm 2008-04-05 15:57 . 2008-04-05 15:57 244 --ah----- C:\sqmnoopt08.sqm 2008-04-05 14:42 . 2008-04-05 14:42 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-04-05 14:26 . 2008-04-05 14:26 d---s---- C:\Documents and Settings\utilisateur\UserData 2008-04-05 13:20 . 2008-04-05 13:20 268 --ah----- C:\sqmdata07.sqm 2008-04-05 13:20 . 2008-04-05 13:20 244 --ah----- C:\sqmnoopt07.sqm 2008-04-05 13:14 . 2008-04-05 13:14 268 --ah----- C:\sqmdata06.sqm 2008-04-05 13:14 . 2008-04-05 13:14 244 --ah----- C:\sqmnoopt06.sqm 2008-04-05 01:51 . 2008-04-05 01:51 268 --ah----- C:\sqmdata05.sqm 2008-04-05 01:51 . 2008-04-05 01:51 244 --ah----- C:\sqmnoopt05.sqm 2008-04-04 23:44 . 2008-04-04 23:44 268 --ah----- C:\sqmdata04.sqm 2008-04-04 23:44 . 2008-04-04 23:44 244 --ah----- C:\sqmnoopt04.sqm 2008-04-04 23:17 . 2008-04-04 23:17 268 --ah----- C:\sqmdata03.sqm 2008-04-04 23:17 . 2008-04-04 23:17 244 --ah----- C:\sqmnoopt03.sqm 2008-04-04 21:03 . 2008-04-04 21:03 d-------- C:\Program Files\LimeWire 2008-04-04 21:03 . 2008-04-05 00:16 d-------- C:\Documents and Settings\utilisateur\Application Data\LimeWire 2008-04-04 20:38 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-04-04 20:38 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-04-04 20:38 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-04-04 20:38 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys 2008-04-04 20:38 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-04-04 20:38 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-04-04 20:38 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-04-04 20:38 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys 2008-04-04 20:37 . 2008-04-04 20:37 d-------- C:\Program Files\Alwil Software 2008-04-04 20:37 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-04-04 20:37 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-04-04 20:24 . 2008-04-04 20:24 268 --ah----- C:\sqmdata02.sqm 2008-04-04 20:24 . 2008-04-04 20:24 244 --ah----- C:\sqmnoopt02.sqm 2008-04-03 15:24 . 2008-04-03 15:24 268 --ah----- C:\sqmdata01.sqm 2008-04-03 15:24 . 2008-04-03 15:24 244 --ah----- C:\sqmnoopt01.sqm 2008-04-03 15:23 . 2008-04-03 15:23 268 --ah----- C:\sqmdata00.sqm 2008-04-03 15:23 . 2008-04-03 15:23 244 --ah----- C:\sqmnoopt00.sqm 2008-04-03 15:15 . 2008-04-03 15:15 d-------- C:\Program Files\MSN Messenger 2008-04-03 15:06 . 2008-04-03 15:06 d-------- C:\Program Files\MSXML 4.0 2008-04-02 09:39 . 2007-07-09 15:11 584,192 --------- C:\WINDOWS\system32\dllcache pcrt4.dll 2008-04-02 09:33 . 2007-06-19 15:32 282,112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll 2008-04-02 09:23 . 2007-03-09 15:48 57,344 --------- C:\WINDOWS\system32\dllcache\agentdpv.dll 2008-04-01 17:38 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-04-01 17:38 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys 2008-04-01 17:38 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-04-01 17:38 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys 2008-04-01 17:11 . 2007-10-30 00:43 1,293,824 --------- C:\WINDOWS\system32\dllcache\quartz.dll 2008-04-01 16:43 . 2007-09-22 13:18 96,896 ---hs---- C:\WINDOWS\system32\mmlucj.exe 2008-04-01 16:41 . 2008-04-01 16:41 d-------- C: emp 2008-04-01 16:32 . 2008-04-01 16:32 143 --a------ C:\WINDOWS\MyDrivers.ini 2008-04-01 16:28 . 2008-04-01 16:31 d-------- C:\Xp 2008-04-01 16:12 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys 2008-04-01 16:11 . 2008-04-01 16:11 d---s---- C:\Documents and Settings\utilisateur\Temporary Internet Files 2008-04-01 16:11 . 2008-04-01 16:11 d---s---- C:\Documents and Settings\utilisateur\Historique 2008-04-01 16:10 . 2008-04-01 16:10 1,738 -rahs---- C:\WINDOWS\system32\drivers\103C_HP_NTBK_Pavilion dv6000 (RG894EA#ABF)_YN_0Pavi_QCNF6360QWK_E416920051_46_I30B8_SQuanta_V65.28_BF.38_T070620_WXH2_L40C_M1023_J120_7AMD_8Turion 64 X2 Technology TL-50_91.61_#060823_N14E44312_(RG894EA#ABF).MRK 2008-04-01 16:09 . 2006-08-23 13:21 d--h----- C:\Documents and Settings\utilisateur\Voisinage r‚seau 2008-04-01 16:09 . 2006-08-23 13:21 d--h----- C:\Documents and Settings\utilisateur\Voisinage d'impression 2008-04-01 16:09 . 2008-04-02 00:36 d--h----- C:\Documents and Settings\utilisateur\ModŠles 2008-04-01 16:09 . 2008-04-04 21:03 dr------- C:\Documents and Settings\utilisateur\Mes documents 2008-04-01 16:09 . 2008-04-02 00:36 dr------- C:\Documents and Settings\utilisateur\Menu D‚marrer 2008-04-01 16:09 . 2008-04-01 16:11 dr------- C:\Documents and Settings\utilisateur\Favoris 2008-04-01 16:09 . 2008-04-05 15:23 d-------- C:\Documents and Settings\utilisateur\Bureau 2008-04-01 16:09 . 2008-04-02 00:36 d-------- C:\Documents and Settings\utilisateur\Application Data\Symantec . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-04 21:36 --------- d-----w C:\Program Files\Google 2008-04-03 13:22 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-04-01 22:42 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-04-01 22:42 --------- d-----w C:\Program Files\Synaptics 2008-04-01 22:42 --------- d-----w C:\Program Files\Sonic 2008-04-01 22:41 --------- d-----w C:\Program Files\Services en ligne 2008-04-01 22:41 --------- d-----w C:\Program Files\NetWaiting 2008-04-01 22:41 --------- d-----w C:\Program Files\Microsoft Works 2008-04-01 22:40 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-01 22:40 --------- d-----w C:\Program Files\microsoft frontpage 2008-04-01 22:40 --------- d-----w C:\Program Files\Java 2008-04-01 22:40 --------- d-----w C:\Program Files\HPQ 2008-04-01 22:40 --------- d-----w C:\Program Files\HP 2008-04-01 22:39 --------- d-----w C:\Program Files\Hewlett-Packard 2008-04-01 22:39 --------- d-----w C:\Program Files\Fichiers communs\TiVo Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\Sonic Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\LightScribe 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\HP 2008-04-01 22:38 --------- d-----w C:\Program Files\DIFX 2008-04-01 22:38 --------- d-----w C:\Program Files\CONEXANT 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sonic 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\SBSI 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink 2008-04-01 14:10 1,738 --sha-r C:\WINDOWS\system32\drivers\103C_HP_NTBK_Pavilion dv6000 (RG894EA#ABF)_YN_0Pavi_QCNF6360QWK_E416920051_46_I30B8_SQuanta_V65.28_BF.38_T070620_WXH2_L40C_M1023_J120_7AMD_8Turion 64 X2 Technology TL-50_91.61_#060823_N14E44312_(RG894EA#ABF).MRK 2007-09-22 11:18 96,896 --sh--w C:\WINDOWS\system32\mmlucj.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 23:00 15360] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-04-04 20:30 171448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 22:58 458752] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 21:03 36975] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-26 21:48 7561216] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-26 21:48 86016] "nwiz"="nwiz.exe" [2006-04-26 21:48 1519616 C:\WINDOWS\system32 wiz.exe] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-17 22:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 07:01 761946] "QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-04-11 21:54 102400] "HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152] "QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-07 14:38 131072] "Cpqset"="C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-02 10:36 40960] "RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 10:23 1187840] "avipit"="C:\WINDOWS\system32\mmlucj.exe" [2007-09-22 13:18 96896] "mmlucj"="C:\WINDOWS\system32\severe.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 23:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.LEAD"= LCODCCMP.DLL "MSVideo8"= VfWWDM32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\360Safe.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\adam.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avp.com] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avp.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\EGHOST.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\IceSword.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iparmo.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\kabaload.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KRegEx.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KvDetect.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KVMonXP.kxp] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\KvXP.kxp] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\MagicSet.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\mmsk.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\msconfig.com] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\msconfig.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NOD32.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\PFW.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\PFWLiveUpdate.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\QQDoctor.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Ras.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Rav.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\RavMon.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options egedit.com] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options egedit.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options uniep.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SREng.EXE] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\TrojDie.kxp] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\WoptiClean.exe] Debugger=C:\WINDOWS\system32\drivers\avipit.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;C:\WINDOWS\system32\Drivers\5U870CAP.sys [2006-05-10 01:02] R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS vsmu.sys [2006-03-06 01:49] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{711a85cf-fff5-11dc-a81c-001b24820ada}] \Shell\Auto\command - F:\OSO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5c5fc87-02f8-11dd-a827-001b24820ada}] \Shell\Auto\command - F:\OSO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-04-01 14:12:04 C:\WINDOWS\Tasks\Connexion facile à Internet.job"

