Trojan downloader.small.IAW

Résolu
zangdar37 Messages postés 12 Statut Membre -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
j'ai un gros probleme avec un trojan "win32/downloader.small.IAW"
à chaque fois que je démarre nod32 le detecte,, il le met en quarantaine et ensuite tout se passe bien mais à chaque fois que je démarre/redémarre mon ordinateur nod32 me met le rapport d'erreur

Date et heure Module Objet Nom Menace Action Utilisateur Info
10/04/2008 00:24:02 IMON archive http://patch.exaserve.net/update.zip Win32/TrojanDownloader.Small.IAW cheval de Troie connexion terminée AUTORITE NT\SYSTEM

voila ce qu'il y a dans le rapport d'erreur
aider moi svp
Configuration: Windows XP
Firefox 2.0.0.13

15 réponses

  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut,

    Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip
    Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

    Tuto :

    https://www.malekal.com/supprimer-virus-desinfecter-pc/

    @+
    1
    1. zangdar37
       
      j'ai fait ce que tu ma dis, et MSNfix a trouvé des erreur les a corrigé mais j'ai toujours trojan downloader.small.IAW qui se met au démarage!! je sais pas quoi fair
      si tu as autre chose di moi
      je te met le rapport de msnfix :
      MSNFix 1.701

      C:\Documents and Settings\thomas\Bureau\MSNFix
      Fix exécuté le 10/04/2008 - 11:36:30,57 By thomas
      mode normal

      ************************ Recherche les fichiers présents

      ... C:\WINDOWS\Tasks\At1.job
      ... C:\WINDOWS\Tasks\At2.job

      ************************ Recherche les dossiers présents

      Aucun dossier trouvé




      ************************ Suppression des fichiers

      .. OK ... C:\WINDOWS\Tasks\At1.job
      .. OK ... C:\WINDOWS\Tasks\At2.job



      ************************ Nettoyage du registre



      Les fichiers encore présents seront supprimés au prochain redémarrage


      Aucun Fichier trouvé



      ************************ Fichiers suspects

      Aucun Fichier trouvé


      Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 10042008_11394993.zip

      ************************ HKLM\...\Winlogon\Userinit

      Userinit = C:\WINDOWS\system32\userinit.exe,


      ------------------------------------------------------------------------
      Auteur : !aur3n7 Contact: https://www.ionos.fr/
      ------------------------------------------------------------------------

      --------------------------------------------- END ---------------------------------------------
      0
  2. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    post un rapport hijack this stp

    Télécharge HijackThis ici :

    -> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Post le rapport généré ici stp...

    @+
    1
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    fais anlyser ceci :

    C:\Documents and Settings\thomas\Application Data\wunauclt.exe

    sur ce site :

    http://virusscan.jotti.org/de/

    post le resultat stp

    @+
    1
  4. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    passe ceci :

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    + un nouveau rapport hijack this stp

    @+
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    Copie le texte ci-dessous :

    File::
    C:\Documents and Settings\thomas\Application Data\wunauclt.exe

    Registry::
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvsrp]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2dcd2c84-3640-4601-8ad3-e716eee48e77}]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "wupdate"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports

    @+
    1
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    Copie le texte ci-dessous :

    File::
    C:\Documents and Settings\thomas\Application Data\wunauclt.exe

    Registry::
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvsrp]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2dcd2c84-3640-4601-8ad3-e716eee48e77}]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "wupdate"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports

    @+
    1
    1. zangdar37 Messages postés 12 Statut Membre
       
      ComboFix 08-04-09.8 - thomas 2008-04-10 17:53:29.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.637 [GMT 2:00]
      Endroit: C:\Documents and Settings\thomas\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\thomas\Bureau\CFScript.txt
      * Création d'un nouveau point de restauration
      * Resident AV is active


      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
      .

      ((((((((((((((((((((((((((((( Fichiers créés 2008-03-10 to 2008-04-10 ))))))))))))))))))))))))))))))))))))
      .

