Ordi infecté ! J'ai besoin d'aide...

ginie -  
 laboube -
Bonjour,

Voilà mon ordi est infecté et je ne sais pas comment faire pour me débarasser de ces virus étant donné que je suis loin d'être experte en informatique.

Il rame, plante, des pages de pub s'ouvrent dès que je suis sur le net (une page en particulier : page vide avec cette adresse : http://85.12.43.98/www/delivery/afr.php?n=a7b11b84&zoneid=59 ...

J'ai installé avast qui me signale un cheval de troie appelé win32 : trojan-gen mais même en le supprimant j'ai toujours des problèmes.

J'ai exécuté vundofix pour voir si l'ordi n'était pas infecté par un vundo / virtumonde, mais rien n'a été trouvé.

Et quand je fait le scan avec hijacthis j'y comprends rien et j'ai peur de faire des bêtises.

Je vous mets le log d'hijacthis, si quelqu'un peut m'aider ce serait super.

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18:16, on 19/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Lexmark 7300 Series\lxcimon.exe
C:\Program Files\Lexmark 7300 Series\ezprint.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\lxcicoms.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\Documents and Settings\BEBE\Bureau\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {64C4C067-31DD-4406-9CAF-CEEFDC99E7DC} - C:\WINDOWS\System32\yayyawuv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {31fc0756-e0fb-5d68-0184-ceb35b57f288} - {882f75b5-3bec-4810-86d5-bf0e6570cf13} - C:\WINDOWS\System32\ssdvmejm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {D39D9BCD-0CCF-4445-AFCA-755A72E3C94F} - C:\WINDOWS\System32\vtuspqro.dll (file missing)
O2 - BHO: (no name) - {D5FD78F2-469C-40D0-9DFA-805070509189} - C:\WINDOWS\System32\awtronkj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [wa6pcw] "C:\Program Files\Fichiers communs\WinAntiVirus Pro 2006\wa6pcw.exe" -c
O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,RunDLLEntry
O4 - HKLM\..\Run: [lxcimon.exe] "C:\Program Files\Lexmark 7300 Series\lxcimon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 7300 Series\ezprint.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [c4d42fd6] rundll32.exe "C:\WINDOWS\System32\yuxjymbd.dll",b
O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "C:\WINDOWS\Downloaded Program Files\UGA6P_0001_N122M2802NetInstaller.exe"
O4 - HKLM\..\Run: [BMc7e71c4a] Rundll32.exe "C:\WINDOWS\System32\fretxdof.dll",s
O4 - HKLM\..\RunOnce: [overinstall] "C:\Program Files\AntiSpywareMaster\pgs.exe" /empty
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.line6.net
O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
O20 - Winlogon Notify: awtronkj - C:\WINDOWS\SYSTEM32\awtronkj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxci_device - - C:\WINDOWS\System32\lxcicoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 8049 bytes
Configuration: Windows XP pro
Internet Explorer 6.0

11 réponses

  1. eZula Messages postés 3509 Statut Contributeur 392
     
    Bonjour,

    télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

    dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

    Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
    0
    1. ginie
       
      Merci de répondre si rapidement, j'ai fait ce que tu m'as dis et j'ai le rapport suivant :
      Rapport GenProc 1.962 [1] effectué le 19/05/2008 à 18:45:51,25 - Windows XP

      # Etape 1/ Télécharge :

      - CCleaner https://www.ccleaner.com/ccleaner/download
      Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

      - Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le sur ton bureau. Fais un clic droit de souris sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.

      - VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

      - combofix.exe (par [b]sUBs/b) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

      - MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.


      ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "BEBE") *****


      # Etape 2/

      Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître.
      - Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu, clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler. Clique sur OK, puis exit pour fermer le programme BFU.
      Recommence encore une fois.

      # Etape 3/

      * Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
      Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
      Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
      Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

      * Double clique [b]combofix.exe/b.
      Tape sur la touche Y (Yes) pour démarrer le scan.
      Lorsque le scan sera complété, un rapport apparaîtra

      # Etape 4/

      Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
      - Exécute l'option R.
      - Si l'infection est détectée, exécute l'option N.
      - Sauvegarde ce rapport sur ton bureau.

