Virus!
jean pierre
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour, je pense avoir un virus sur mon ordinateur.
Il est anormalement lent, des fenêtres de pub s'ouvrent tout le temps, notamment pour me dire que j'ai des virus et pour me proposer de les enlever en téléchargeant un logiciel, il m'indique que j'ai des fichiers endommagés et me demande d'utiliser checkdisk.
Quelqu'un peut-il m'aider? Merci d'avance
Il est anormalement lent, des fenêtres de pub s'ouvrent tout le temps, notamment pour me dire que j'ai des virus et pour me proposer de les enlever en téléchargeant un logiciel, il m'indique que j'ai des fichiers endommagés et me demande d'utiliser checkdisk.
Quelqu'un peut-il m'aider? Merci d'avance
Configuration: Windows XP Internet Explorer 6.0
4 réponses
-
slt,
1/
Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau.
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)
Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)
______________________
2/
mettre a jour internet explorer
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html
_______________________
3/
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."-
Merci!
Voila pour la première analyse
Search Navipromo version 3.5.2 commencé le 06/04/2008 à 19:33:58,50
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "pierre"
Mise à jour le 29.03.2008 à 22h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2800.1106
Système de fichiers : FAT32
Executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
*** Recherche dossiers dans "C:\Documents and Settings\pierre\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\pierre\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\pierre\menud+~1\progra~1" ***
*** Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUD?~1\PROGRA~1 ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans C:\WINDOWS\system32 *
* Recherche dans "C:\Documents and Settings\pierre\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\antoine\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\paul\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans C:\WINDOWS\system32 :
* Dans "C:\Documents and Settings\pierre\locals~1\applic~1" :
* Dans "C:\DOCUME~1\antoine\locals~1\applic~1" :
* Dans "C:\DOCUME~1\paul\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
C:\WINDOWS\system32\yccdd.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
*** Analyse terminée le 06/04/2008 à 19:34:55,42 ***
-
-
ok une infection vundo
poursuis tout ceci
mettre a jour internet explorer
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html
_______________________
3/
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
_________________________
scan avec vundofix (colle le rapport)
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
_______________________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "Killvund". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.-
Merci, voici le rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:00, on 06/04/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=519
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BMc353e7e9] Rundll32.exe "C:\WINDOWS\System32\nsrivhaf.dll",s
O4 - HKLM\..\Run: [c060d475] rundll32.exe "C:\WINDOWS\System32\fdlpdlsa.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LE COMPAGNON CLUB.lnk = C:\Program Files\Club-Internet\Le Compagnon Club\bin\matcli.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en Adobe PDF - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\Titan Poker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - F:\Titan Poker\casino.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
-
-
deux choses: le rapport n'est pas bon (tu n'as pas renommé hijackhtis)
____________
et ton windows n'est pas a jour depuis des années!!!
si tu n'en as pas mets de suite un parefeu!!!
Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm
____________________
scan avec vundofix (colle le rapport)
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
_______________________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "Killvund". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
______________________
puis recolle un hijackhtis en le renommant-
Désolé. Je n'arrive pas à installer online armor, il me met que ce fichier est endommagé!
Voila le rapport hijackthis j'espère l'avoir bien renommé.
date/time : 2008-04-06, 20:30:24, 812ms
computer name : JEUX
user name : pierre
operating system : Windows XP Service Pack 1 build 2600
system language : French
system up time : 10 minutes 16 seconds
program up time : 4 seconds
processors : 2x Intel(R) Pentium(R) 4 CPU 2.60GHz
physical memory : 696/1023 MB (free/total)
free disk space : (C:) 836,64 MB
display mode : 1024x768, 32 bit
process id : $f0c
allocated memory : 7,02 MB
command line : "C:\Program Files\Tall Emu\Online Armor\oasrv.exe" /reinstall /silent
executable : oasrv.exe
exec. date/time : 2008-02-25 09:46
version : 2.1.0.95
madExcept version : 2.7g
exception class : EWriteError
exception message : Stream write error.
main thread ($f10):
0046952e oasrv.exe Classes TStream.WriteBuffer
004695e1 oasrv.exe Classes TStream.CopyFrom
004e8a97 oasrv.exe UComponentWatcher 701 TComponentList.Put
004e7f1a oasrv.exe UComponentWatcher 339 CheckImage
004e8b8b oasrv.exe UComponentWatcher 730 VerifyComponents
004e8f9c oasrv.exe UComponentWatcher 809 initialization
00404b4e oasrv.exe System InitUnits
00404bb2 oasrv.exe System @StartExe
004077ba oasrv.exe SysInit @InitExe
006e881a oasrv.exe OAsrv 169 initialization
thread $7f8:
7ffe0304 ???