      2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
      2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
      2008-04-10 00:18 . 2008-04-10 00:22 <REP> d-------- C:\Program Files\CleanUp!
      2008-04-10 00:15 . 2008-04-10 00:15 <REP> d-------- C:\VundoFix Backups
      2008-04-09 22:56 . 2008-04-10 00:09 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
      2008-04-09 19:53 . 2008-04-09 19:55 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
      2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Program Files\AVG
      2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
      2008-04-09 19:53 . 2008-04-09 19:53 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
      2008-04-09 19:53 . 2008-04-09 19:53 75,272 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
      2008-04-09 19:53 . 2008-04-09 19:53 12,424 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
      2008-04-09 19:53 . 2008-04-09 19:53 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
      2008-04-09 19:12 . 2008-04-09 19:12 <REP> d-------- C:\Program Files\CCleaner
      2008-04-09 18:47 . 2008-04-09 18:47 267,776 --a------ C:\WINDOWS\system32\awvtq.Vdll
      2008-04-07 22:37 . 2008-04-10 17:47 37,028 --a------ C:\Program Files\update.zip
      2008-04-07 21:52 . 2007-02-09 19:34 420,816 --a------ C:\Documents and Settings\thomas\Application Data\wunauclt.exe
      2008-04-07 21:52 . 2008-03-15 16:57 199,445 --a------ C:\Documents and Settings\thomas\Application Data\toolbar.dll
      2008-04-07 21:52 . 2008-03-15 14:24 82,937 --a------ C:\Documents and Settings\thomas\Application Data\space1.exe
      2008-04-06 20:52 . 2008-04-07 22:41 <REP> d-------- C:\Program Files\DivX
      2008-03-29 20:20 . 2008-04-10 00:12 <REP> d-------- C:\Documents and Settings\thomas\Application Data\skypePM
      2008-03-29 20:20 . 2008-03-29 20:20 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
      2008-03-29 20:15 . 2008-04-10 09:56 <REP> d-------- C:\Documents and Settings\thomas\Application Data\Skype
      2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Program Files\Skype
      2008-03-29 20:14 . 2008-03-29 20:14 <REP> d-------- C:\Program Files\Fichiers communs\Skype
      2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
      2008-03-15 16:04 . 2008-03-15 16:22 <REP> d-------- C:\Program Files\ZIP PASSWORD FINDER
      2008-03-15 16:04 . 2000-05-16 11:40 83,968 --a------ C:\WINDOWS\UnGins.exe

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-04-09 22:22 --------- d-----w C:\Program Files\SnIco Edit
      2008-04-09 22:21 --------- d-----w C:\Program Files\emule0.48a-Xtreme6.0
      2008-04-09 22:19 --------- d-----w C:\Documents and Settings\thomas\Application Data\Azureus
      2008-04-09 22:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2008-04-07 20:20 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
      2008-04-07 19:54 --------- d-----w C:\Program Files\THQ
      2008-04-07 19:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-04-06 23:22 --------- d-----w C:\Program Files\Valve
      2008-03-30 16:45 --------- d-----w C:\Documents and Settings\thomas\Application Data\Image Zone Express
      2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
      2008-03-09 09:29 --------- d-----w C:\Program Files\Java
      2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
      2008-02-27 18:24 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
      2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
      2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
      2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
      2008-02-17 11:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\POP3Profiles
      2008-02-17 11:23 --------- d-----w C:\Program Files\Ubisoft
      2008-02-13 19:02 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
      2008-02-13 18:49 --------- d-----w C:\Program Files\LucasArts
      2008-02-10 11:32 --------- d-----w C:\Program Files\Electronic Arts
      .

      ((((((((((((((((((((((((((((( snapshot@2008-04-10_12.34.32.98 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-04-10 10:27:31 53,248 ----a-w C:\WINDOWS\PSEXESVC.EXE
      + 2008-04-10 15:56:24 53,248 ----a-w C:\WINDOWS\PSEXESVC.EXE
      + 2008-04-05 20:56:22 19,836,024 ----a-w C:\WINDOWS\system32\MRT.exe
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
      "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
      "snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 09:07 827392]
      "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
      "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
      "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-04-09 19:53 1177368]
      "Cmaudio"="cmicnfg.cpl" []
      "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-09-22 22:18 949376]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