g!rly · Answer

ok kari,

peux tu poster le rapport hijack this stp

@+

KARI · Answer

autre pb maintenant microsoft m'envoi constamment "mmlucj.exe a rencontré un problème et doit fermer".... et lorsque je clique sur "envoyer le rapport d'erreurs" ou "Ne pas envoyer".. dans les deux cas la meme fenêtre se réaffiche à nouveau...

g!rly · Answer

bonjour kari

désolé j´ai du m´absenter hier...

fais ceci :

Copie le texte ci-dessous :

File::
C:\WINDOWS\system32\mmlucj.exe
C:\WINDOWS\system32\severe.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avipit"=-
"mmlucj"=-

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

puis fais anlayser ceci :

C:\WINDOWS\system32\drivers\conime.exe

sur ce site :

http://virusscan.jotti.org/de/

post le resultat ici 

@+

KARI · Answer

je trouve pas le logo Combofix.exe en forme de croix... je trouve seulement le dossier ComboFix[1] sous C , et lorsq je fais glisser le fichier CFScript.txt. ça ne fait rien...

g!rly · Answer

re,

reprends le ici :

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

@+

KARI · Answer

je l'ai réinstallé, mais tjrs pas de logos rouge avec une croix, a la fin de l'installation j'ai eu ça :
 
DATE ERROR 2004-01-22
Check your settings

g!rly · Answer

est ce que la date et l´heure de ton pc est correcte ?