77f65ab2 ntdll.dll NtDelayExecution
thread $fb4:
7ffe0304 ???
77f6625b ntdll.dll NtRemoveIoCompletion
thread $fb8:
7ffe0304 ???
77f66709 ntdll.dll NtWaitForMultipleObjects
thread $fa4:
7ffe0304 ???
77f66709 ntdll.dll NtWaitForMultipleObjects
77e55eda kernel32.dll WaitForMultipleObjectsEx
0042cb4b oasrv.exe madExcept ThreadExceptFrame
>> created by main thread ($f10) at:
76254677 crypt32.dll
thread $f14:
7ffe0304 ???
77f66709 ntdll.dll NtWaitForMultipleObjects
77e55eda kernel32.dll WaitForMultipleObjectsEx
77e55fa5 kernel32.dll WaitForMultipleObjects
modules:
00330000 SHLWAPI.dll 6.0.2800.1106 C:\WINDOWS\system32
00400000 oasrv.exe 2.1.0.95 C:\Program Files\Tall Emu\Online Armor
01310000 fdlpdlsa.dll C:\WINDOWS\System32
0ffd0000 rsaenh.dll 5.1.2600.1029 C:\WINDOWS\System32
10000000 SBHook.dll 5.8.22.6405 C:\PROGRA~1\CLUB-I~1\LECOMP~1\SMARTB~1
5b090000 uxtheme.dll 6.0.2800.1106 C:\WINDOWS\System32
5f140000 olepro32.dll 5.0.5014.0 C:\WINDOWS\System32
719e0000 WS2HELP.dll 5.1.2600.0 C:\WINDOWS\System32
719f0000 WS2_32.dll 5.1.2600.0 C:\WINDOWS\System32
71a10000 wsock32.dll 5.1.2600.0 C:\WINDOWS\System32
71b80000 netapi32.dll 5.1.2600.1106 C:\WINDOWS\System32
72f50000 winspool.drv 5.1.2600.1106 C:\WINDOWS\System32
74690000 MSCTF.dll 5.1.2600.1106 C:\WINDOWS\System32
75a00000 userenv.dll 5.1.2600.1106 C:\WINDOWS\system32
76190000 WININET.dll 6.0.2800.1106 C:\WINDOWS\system32
76230000 MSASN1.dll 5.1.2600.0 C:\WINDOWS\system32
76250000 crypt32.dll 5.131.2600.1106 C:\WINDOWS\system32
76340000 comdlg32.dll 6.0.2800.1106 C:\WINDOWS\system32
76720000 shfolder.dll 6.0.2800.1106 C:\WINDOWS\System32
76ae0000 winmm.dll 5.1.2600.1106 C:\WINDOWS\System32
76be0000 WinTrust.dll 5.131.2600.0 C:\WINDOWS\System32
76c40000 IMAGEHLP.DLL 5.1.2600.1106 C:\WINDOWS\system32
76f40000 Secur32.dll 5.1.2600.1106 C:\WINDOWS\System32
770e0000 oleaut32.dll 3.50.5016.0 C:\WINDOWS\system32
77170000 OLE32.DLL 5.1.2600.1106 C:\WINDOWS\system32
77390000 shell32.dll 6.0.2800.1106 C:\WINDOWS\system32
77bd0000 version.dll 5.1.2600.0 C:\WINDOWS\system32
77be0000 MSVCRT.DLL 7.0.2600.1106 C:\WINDOWS\system32
77c40000 GDI32.dll 5.1.2600.1106 C:\WINDOWS\system32
77d10000 user32.dll 5.1.2600.1106 C:\WINDOWS\system32
77da0000 ADVAPI32.dll 5.1.2600.1106 C:\WINDOWS\system32
77e40000 kernel32.dll 5.1.2600.1106 C:\WINDOWS\system32
77f40000 ntdll.dll 5.1.2600.1106 C:\WINDOWS\System32
78000000 RPCRT4.dll 5.1.2600.1106 C:\WINDOWS\system32
78090000 comctl32.dll 6.0.2800.1106 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805
hardware:
+ Cartes graphiques
- RADEON 8500 (driver 6.14.10.6334)
+ Cartes réseau
- Broadcom USB Remote NDIS Device (driver 5.1.2600.0)
- Carte réseau 1394
- Carte réseau 1394 #2
+ Claviers
- Clavier standard 101/102 touches ou clavier Microsoft Natural Keyboard PS/2
+ Contrôleur de lecteur de disquettes
- Contrôleur de lecteur de disquettes standard
+ Contrôleurs ATA/ATAPI IDE
- Canal IDE principal
- Canal IDE secondaire
- Intel(R) 82801EB Ultra ATA Storage Controllers (driver 5.0.1007.0)
+ Contrôleurs audio, vidéo et jeu
- ATI WDM Rage Theater Audio (driver 6.14.10.6196)
- ATI WDM Rage Theater Video (driver 6.14.10.6196)
- ATI WDM Specialized MVD Codec (driver 6.14.10.6196)
- ATI WDM TV Audio Crossbar (driver 6.14.10.6196)
- Codecs audio
- Codecs vidéo
- Pilotes audio hérités