      C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 00:23:26 282624]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=avgrsstx.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
      -ra------ 2008-02-06 19:21 21898024 C:\Program Files\Skype\Phone\Skype.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "C:\\Program Files\\Messenger\\msmsgs.exe"=
      "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
      "C:\\Program Files\\MSN Messenger\\livecall.exe"=
      "C:\\Program Files\\emule0.48a-Xtreme6.0\\emule.exe"=
      "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
      "C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
      "C:\\Program Files\\emule0.48a-Xtreme6.1\\emule0.48a-Xtreme6.1\\emule.exe"=
      "C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
      "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "C:\\Program Files\\NAMCO BANDAI Games\\Warhammer Mark of Chaos\\WARHAMME.EXE"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
      "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
      "C:\\Documents and Settings\\All Users\\Documents\\Warcraft III\\WARCRAFT\\war3.exe"=
      "C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
      "C:\\Documents and Settings\\thomas\\Bureau\\game\\Warcraft III\\Frozen Throne.exe"=
      "C:\\WINDOWS\\system32\\dpvsetup.exe"=
      "C:\\WINDOWS\\system32\\rundll32.exe"=
      "C:\\Documents and Settings\\thomas\\Bureau\\emule0.48a-Xtreme6.1\\emule.exe"=
      "C:\\Program Files\\Valve\\hl.exe"=
      "C:\\Program Files\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=
      "C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
      "C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
      "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "6112:TCP"= 6112:TCP:war III

      R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-04-09 19:53]
      R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-04-09 19:53]
      R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-04-09 19:53]
      R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-04-09 19:53]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5aaf207e-af29-11dc-8f68-005070345849}]
      \Shell\AutoRun\command - L:\logo.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9733ee9-4321-11dc-8eee-005070345849}]
      \Shell\AutoRun\command - F:\launcher.exe

      .
      Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
      "2008-04-07 19:52:41 C:\WINDOWS\Tasks\At3.job"
      - C:\Documents and Settings\thomas\Application Data\wunauclt.exe
      .
      **************************************************************************

      catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-04-10 17:56:31
      Windows 5.1.2600 Service Pack 2 NTFS

      Balayage processus cachés ...

      Balayage caché autostart entries ...

      Balayage des fichiers cachés ...

      **************************************************************************
      .
      --------------------- DLLs a chargé sous des processus courants ---------------------

      PROCESS: C:\WINDOWS\system32\lsass.exe
      -> C:\Program Files\Eset\pr_imon.dll
      .
      Temps d'accomplissement: 2008-04-10 17:58:06
      ComboFix-quarantined-files.txt 2008-04-10 15:57:09
      ComboFix2.txt 2008-04-10 10:34:55
      Pre-Run: 21,325,058,048 octets libres
      Post-Run: 21,314,744,320 octets libres
      .
      2008-04-10 12:50:12 --- E O F ---
      0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    fais ceci :

    Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous:

    @ echo off

    if exist \G!RLY.TXT del \G!RLY.TXT
    FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
    IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
    IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
    IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
    IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
    )
    IF EXIST %WINDIR%\MS32DLL.dll.vbs (
    ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
    ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
    REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
    REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
    notepad \G!RLY.TXT
    exit

    Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
    Choisis le bureau comme lieu d'enregistrement, puis dans:

    Type -> choisis "tous les fichiers"
    Nom du fichier -> tape G!RLY.bat
    clic sur enregistrer.

    Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

    Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
    Clé USB, DD externe... etc

    Puis une fois fait, double clic sur le fichier G!RLY.bat.
    Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
    Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
    Copie et colle ici le contenu de ce rapport.

    puis passe cet antispyware :

    Fais un scan avec cet antispyware :

    Telecharge malwarebytes + tutoriel :

    -> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Tu l´instale; le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

    Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des elements on ete trouvés > click sur supprimer la selection.

    si il t´es demandé de redemarrer > click sur "yes".

    A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    @+
    1
    1. LunaLux Messages postés 15 Statut Membre
       
      Bonsoir

      Peux tu m'aider également, j'ai le même souci, un trojan.
      Après avoir, fait avast, cc cleaner, en mode sans echec etc, il me le vire pas.
      J'ai lu sur les forums que je pouvais installer hijackthis, chose faîte g le rapport, peux tu m'aider à le déchiffer et me dire éventuellement ce que je dois cocher.