@+

KARI · Answer

exact.. je l'ai modifié.. et repris combofix.. sauf que je ne trouve tjrs pas ce logo ou je doit faire glisser CFScript.txt. je t'envoi quand meme le compte rendu de Combofix... [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés 2008-03-06 to 2008-04-06 )))))))))))))))))))))))))))))))))))) . 2008-04-05 18:05 . 2008-04-05 18:05 268 --ah----- C:\sqmdata11.sqm 2008-04-05 18:05 . 2008-04-05 18:05 244 --ah----- C:\sqmnoopt11.sqm 2008-04-05 17:52 . 2004-01-22 21:44 38,400 --------- C:\WINDOWS\system32\mmlucj.dll 2008-04-05 17:52 . 2008-04-05 17:52 664 --a------ C:\WINDOWS\system32\d3d9caps.dat 2008-04-05 17:50 . 2008-04-05 17:50 268 --ah----- C:\sqmdata10.sqm 2008-04-05 17:50 . 2008-04-05 17:50 244 --ah----- C:\sqmnoopt10.sqm 2008-04-05 17:21 . 2008-04-05 17:21 268 --ah----- C:\sqmdata09.sqm 2008-04-05 17:21 . 2008-04-05 17:21 244 --ah----- C:\sqmnoopt09.sqm 2008-04-05 15:57 . 2008-04-05 15:57 268 --ah----- C:\sqmdata08.sqm 2008-04-05 15:57 . 2008-04-05 15:57 244 --ah----- C:\sqmnoopt08.sqm 2008-04-05 14:42 . 2008-04-05 14:42 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-04-05 14:26 . 2008-04-05 14:26 d---s---- C:\Documents and Settings\utilisateur\UserData 2008-04-05 13:20 . 2008-04-05 13:20 268 --ah----- C:\sqmdata07.sqm 2008-04-05 13:20 . 2008-04-05 13:20 244 --ah----- C:\sqmnoopt07.sqm 2008-04-05 13:14 . 2008-04-05 13:14 268 --ah----- C:\sqmdata06.sqm 2008-04-05 13:14 . 2008-04-05 13:14 244 --ah----- C:\sqmnoopt06.sqm 2008-04-05 01:51 . 2008-04-05 01:51 268 --ah----- C:\sqmdata05.sqm 2008-04-05 01:51 . 2008-04-05 01:51 244 --ah----- C:\sqmnoopt05.sqm 2008-04-04 23:44 . 2008-04-04 23:44 268 --ah----- C:\sqmdata04.sqm 2008-04-04 23:44 . 2008-04-04 23:44 244 --ah----- C:\sqmnoopt04.sqm 2008-04-04 23:17 . 2008-04-04 23:17 268 --ah----- C:\sqmdata03.sqm 2008-04-04 23:17 . 2008-04-04 23:17 244 --ah----- C:\sqmnoopt03.sqm 2008-04-04 21:03 . 2008-04-04 21:03 d-------- C:\Program Files\LimeWire 2008-04-04 21:03 . 2008-04-05 00:16 d-------- C:\Documents and Settings\utilisateur\Application Data\LimeWire 2008-04-04 20:38 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-04-04 20:38 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-04-04 20:38 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-04-04 20:38 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys 2008-04-04 20:38 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-04-04 20:38 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-04-04 20:38 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-04-04 20:38 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys 2008-04-04 20:37 . 2008-04-04 20:37 d-------- C:\Program Files\Alwil Software 2008-04-04 20:37 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-04-04 20:37 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-04-04 20:24 . 2008-04-04 20:24 268 --ah----- C:\sqmdata02.sqm 2008-04-04 20:24 . 2008-04-04 20:24 244 --ah----- C:\sqmnoopt02.sqm 2008-04-03 15:24 . 2008-04-03 15:24 268 --ah----- C:\sqmdata01.sqm 2008-04-03 15:24 . 2008-04-03 15:24 244 --ah----- C:\sqmnoopt01.sqm 2008-04-03 15:23 . 2008-04-03 15:23 268 --ah----- C:\sqmdata00.sqm 2008-04-03 15:23 . 2008-04-03 15:23 244 --ah----- C:\sqmnoopt00.sqm 2008-04-03 15:15 . 2008-04-03 15:15 d-------- C:\Program Files\MSN Messenger 2008-04-03 15:06 . 2008-04-03 15:06 d-------- C:\Program Files\MSXML 4.0 2008-04-02 09:39 . 2007-07-09 15:11 584,192 --------- C:\WINDOWS\system32\dllcache pcrt4.dll 2008-04-02 09:33 . 2007-06-19 15:32 282,112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll 2008-04-02 09:23 . 2007-03-09 15:48 57,344 --------- C:\WINDOWS\system32\dllcache\agentdpv.dll 2008-04-01 17:38 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-04-01 17:38 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys 2008-04-01 17:38 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-04-01 17:38 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys 2008-04-01 17:11 . 2007-10-30 00:43 1,293,824 --------- C:\WINDOWS\system32\dllcache\quartz.dll 2008-04-01 16:43 . 2007-09-22 13:18 96,896 ---hs---- C:\WINDOWS\system32\mmlucj.exe 2008-04-01 16:41 . 2008-04-01 16:41 d-------- C: emp 2008-04-01 16:32 . 2008-04-01 16:32 143 --a------ C:\WINDOWS\MyDrivers.ini 2008-04-01 16:28 . 2008-04-01 16:31 d-------- C:\Xp 2008-04-01 16:12 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys 2008-04-01 16:11 . 2008-04-01 16:11 d---s---- C:\Documents and Settings\utilisateur\Temporary Internet Files 2008-04-01 16:11 . 2008-04-01 16:11 d---s---- C:\Documents and Settings\utilisateur\Historique 2008-04-01 16:10 . 2008-04-01 16:10 1,738 -rahs---- C:\WINDOWS\system32\drivers\103C_HP_NTBK_Pavilion dv6000 (RG894EA#ABF)_YN_0Pavi_QCNF6360QWK_E416920051_46_I30B8_SQuanta_V65.28_BF.38_T070620_WXH2_L40C_M1023_J120_7AMD_8Turion 64 X2 Technology TL-50_91.61_#060823_N14E44312_(RG894EA#ABF).MRK 2008-04-01 16:09 . 2006-08-23 13:21 d--h----- C:\Documents and Settings\utilisateur\Voisinage réseau 2008-04-01 16:09 . 2006-08-23 13:21 d--h----- C:\Documents and Settings\utilisateur\Voisinage d'impression 2008-04-01 16:09 . 2008-04-02 00:36 d--h----- C:\Documents and Settings\utilisateur\Modèles 2008-04-01 16:09 . 2004-01-22 23:44 dr------- C:\Documents and Settings\utilisateur\Mes documents 2008-04-01 16:09 . 2008-04-02 00:36 dr------- C:\Documents and Settings\utilisateur\Menu Démarrer 2008-04-01 16:09 . 2004-01-23 00:13 dr------- C:\Documents and Settings\utilisateur\Favoris 2008-04-01 16:09 . 2004-01-22 23:08 d-------- C:\Documents and Settings\utilisateur\Bureau 2008-04-01 16:09 . 2008-04-02 00:36 d-------- C:\Documents and Settings\utilisateur\Application Data\Symantec . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-04 21:36 --------- d-----w C:\Program Files\Google 2008-04-03 13:22 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-04-01 22:42 --------- d-----w C:\Program Files\Synaptics 2008-04-01 22:42 --------- d-----w C:\Program Files\Sonic 2008-04-01 22:41 --------- d-----w C:\Program Files\Services en ligne 2008-04-01 22:41 --------- d-----w C:\Program Files\NetWaiting 2008-04-01 22:41 --------- d-----w C:\Program Files\Microsoft Works 2008-04-01 22:40 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-01 22:40 --------- d-----w C:\Program Files\microsoft frontpage 2008-04-01 22:40 --------- d-----w C:\Program Files\Java 2008-04-01 22:40 --------- d-----w C:\Program Files\HPQ 2008-04-01 22:40 --------- d-----w C:\Program Files\HP 2008-04-01 22:39 --------- d-----w C:\Program Files\Hewlett-Packard 2008-04-01 22:39 --------- d-----w C:\Program Files\Fichiers communs\TiVo Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\Sonic Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\LightScribe 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\HP 2008-04-01 22:38 --------- d-----w C:\Program Files\DIFX 2008-04-01 22:38 --------- d-----w C:\Program Files\CONEXANT 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sonic 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\SBSI 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink 2008-04-01 14:10 1,738 --sha-r C:\WINDOWS\system32\drivers\103C_HP_NTBK_Pavilion dv6000 (RG894EA#ABF)_YN_0Pavi_QCNF6360QWK_E416920051_46_I30B8_SQuanta_V65.28_BF.38_T070620_WXH2_L40C_M1023_J120_7AMD_8Turion 64 X2 Technology TL-50_91.61_#060823_N14E44312_(RG894EA#ABF).MRK 2005-09-24 06:49 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll 2007-09-22 11:18 96,896 --sh--w C:\WINDOWS\system32\mmlucj.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 23:00 15360] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-04-04 20:30 171448] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 22:58 458752] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 21:03 36975] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-26 21:48 7561216] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-26 21:48 86016] "nwiz"="nwiz.exe" [2006-04-26 21:48 1519616 C:\WINDOWS\system32 wiz.exe] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-17 22:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 07:01 761946] "QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-04-11 21:54 102400] "HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152] "QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-07 14:38 131072] "Cpqset"="C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-02 10:36 40960] "RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 10:23 1187840] "avipit"="C:\WINDOWS\system32\mmlucj.exe" [2007-09-22 13:18 96896] "mmlucj"="C:\WINDOWS\system32\severe.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 23:00 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage rapide de HP Photosmart Premier.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2005-09-24 09:39:30 73728] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.LEAD"= LCODCCMP.DLL "MSVideo8"= VfWWDM32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;C:\WINDOWS\system32\Drivers\5U870CAP.sys [2006-05-10 01:02] R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS vsmu.sys [2006-03-06 01:49] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{711a85cf-fff5-11dc-a81c-001b24820ada}] \Shell\Auto\command - F:\OSO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5c5fc87-02f8-11dd-a827-001b24820ada}] \Shell\Auto\command - F:\OSO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-04-01 14:12:04 C:\WINDOWS\Tasks\Connexion facile à Internet.job" - C:\Program Files\Hewlett-Packard\SDP\HPSdpApp.exef/remind /LaunchPoint reminder /App C:\Program Files\Hewlett-Packard\Easy Internet signup\StartEIS.aml . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-06 23:18:23 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe????????????,?@? ???0Y??????R?@?????,?@ Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-04-06 23:18:38 ComboFix-quarantined-files.txt 2008-04-06 21:18:36 ComboFix2.txt 2008-04-06 21:14:02 Pre-Run: 87,131,848,704 octets libres Post-Run: 87,121,039,360 octets libres . 2008-04-05 16:07:30 --- E O F ---