- Périphériques de capture vidéo hérités
- Périphériques MCI
- SoundMAX Integrated Digital Audio (driver 5.12.1.3583)
+ Contrôleurs de bus USB
- Concentrateur USB racine
- Concentrateur USB racine
- Concentrateur USB racine
- Concentrateur USB racine
- Concentrateur USB racine
- Contrôleur hôte PCI vers USB standard étendu
- Intel(R) 82801EB USB Universal Host Controller - 24D2 (driver 5.0.1006.0)
- Intel(R) 82801EB USB Universal Host Controller - 24D4 (driver 5.0.1006.0)
- Intel(R) 82801EB USB Universal Host Controller - 24D7 (driver 5.0.1006.0)
- Intel(R) 82801EB USB Universal Host Controller - 24DE (driver 5.0.1006.0)
+ Contrôleurs hôte de bus IEEE 1394
- Contrôleur hôte compatible IEE 1394 VIA OHCI
- Contrôleurs hôte IEEE 1394 compatible OHCI
+ Contrôleurs SCSI et RAID
- ST323DK SCSI Controller (driver 3.23.0.0)
+ Lecteurs de CD-ROM/DVD-ROM
- Generic STEALTH DVD SCSI CdRom Device
- PIONEER DVD-RW DVR-106D
- SAMSUNG DVD-ROM SD-616Q
+ Lecteurs de disque
- IBM-DTLA-307015
- SAMSUNG HD300LD
+ Lecteurs de disquettes
- Lecteur de disquettes
+ Moniteurs
- Écran par défaut
- Écran Plug-and-Play
+ Ordinateur
- PC multiprocesseur ACPI
+ Ports (COM et LPT)
- Port de communication (COM1)
- Port de communication (COM2)
- Port imprimante ECP (LPT1)
+ Processeurs
- Intel(R) Pentium(R) 4 CPU 2.60GHz
- Intel(R) Pentium(R) 4 CPU 2.60GHz
+ Périphériques système
- Bouton de fonctionnalité définie ACPI
- Bouton marche-arrêt ACPI
- Bus d'E/S étendu
- Bus PCI
- Carte système
- Contrôleur d'accès direct en mémoire
- Contrôleur d'interruptions programmable
- Coprocesseur arithmétique
- Gestionnaire de disque logique
- Gestionnaire de volume
- Haut-parleur système
- Horloge système
- Horloge système CMOS/temps réel
- Intel(R) 82801EB LPC Interface Controller - 24D0 (driver 5.0.1006.0)
- Intel(R) 82801EB PCI Bridge - 244E (driver 5.0.1006.0)
- Intel(R) 82801EB SMBus Controller - 24D3 (driver 5.0.1006.0)
- Intel(R) 82865G\PE\P Processor to AGP Controller - 2571 (driver 5.0.1006.0)
- Intel(R) 82865G\PE\P Processor to I/O Controller - 2570 (driver 5.0.1006.0)
- Interface logique du port imprimante
- Logitech Virtual Bus Enumerator (driver 4.40.130.0)
- Pilote clavier de Terminal Server
- Pilote souris de Terminal Server
- Pont PCI vers PCI standard PCI
- Port de lecture de données ISAPNP
- Périphérique de mise à jour microcode
- Redirecteur de périphérique Terminal Server
- Ressources de la carte mère
- Ressources de la carte mère
- Ressources de la carte mère
- Système compatible ACPI Microsoft
- Énumérateur de périphérique logiciel Plug-and-Play
+ Souris et autres périphériques de pointage
- Souris Microsoft PS/2
disassembling:
[...]
0046951a jz loc_469533
0046951c mov ecx, [$6f7b30]
00469522 mov dl, 1
00469524 mov eax, [$462e54]
00469529 call -$3463e ($434ef0) ; Exception.CreateRes
0046952e > call -$64cc7 ($40486c) ; @RaiseExcept
00469533 pop edi
00469534 pop esi
00469535 pop ebx
00469536 ret
-
-
essaye de mettre un des autres parefeu proposés
_____________
scan avec vundofix (colle le rapport)
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
_______________________
Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "Killvund". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
______________
puis recolle un hijackhtis
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