      Merci beaucoup par avance.
      0
  9. zangdar37 Messages postés 12 Statut Membre
     
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:04:10, on 10/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\AVG\AVG8\avgam.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\WINDOWS\vsnpstd3.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\PROGRA~1\AVG\AVG8\avgtray.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\PROGRA~1\AVG\AVG8\avgscanx.exe
    C:\Documents and Settings\thomas\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/fr/ý
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA} - (no file)
    O2 - BHO: {77e84eee-617e-3da8-1064-046348c2dcd2} - {2dcd2c84-3640-4601-8ad3-e716eee48e77} - (no file)
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {B3740027-0036-49BF-98E7-04F4F903D67B} - (no file)
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [wupdate] C:\Documents and Settings\thomas\Application Data\wunauclt.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: avgrsstx.dll
    O20 - Winlogon Notify: tuvvsrp - tuvvsrp.dll (file missing)
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    0
  10. zangdar37 Messages postés 12 Statut Membre
     
    Status:
    VIELLEICHT INFIZIERT/MALWARE
    Entdeckte Packprogramme:
    -
    Bit9 rapportiert: High threat detected (more info)

    A-Squared
    Keine Viren gefunden
    AntiVir
    TR/Drop.Agent.JK gefunden
    ArcaVir
    Keine Viren gefunden
    Avast
    Win32:Trojan-gen {VC} gefunden
    AVG Antivirus
    Keine Viren gefunden
    BitDefender
    Keine Viren gefunden
    ClamAV
    Keine Viren gefunden
    CPsecure
    Keine Viren gefunden
    Dr.Web
    Keine Viren gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    F-Secure Anti-Virus
    Keine Viren gefunden
    Fortinet
    W32/Dloader.WAM!tr gefunden
    Ikarus
    Virus.Win32.Trojan gefunden
    Kaspersky Anti-Virus
    Keine Viren gefunden
    NOD32
    Keine Viren gefunden
    Norman Virus Control
    Keine Viren gefunden
    Panda Antivirus
    Keine Viren gefunden
    Rising Antivirus
    Keine Viren gefunden
    Sophos Antivirus
    Keine Viren gefunden
    VirusBuster
    Keine Viren gefunden
    VBA32
    Keine Viren gefunden
    0
  11. zangdar37 Messages postés 12 Statut Membre
     
    ComboFix 08-04-09.8 - thomas 2008-04-10 12:23:45.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.573 [GMT 2:00]
    Endroit: C:\Documents and Settings\thomas\Bureau\ComboFix.exe
    * Resident AV is active

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\BMf759209c.xml
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\rs.txt
    C:\WINDOWS\system32\jnjhihvh.ini
    C:\WINDOWS\system32\qtvwa.ini
    C:\WINDOWS\system32\qtvwa.ini2
    C:\WINDOWS\system32\rqyxofjx.ini

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-10 to 2008-04-10 ))))))))))))))))))))))))))))))))))))
    .