g!rly · Answer

salut kari,

l´icone de combofix tu l´as vu que tu arrives a le faire fonctionner...

on va faire autrement :

* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

n´y touche pas 

redemarre en mode sans echec:

Comment redémarrer en mode sans echec? 

   Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
   Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
   capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
   Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
   Ps : si F8 ne marche pas utilise la touche F5.

Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
une fois en mode sans echec.

Fix.reg

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avipit"=-
"mmlucj"=-

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin. 
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"

* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :

C:\WINDOWS\system32\mmlucj.exe
C:\WINDOWS\system32\severe.exe

* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

Redemarre normalement et post le rapport de ot_move it ici stp ainsi qu´un nouveau rapport hijack this.

ps : si tu ne comprends pas quelque chose demande moi avant de commencer...

@+

KARI · Answer

Bonjour G!rly,

j'ai bien suivi tes instructions seule problème, c'est que lorsq j'ai cliqué sur Fix.reg, la question "Voulez vs vraiment ajouter l'information contenu ds ce fichier reg au registre?" ne s'est pas affiché.. a la place j'ai fait un clique droit et j'ai cliqué sur fusionner..
voici les deux rapports..



1/////Le rapport de OT MoveIt:

File/Folder OWS\system32\mmlucj.exe not found.
C:\WINDOWS\system32\severe.exe moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04072008_155534







2////et celui de Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:15, on 07/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\drivers\conime.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\mmlucj.exe
C:\WINDOWS\system32\severe.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\dwwin.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\conime.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [avipit] C:\WINDOWS\system32\mmlucj.exe
O4 - HKLM\..\Run: [mmlucj] C:\WINDOWS\system32\severe.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

KARI · Answer

j'ai compris pourquoi je ne trouvais pas la logo combofix sur mon bureau, c qu'en téléchargeant je cliquais sur exécuter au lieu d'enregistrer... vu que maintenant le logo apparait normalement j'ai quand meme fait glisser le fichier script.txt. et je n'ai plus ce pb avec cette fenetre intampestive : "mmlucj.exe a rencontré un problème et doit fermer" 1//// voici le rapport de combofix: [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\system32\mmlucj.exe C:\WINDOWS\system32\severe.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\drivers\avipit.exe C:\WINDOWS\system32\drivers\conime.exe C:\WINDOWS\system32\mmlucj.exe C:\WINDOWS\system32\severe.exe D:\Autorun.inf D:\OSO.exe . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-07 to 2008-04-07 )))))))))))))))))))))))))))))))))))) . 2008-04-07 16:11 . 2008-04-07 16:11 268 --ah----- C:\sqmdata17.sqm 2008-04-07 16:11 . 2008-04-07 16:11 244 --ah----- C:\sqmnoopt17.sqm 2008-04-07 15:55 . 2008-04-07 15:55 d-------- C:\_OTMoveIt 2008-04-07 15:48 . 2008-04-07 16:09 77 --a------ C:\WINDOWS\system32\hx1.bat 2008-04-07 15:44 . 2008-04-07 15:44 268 --ah----- C:\sqmdata16.sqm 2008-04-07 15:44 . 2008-04-07 15:44 244 --ah----- C:\sqmnoopt16.sqm 2008-04-05 18:05 . 2008-04-05 18:05 268 --ah----- C:\sqmdata11.sqm 2008-04-05 18:05 . 2008-04-05 18:05 244 --ah----- C:\sqmnoopt11.sqm 2008-04-05 17:52 . 2008-04-07 15:58 38,400 --------- C:\WINDOWS\system32\mmlucj.dll 2008-04-05 17:52 . 2008-04-05 17:52 664 --a------ C:\WINDOWS\system32\d3d9caps.dat 2008-04-05 17:50 . 2008-04-05 17:50 268 --ah----- C:\sqmdata10.sqm 2008-04-05 17:50 . 2008-04-05 17:50 244 --ah----- C:\sqmnoopt10.sqm 2008-04-05 17:21 . 2008-04-05 17:21 268 --ah----- C:\sqmdata09.sqm 2008-04-05 17:21 . 2008-04-05 17:21 244 --ah----- C:\sqmnoopt09.sqm 2008-04-05 15:57 . 2008-04-05 15:57 268 --ah----- C:\sqmdata08.sqm 2008-04-05 15:57 . 2008-04-05 15:57 244 --ah----- C:\sqmnoopt08.sqm 2008-04-05 14:42 . 2008-04-05 14:42 d-------- C:\WINDOWS\system32\Kaspersky Lab 2008-04-05 14:26 . 2008-04-05 14:26 d---s---- C:\Documents and Settings\utilisateur\UserData 2008-04-05 13:20 . 2008-04-05 13:20 268 --ah----- C:\sqmdata07.sqm 2008-04-05 13:20 . 2008-04-05 13:20 244 --ah----- C:\sqmnoopt07.sqm 2008-04-05 13:14 . 2008-04-05 13:14 268 --ah----- C:\sqmdata06.sqm 2008-04-05 13:14 . 2008-04-05 13:14 244 --ah----- C:\sqmnoopt06.sqm 2008-04-05 01:51 . 2008-04-05 01:51 268 --ah----- C:\sqmdata05.sqm 2008-04-05 01:51 . 2008-04-05 01:51 244 --ah----- C:\sqmnoopt05.sqm 2008-04-04 23:44 . 2008-04-04 23:44 268 --ah----- C:\sqmdata04.sqm 2008-04-04 23:44 . 2008-04-04 23:44 244 --ah----- C:\sqmnoopt04.sqm 2008-04-04 23:17 . 2008-04-04 23:17 268 --ah----- C:\sqmdata03.sqm 2008-04-04 23:17 . 2008-04-04 23:17 244 --ah----- C:\sqmnoopt03.sqm 2008-04-04 21:03 . 2008-04-04 21:03 d-------- C:\Program Files\LimeWire 2008-04-04 21:03 . 2008-04-05 00:16 d-------- C:\Documents and Settings\utilisateur\Application Data\LimeWire 2008-04-04 20:38 . 2008-03-29 19:23 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-04-04 20:38 . 2008-03-29 19:35 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-04-04 20:38 . 2008-01-17 17:34 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-04-04 20:38 . 2008-03-29 19:31 75,856 --a------ C:\WINDOWS\system32\drivers\aswSP.sys 2008-04-04 20:38 . 2008-03-29 19:27 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-04-04 20:38 . 2008-03-29 19:26 26,944 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-04-04 20:38 . 2008-03-29 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-04-04 20:38 . 2008-03-29 19:35 20,560 --a------ C:\WINDOWS\system32\drivers\aswFsBlk.sys 2008-04-04 20:37 . 2008-04-04 20:37 d-------- C:\Program Files\Alwil Software 2008-04-04 20:37 . 2008-03-29 19:45 1,146,232 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-04-04 20:37 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-04-04 20:24 . 2008-04-04 20:24 268 --ah----- C:\sqmdata02.sqm 2008-04-04 20:24 . 2008-04-04 20:24 244 --ah----- C:\sqmnoopt02.sqm 2008-04-03 15:24 . 2008-04-03 15:24 268 --ah----- C:\sqmdata01.sqm 2008-04-03 15:24 . 2008-04-03 15:24 244 --ah----- C:\sqmnoopt01.sqm 2008-04-03 15:23 . 2008-04-03 15:23 268 --ah----- C:\sqmdata00.sqm 2008-04-03 15:23 . 2008-04-03 15:23 244 --ah----- C:\sqmnoopt00.sqm 2008-04-03 15:15 . 2008-04-03 15:15 d-------- C:\Program Files\MSN Messenger 2008-04-03 15:06 . 2008-04-03 15:06 d-------- C:\Program Files\MSXML 4.0 2008-04-02 09:39 . 2007-07-09 15:11 584,192 --------- C:\WINDOWS\system32\dllcache pcrt4.dll 2008-04-02 09:33 . 2007-06-19 15:32 282,112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll 2008-04-02 09:23 . 2007-03-09 15:48 57,344 --------- C:\WINDOWS\system32\dllcache\agentdpv.dll 2008-04-01 17:38 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-04-01 17:38 . 2001-08-23 17:04 12,288 --a------ C:\WINDOWS\system32\dllcache\mouhid.sys 2008-04-01 17:38 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-04-01 17:38 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\dllcache\hidusb.sys 2008-04-01 17:11 . 2007-10-30 00:43 1,293,824 --------- C:\WINDOWS\system32\dllcache\quartz.dll 2008-04-01 16:41 . 2008-04-01 16:41 d-------- C: emp 2008-04-01 16:32 . 2008-04-01 16:32 143 --a------ C:\WINDOWS\MyDrivers.ini 2008-04-01 16:28 . 2008-04-01 16:31 d-------- C:\Xp 2008-04-01 16:12 . 2004-08-03 23:08 26,496 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys 2008-04-01 16:11 . 2008-04-01 16:11 d---s---- C:\Documents and Settings\utilisateur\Temporary Internet Files 2008-04-01 16:11 . 2008-04-01 16:11 d---s---- C:\Documents and Settings\utilisateur\Historique 2008-04-01 16:10 . 2008-04-01 16:10 1,738 -rahs---- C:\WINDOWS\system32\drivers\103C_HP_NTBK_Pavilion dv6000 (RG894EA#ABF)_YN_0Pavi_QCNF6360QWK_E416920051_46_I30B8_SQuanta_V65.28_BF.38_T070620_WXH2_L40C_M1023_J120_7AMD_8Turion 64 X2 Technology TL-50_91.61_#060823_N14E44312_(RG894EA#ABF).MRK 2008-04-01 16:09 . 2006-08-23 13:21 d--h----- C:\Documents and Settings\utilisateur\Voisinage r‚seau 2008-04-01 16:09 . 2006-08-23 13:21 d--h----- C:\Documents and Settings\utilisateur\Voisinage d'impression 2008-04-01 16:09 . 2008-04-02 00:36 d--h----- C:\Documents and Settings\utilisateur\ModŠles 2008-04-01 16:09 . 2004-01-22 23:44 dr------- C:\Documents and Settings\utilisateur\Mes documents 2008-04-01 16:09 . 2008-04-02 00:36 dr------- C:\Documents and Settings\utilisateur\Menu D‚marrer 2008-04-01 16:09 . 