    2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
    2008-04-10 00:48 . 2008-04-10 00:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    2008-04-10 00:18 . 2008-04-10 00:22 <REP> d-------- C:\Program Files\CleanUp!
    2008-04-10 00:15 . 2008-04-10 00:15 <REP> d-------- C:\VundoFix Backups
    2008-04-09 22:56 . 2008-04-10 00:09 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2008-04-09 19:53 . 2008-04-09 19:55 <REP> d-------- C:\WINDOWS\system32\drivers\Avg
    2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Program Files\AVG
    2008-04-09 19:53 . 2008-04-09 19:53 <REP> d-------- C:\Documents and Settings\All Users\Application Data\avg8
    2008-04-09 19:53 . 2008-04-09 19:53 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys
    2008-04-09 19:53 . 2008-04-09 19:53 75,272 --a------ C:\WINDOWS\system32\drivers\avgtdix.sys
    2008-04-09 19:53 . 2008-04-09 19:53 12,424 --a------ C:\WINDOWS\system32\drivers\avgrkx86.sys
    2008-04-09 19:53 . 2008-04-09 19:53 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll
    2008-04-09 19:12 . 2008-04-09 19:12 <REP> d-------- C:\Program Files\CCleaner
    2008-04-09 18:47 . 2008-04-09 18:47 267,776 --a------ C:\WINDOWS\system32\awvtq.Vdll
    2008-04-07 22:37 . 2008-04-10 11:45 11,172 --a------ C:\Program Files\update.zip
    2008-04-07 21:52 . 2007-02-09 19:34 420,816 --a------ C:\Documents and Settings\thomas\Application Data\wunauclt.exe
    2008-04-07 21:52 . 2008-03-15 16:57 199,445 --a------ C:\Documents and Settings\thomas\Application Data\toolbar.dll
    2008-04-07 21:52 . 2008-03-15 14:24 82,937 --a------ C:\Documents and Settings\thomas\Application Data\space1.exe
    2008-04-06 20:52 . 2008-04-07 22:41 <REP> d-------- C:\Program Files\DivX
    2008-03-29 20:20 . 2008-04-10 00:12 <REP> d-------- C:\Documents and Settings\thomas\Application Data\skypePM
    2008-03-29 20:20 . 2008-03-29 20:20 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
    2008-03-29 20:15 . 2008-04-10 09:56 <REP> d-------- C:\Documents and Settings\thomas\Application Data\Skype
    2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Program Files\Skype
    2008-03-29 20:14 . 2008-03-29 20:14 <REP> d-------- C:\Program Files\Fichiers communs\Skype
    2008-03-29 20:14 . 2008-03-29 20:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Skype
    2008-03-15 16:04 . 2008-03-15 16:22 <REP> d-------- C:\Program Files\ZIP PASSWORD FINDER
    2008-03-15 16:04 . 2000-05-16 11:40 83,968 --a------ C:\WINDOWS\UnGins.exe

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-04-09 22:22 --------- d-----w C:\Program Files\SnIco Edit
    2008-04-09 22:21 --------- d-----w C:\Program Files\emule0.48a-Xtreme6.0
    2008-04-09 22:19 --------- d-----w C:\Documents and Settings\thomas\Application Data\Azureus
    2008-04-09 22:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-04-07 19:54 --------- d-----w C:\Program Files\THQ
    2008-04-07 19:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-04-06 23:22 --------- d-----w C:\Program Files\Valve
    2008-03-30 16:45 --------- d-----w C:\Documents and Settings\thomas\Application Data\Image Zone Express
    2008-03-09 09:29 --------- d-----w C:\Program Files\Java
    2008-02-27 18:24 --------- d-----w C:\Program Files\Fichiers communs\Adobe
    2008-02-17 11:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\POP3Profiles
    2008-02-17 11:23 --------- d-----w C:\Program Files\Ubisoft
    2008-02-13 18:49 --------- d-----w C:\Program Files\LucasArts
    2008-02-10 11:32 --------- d-----w C:\Program Files\Electronic Arts
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2dcd2c84-3640-4601-8ad3-e716eee48e77}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
    "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
    "wupdate"="C:\Documents and Settings\thomas\Application Data\wunauclt.exe" [2007-02-09 19:34 420816]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2006-09-19 09:07 827392]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12 49152]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-04-09 19:53 1177368]
    "Cmaudio"="cmicnfg.cpl" []
    "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-09-22 22:18 949376]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvvsrp]
    tuvvsrp.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=avgrsstx.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    -ra------ 2008-02-06 19:21 21898024 C:\Program Files\Skype\Phone\Skype.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\emule0.48a-Xtreme6.0\\emule.exe"=
    "C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
    "C:\\Program Files\\emule0.48a-Xtreme6.1\\emule0.48a-Xtreme6.1\\emule.exe"=
    "C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
    "C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "C:\\Program Files\\NAMCO BANDAI Games\\Warhammer Mark of Chaos\\WARHAMME.EXE"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "C:\\Documents and Settings\\All Users\\Documents\\Warcraft III\\WARCRAFT\\war3.exe"=
    "C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
    "C:\\Documents and Settings\\thomas\\Bureau\\game\\Warcraft III\\Frozen Throne.exe"=
    "C:\\WINDOWS\\system32\\dpvsetup.exe"=
    "C:\\WINDOWS\\system32\\rundll32.exe"=
    "C:\\Documents and Settings\\thomas\\Bureau\\emule0.48a-Xtreme6.1\\emule.exe"=
    "C:\\Program Files\\Valve\\hl.exe"=
    "C:\\Program Files\\THQ\\Dawn of War - Soulstorm\\Soulstorm.exe"=
    "C:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
    "C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
    "C:\\Program Files\\Skype\\Phone\\Skype.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "6112:TCP"= 6112:TCP:war III