2004-01-23 00:13 dr------- C:\Documents and Settings\utilisateur\Favoris 2008-04-01 16:09 . 2008-04-07 16:09 d-------- C:\Documents and Settings\utilisateur\Bureau 2008-04-01 16:09 . 2008-04-02 00:36 d-------- C:\Documents and Settings\utilisateur\Application Data\Symantec . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-04 21:36 --------- d-----w C:\Program Files\Google 2008-04-03 13:22 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-04-01 22:42 --------- d-----w C:\Program Files\Synaptics 2008-04-01 22:42 --------- d-----w C:\Program Files\Sonic 2008-04-01 22:41 --------- d-----w C:\Program Files\Services en ligne 2008-04-01 22:41 --------- d-----w C:\Program Files\NetWaiting 2008-04-01 22:41 --------- d-----w C:\Program Files\Microsoft Works 2008-04-01 22:40 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-01 22:40 --------- d-----w C:\Program Files\microsoft frontpage 2008-04-01 22:40 --------- d-----w C:\Program Files\Java 2008-04-01 22:40 --------- d-----w C:\Program Files\HPQ 2008-04-01 22:40 --------- d-----w C:\Program Files\HP 2008-04-01 22:39 --------- d-----w C:\Program Files\Hewlett-Packard 2008-04-01 22:39 --------- d-----w C:\Program Files\Fichiers communs\TiVo Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\SureThing Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\Sonic Shared 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\LightScribe 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-04-01 22:38 --------- d-----w C:\Program Files\Fichiers communs\HP 2008-04-01 22:38 --------- d-----w C:\Program Files\DIFX 2008-04-01 22:38 --------- d-----w C:\Program Files\CONEXANT 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sonic 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\SBSI 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\InstallShield 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\HP 2008-04-01 22:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink 2008-04-01 14:10 1,738 --sha-r C:\WINDOWS\system32\drivers\103C_HP_NTBK_Pavilion dv6000 (RG894EA#ABF)_YN_0Pavi_QCNF6360QWK_E416920051_46_I30B8_SQuanta_V65.28_BF.38_T070620_WXH2_L40C_M1023_J120_7AMD_8Turion 64 X2 Technology TL-50_91.61_#060823_N14E44312_(RG894EA#ABF).MRK 2005-09-24 06:49 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll . ((((((((((((((((((((((((((((( snapshot_2008-04-06_23.13.52.50 ))))))))))))))))))))))))))))))))))))))))) . - 2006-11-03 08:58:34 317,440 ----a-w C:\WINDOWS\inf\unregmp2.exe + 2007-06-29 09:59:14 318,976 ----a-w C:\WINDOWS\inf\unregmp2.exe - 2006-10-18 20:47:16 414,208 ----a-w C:\WINDOWS\system32\dllcache\msscp.dll + 2006-12-04 14:21:50 414,720 ----a-w C:\WINDOWS\system32\dllcache\msscp.dll - 2006-11-03 08:58:34 317,440 ----a-w C:\WINDOWS\system32\dllcache\unregmp2.exe + 2007-06-29 09:59:14 318,976 ----a-w C:\WINDOWS\system32\dllcache\unregmp2.exe - 2006-10-18 20:47:18 222,208 ----a-w C:\WINDOWS\system32\dllcache\WMASF.dll + 2007-10-25 07:28:30 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll - 2006-10-18 20:47:20 10,834,432 ----a-w C:\WINDOWS\system32\dllcache\wmp.dll + 2007-06-11 21:51:12 10,834,944 ----a-w C:\WINDOWS\system32\dllcache\wmp.dll - 2006-10-18 20:47:16 414,208 ----a-w C:\WINDOWS\system32\msscp.dll + 2006-12-04 14:21:50 414,720 ----a-w C:\WINDOWS\system32\msscp.dll - 2004-01-22 19:48:41 53,098 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-04-07 14:02:20 53,098 ----a-w C:\WINDOWS\system32\perfc009.dat - 2004-01-22 19:48:41 64,052 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-04-07 14:02:20 64,052 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2004-01-22 19:48:41 380,684 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-04-07 14:02:20 380,684 ----a-w C:\WINDOWS\system32\perfh009.dat - 2004-01-22 19:48:41 445,672 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-04-07 14:02:20 445,672 ----a-w C:\WINDOWS\system32\perfh00C.dat - 2006-10-18 20:47:18 222,208 ----a-w C:\WINDOWS\system32\WMASF.dll + 2007-10-25 07:28:30 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll - 2006-10-18 20:47:20 10,834,432 ----a-w C:\WINDOWS\system32\wmp.dll + 2007-06-11 21:51:12 10,834,944 ----a-w C:\WINDOWS\system32\wmp.dll + 2008-04-07 14:12:33 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_6e8.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 23:00 15360] "MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-04-04 20:30 171448] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 10:59 204288] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 22:58 458752] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 21:03 36975] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-26 21:48 7561216] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-26 21:48 86016] "nwiz"="nwiz.exe" [2006-04-26 21:48 1519616 C:\WINDOWS\system32 wiz.exe] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-17 22:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 07:01 761946] "QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2006-04-11 21:54 102400] "HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152] "QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-07 14:38 131072] "Cpqset"="C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-02 10:36 40960] "RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 10:23 1187840] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 23:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.LEAD"= LCODCCMP.DLL "MSVideo8"= VfWWDM32.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;C:\WINDOWS\system32\Drivers\5U870CAP.sys [2006-05-10 01:02] R3 nvsmu;nvsmu;C:\WINDOWS\system32\DRIVERS vsmu.sys [2006-03-06 01:49] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{711a85cf-fff5-11dc-a81c-001b24820ada}] \Shell\Auto\command - F:\OSO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5c5fc87-02f8-11dd-a827-001b24820ada}] \Shell\Auto\command - F:\OSO.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-04-01 14:12:04 C:\WINDOWS\Tasks\Connexion facile à Internet.job" 2///// Celui de Hijack This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:21, on 2008-04-07 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\HP\QuickPlay\QPService.exe C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Program Files\Windows Media Player\WMPNSCFG.exe C:\WINDOWS\system32 vsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [Cpqset] C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32 vsvc32.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