    R0 AvgRkx86;avgrkx86.sys;C:\WINDOWS\system32\Drivers\avgrkx86.sys [2008-04-09 19:53]
    R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-04-09 19:53]
    R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-04-09 19:53]
    R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-04-09 19:53]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5aaf207e-af29-11dc-8f68-005070345849}]
    \Shell\AutoRun\command - L:\logo.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9733ee9-4321-11dc-8eee-005070345849}]
    \Shell\AutoRun\command - F:\launcher.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-04-07 19:52:41 C:\WINDOWS\Tasks\At3.job"
    - C:\Documents and Settings\thomas\Application Data\wunauclt.exe
    .
    **************************************************************************

    catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-04-10 12:30:05
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    --------------------- DLLs a charg‚ sous des processus courants ---------------------

    PROCESS: C:\WINDOWS\system32\lsass.exe
    -> C:\Program Files\Eset\pr_imon.dll
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\ESET\nod32krn.exe
    C:\PROGRA~1\AVG\AVG8\avgam.exe
    C:\Program Files\AVG\AVG8\avgrsx.exe
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-04-10 12:34:54 - machine was rebooted [thomas]
    ComboFix-quarantined-files.txt 2008-04-10 10:34:47
    Pre-Run: 21,485,715,456 octets libres
    Post-Run: 21,409,169,408 octets libres
    .
    2008-04-10 01:01:48 --- E O F ---

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:38:57, on 10/04/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\svchost.exe
    C:\PROGRA~1\AVG\AVG8\avgam.exe
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\WINDOWS\vsnpstd3.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\PROGRA~1\AVG\AVG8\avgtray.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\DAEMON Tools\daemon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\AVG\AVG8\avgrsx.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\thomas\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/fr/ý
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {0B67EFBF-7104-4E90-ACC9-3996ECA4CEEA} - (no file)
    O2 - BHO: {77e84eee-617e-3da8-1064-046348c2dcd2} - {2dcd2c84-3640-4601-8ad3-e716eee48e77} - (no file)
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [wupdate] C:\Documents and Settings\thomas\Application Data\wunauclt.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: avgrsstx.dll
    O20 - Winlogon Notify: tuvvsrp - tuvvsrp.dll (file missing)
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    0
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    re,

    pour une raison ou une autre mon message ne c´est pas affiché...

    je repost la suite du script dans 5 minutes

    @+
    0
  13. zangdar37 Messages postés 12 Statut Membre
     
    C:\autorun.inf Non trouvé
    C:\MS32DLL.dll.vbs Non trouvé
    C:\WINDOWS\MS32DLL.dll.vbs non trouvé

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    snpstd3 REG_SZ C:\WINDOWS\vsnpstd3.exe
    HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    AVG8_TRAY REG_SZ C:\PROGRA~1\AVG\AVG8\avgtray.exe
    Cmaudio REG_SZ RunDll32 cmicnfg.cpl,CMICtrlWnd
    nod32kui REG_SZ "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    DAEMON Tools REG_SZ "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    0
  14. zangdar37 Messages postés 12 Statut Membre
     
    bon je suis en train de fair le scan avec malwarebyte's antimalware
    mais déja avec c que tu m'a fait faire nod32 n'affiche plus le "virus détecté" au démarage"
    merci beaucoup
    0
  15. zangdar37 Messages postés 12 Statut Membre
     
    Malwarebytes' Anti-Malware 1.11
    Version de la base de données: 606

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 86784
    Temps écoulé: 41 minute(s), 37 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  16. g!rly Messages postés 18462 Statut Contributeur 407
     
    j´arrete
    merci de trouver un autre helper
    0