g!rly · Answer

ok kari tres bien ;-) passe ceci : Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau • Doucle clic sur >> RAV.exe << afin de lancer l'outil. • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles) • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain . • Retire tes disques amovibles et redémarre ton ordinateur . Poste le rapport , si infection! puis regarde ceci concernant avast : antivir vs avast : -> http://forum.malekal.com/ftopic3528.php alors je te conseille de le desinstaller et d´installer antivir a la place Telecharge et instales l'antivirus Antivir Personal Edition Classic : ->https://www.malekal.com/avira-free-security-antivirus-gratuit/ https://www.avira.com/en/prime http://mickael.barroux.free.fr/securite/antivir.php http://speedweb1.free.fr/frames2.php?page=tuto5 <- tutoriel configuration du scanner... une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir. puis sur la droite coche les case suivantes : scan boot sectors of selected drives scan master boot sectors scan memory search foe rootkit before scan decoche : ignore off line files toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp @+

KARI · Answer

Bonjour G!rly,

RAV antivirus, il détecté et supprimé 3 virus, mais aprés, ça a encore duré plus d'une heure et je l'ai interrompu..

Puis j'ai désinstallé avast et installé AntiVir, il a détecté plusieurs saletés dont le cheval de troie...

voici le rapport du scan de AntiVir :






AntiVir PersonalEdition Classic
Report file date: 2008-04-08  13:01

Scanning for 1185977 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         utilisateur
Computer name:    PC259961503423

Version information:
BUILD.DAT    : 270           15603 Bytes  2007-09-19 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  2007-08-23 12:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  2007-08-16 11:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  2007-08-14 14:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  2007-08-21 11:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  2007-07-18 13:27:15
ANTIVIR1.VDF : 7.0.3.2     5447168 Bytes  2008-03-07 10:39:04
ANTIVIR2.VDF : 7.0.3.127    649216 Bytes  2008-04-07 10:39:04
ANTIVIR3.VDF : 7.0.3.132     22528 Bytes  2008-04-08 10:39:04
AVEWIN32.DLL : 7.6.0.81    3424768 Bytes  2008-04-08 10:39:04
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  2007-02-26 09:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  2007-07-18 06:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  2007-04-16 12:16:24
AVPACK32.DLL : 7.6.0.3      360488 Bytes  2008-04-08 10:39:05
AVREG.DLL    : 7.0.1.6       30760 Bytes  2007-07-18 06:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  2007-08-28 11:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  2007-07-18 06:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  2007-03-08 10:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  2007-08-07 11:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  2007-08-21 11:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  2007-07-23 08:37:21

Configuration settings for the scan:
Jobname..........................: Local Drives
Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: E:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: 2008-04-08  13:01

Starting search for hidden objects.
'43377' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'IEXPLORE.EXE' - '1' Module(s) have been scanned
Scan process 'HPQTOA~1.EXE' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'hpqwmiex.exe' - '1' Module(s) have been scanned
Scan process 'wmpnetwk.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'LSSrvc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'hpqimzone.exe' - '1' Module(s) have been scanned
Scan process 'wmpnscfg.exe' - '1' Module(s) have been scanned
Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'QLBCTRL.exe' - '1' Module(s) have been scanned
Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
Scan process 'QPService.exe' - '1' Module(s) have been scanned
Scan process 'SynTPEnh.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'HP Wireless Assistant.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
39 processes with 39 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!
Boot sector 'D:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '37' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\hiberfil.sys
      [WARNING]   The file could not be opened!
C:\pagefile.sys
      [WARNING]   The file could not be opened!
C:\Documents and Settings\utilisateur\Local Settings\Temp\Av-test.txt
      [DETECTION] Contains code of the Eicar-Test-Signature virus
      [INFO]      The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\system32\mmlucj.exe.vir
      [DETECTION] Is the Trojan horse TR/Dldr.Delphi.Gen
      [INFO]      The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\system32\severe.exe.vir
      [DETECTION] Is the Trojan horse TR/Dldr.Delphi.Gen
      [INFO]      The file was deleted!
C:\QooBox\Quarantine\C\WINDOWS\system32\verclsid.dat.vir
      [DETECTION] Is the Trojan horse TR/Dldr.Delphi.Gen
      [INFO]      The file was moved to '486d5498.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\avipit.exe.vir
      [DETECTION] Is the Trojan horse TR/Dldr.Delphi.Gen
      [INFO]      The file was moved to '4864553b.qua'!
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\conime.exe.vir
      [DETECTION] Is the Trojan horse TR/Dldr.Delphi.Gen
      [INFO]      The file was deleted!
C:\QooBox\Quarantine\D\autorun.inf.vir
      [DETECTION] Is the Trojan horse TR/Autorun.EU
      [INFO]      The file was deleted!
C:\QooBox\Quarantine\D\OSO.exe.vir
      [DETECTION] Is the Trojan horse TR/Dldr.Delphi.Gen
      [INFO]      The file was deleted!
C:\WINDOWS\system32\drivers\etc\hosts.msn
      [DETECTION] Is the Trojan horse TR/Qhost.KH
      [INFO]      The file was deleted!
C:\_OTMoveIt\MovedFiles\04072008_155534\WINDOWS\system32\severe.exe
      [DETECTION] Is the Trojan horse TR/Dldr.Delphi.Gen
      [INFO]      The file was deleted!
Begin scan in 'D:\' <HP_RECOVERY>
Begin scan in 'E:\'
Search path E:\ could not be opened!
Le périphérique n'est pas prêt.



End of the scan: 2008-04-08  13:41
Used time: 40:06 min

The scan has been done completely.

   5534 Scanning directories
 249681 Files were scanned
     10 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      8 files were deleted
      0 files were repaired
      2 files were moved to quarantine
      0 files were renamed
      2 Files cannot be scanned
 249671 Files not concerned
   8117 Archives were scanned
      2 Warnings
     10 Notes
  43377 Objects were scanned with rootkit scan
      0 Hidden objects were found

g!rly · Answer

salut kari,

fais ceci :

Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous: 

@ echo off

if exist \G!RLY.TXT del \G!RLY.TXT
FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
)
IF EXIST %WINDIR%\MS32DLL.dll.vbs (
ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
notepad \G!RLY.TXT
exit

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
Choisis le bureau comme lieu d'enregistrement, puis dans:

Type -> choisis "tous les fichiers"
Nom du fichier -> tape G!RLY.bat
clic sur enregistrer.

Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
Clé USB, DD externe... etc

Puis une fois fait, double clic sur le fichier G!RLY.bat.
Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
Copie et colle ici le contenu de ce rapport. 

puis

passe cet antispyware :

Fais un scan avec cet antispyware :

Telecharge malwarebytes + tutoriel :

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

Puis click sur "rechercher".

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle les rapports stp.

@+

KARI · Answer

Bonjour G!rly,


Je ne retrouve plus ma clef USB.. et voici le listing des fichiers que le script a détecté :



C:\autorun.inf Non trouvé 
C:\MS32DLL.dll.vbs Non trouvé 
D:\autorun.inf Non trouvé 
D:\MS32DLL.dll.vbs Non trouvé 
C:\WINDOWS\MS32DLL.dll.vbs non trouvé 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    hpWirelessAssistant	REG_SZ	C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
    SunJavaUpdateSched	REG_SZ	C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    nwiz	REG_SZ	nwiz.exe /installquiet /nodetect
    High Definition Audio Property Page Shortcut	REG_SZ	CHDAudPropShortcut.exe
    SynTPEnh	REG_SZ	C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    QPService	REG_SZ	"C:\Program Files\HP\QuickPlay\QPService.exe"
    HP Software Update	REG_SZ	C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    QlbCtrl	REG_EXPAND_SZ	%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
    Cpqset	REG_SZ	C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe
    RecGuard	REG_SZ	C:\Windows\SMINST\RecGuard.exe
    avgnt	REG_SZ	"C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    MsnMsgr	REG_SZ	"C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    swg	REG_SZ	C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    WMPNSCFG	REG_SZ	C:\Program Files\Windows Media Player\WMPNSCFG.exe

g!rly · Answer

salut Kari

ok pour le sript mais fais attention si tu retrouve la cle elle doit etre infectée...

passe malwarebytes quand tu auras le temps

@+

KARI · Answer

le scan avec Malwarebytes est en cours.

g!rly · Answer

ok

KARI · Answer

le scan est en cours

KARI · Answer

Lorsque je trouverais ma clef, je la fais scanner par AntiVir avant de l'utiliser ?



Voici le résultat du scan, a priori aucun élément n'a été infecté :


Malwarebytes' Anti-Malware 1.11
Version de la base de données: 606

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 90260
Temps écoulé: 21 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

g!rly · Answer

re,

quand tu trouveras ta cle il faudra que tu passes rav antivirus, en branchant la cle sans l´ouvrir...

le scan de malwarebytes est ok ;-)

comment va le pc ?

post un dernier rapport hijack this stp

@+

g!rly · Answer

ok

maintenant pour eviter que ca recommence :

internet explorer 6.0 = failles de securitées importantes

alors fais les mises a jour windows : tu veux la version 7.0

https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

et pourquoi ne pas surfer avec firefox? = plus sur,  tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

http://www.mozilla-europe.org/fr/

plugins : ad block plus, no script ect

https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

regarde ce tutorial pour mettre ta console java a jour :

https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

ta version de acrobat reader n´est pas a jour, tu veux la version 8.1 derniere en date alors desinstale ta version par le panneau de configuration / ajoue et suppression de programme

et instale la derniere :

https://get2.adobe.com/reader/otherversions/

ou oublie completement acrobat reader et instales foxit plus léger a la place:

https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

tu as des bouts de norton : desinstale le correctement :

Desinstalleur Norton:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

instale un des deux par feu ci dessous :

Comodo 3 pro :

http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

tuto : https://www.malekal.com/tutorial-comodo-firewall/

Online armor :

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

tuto : https://www.malekal.com/tutorial-online-armor-free/

puis un petit bonus :

anti spyware :

spywareblaster :

http://www.brightfort.com/spywareblaster.html

c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

tuto : https://www.malekal.com/tutorial-spywareblaster/

+

spyware gard :

https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

post un nouveau rapport hijack this une fois que tu auras fais tout ca...

ca parait fastidieu, mais apres tu seras tranquille ;-)

@+

g!rly · Answer

kari

supprime les autres version de java  comme l´explique malekal morte : chacune fais 100 MO !

sinon tu as un nouveau processus :

fais le anlyser  : 

C:\WINDOWS\inf\GETPLUSo.INF

sur ce site :

http://virusscan.jotti.org/de/

post le resultat

@+

g!rly · Answer

salut kari,

comment va ton pc?

VIRUS win32 detnat AZ

27 réponses

Discussions similaires

Newsletters