      # Etape 5/

      Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

      # Etape 6/

      Redémarre normalement et poste, dans la même réponse :
      - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
      - Le contenu du rapport situé dans C:\vundofix.txt ;
      - Le contenu du rapport situé dans C:\Combofix.txt ;
      - Le contenu du rapport MSNfix situé sur le Bureau ;


      Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
      0
    2. ginie
       
      J'ai suivi la procédure complète, je te mets les rapports ci-dessous. Apparement j'ai toujours les mêmes problèmes, dès que je vais sur le net soit ça bug soit j'ai un tas de pubs ...

      Hijacthis :
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:09, on 2008-05-19
      Platform: Windows XP SP1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Lexmark 7300 Series\lxcimon.exe
      C:\Program Files\Lexmark 7300 Series\ezprint.exe
      C:\WINDOWS\System32\RUNDLL32.EXE
      C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
      C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\PROGRA~1\Magentic\bin\MgApp.exe
      C:\Program Files\WinZip\WZQKPICK.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\PROGRA~1\INCRED~1\bin\IMApp.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\lxcicoms.exe
      C:\WINDOWS\System32\rundll32.exe
      C:\WINDOWS\system32\NOTEPAD.EXE
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\System32\rundll32.exe
      C:\Documents and Settings\BEBE\Bureau\Scanner.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: {6d4968f5-aa8b-6b0b-7ab4-7206a5c50f99} - {99f05c5a-6027-4ba7-b0b6-b8aa5f8694d6} - C:\WINDOWS\System32\htjuvbff.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
      O2 - BHO: (no name) - {D39D9BCD-0CCF-4445-AFCA-755A72E3C94F} - C:\WINDOWS\System32\vtuspqro.dll (file missing)
      O2 - BHO: (no name) - {D790502A-EB0B-46B7-BDF5-10C097B4EF28} - C:\WINDOWS\System32\yayyawuv.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [pdfFactory Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [LXCICATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll,RunDLLEntry
      O4 - HKLM\..\Run: [lxcimon.exe] "C:\Program Files\Lexmark 7300 Series\lxcimon.exe"
      O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 7300 Series\ezprint.exe"
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
      O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
      O4 - HKLM\..\Run: [BMc7e71c4a] Rundll32.exe "C:\WINDOWS\System32\evwicfed.dll",s
      O4 - HKLM\..\Run: [c4d42fd6] rundll32.exe "C:\WINDOWS\System32\gxcqdrey.dll",b
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
      O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O15 - Trusted Zone: *.line6.net
      O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2.malware-scan.com/setup/webinst_fr.cab
      O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.fr/ImageUploader4.cab
      O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: lxci_device - - C:\WINDOWS\System32\lxcicoms.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)
      0
  2. eZula Messages postés 3509 Statut Contributeur 392
     
    Ton message n'apparait pas, pourtant je l'ai reçu en mail. Suis donc cette procédure :

    Rapport GenProc 1.962 [1] effectué le 19/05/2008 à 18:45:51,25 - Windows XP

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - Brute Force Uninstaller http://www.merijn.org/files/bfu.zip et décompresse-le sur ton bureau. Fais un clic droit de souris sur ce lien : http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu et choisis "Enregistrer la cible (du lien) sous" afin de télécharger le script WinSoftware.bfu que tu placeras à côté de l'icône en forme de boule noire dentée bfu.exe.

    - VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau

    - combofix.exe (par [b]sUBs/b) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau

    - MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.

    ***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ (choisis ta session courante "BEBE") *****

    # Etape 2/

    Double-clique sur le fichier BFU.exe en forme de boule noire dentée, sur ton bureau. Clique sur le petit dossier jaune, à la droite de la boîte "Scriptfile to execute", et double-clique sur le fichier Winsoftware.bfu qui devrait apparaître.
    - Dans la boîte "Script to execute", tu devrais maintenant voir le chemin complet du fichier Winsoftware.bfu, clique sur "Execute" et laisse-le faire son travail. La réussite de l'opération sera obligatoirement sanctionnée par un message final "Complete script execution", si ce n'est pas le cas, il faudra le signaler. Clique sur OK, puis exit pour fermer le programme BFU.
    Recommence encore une fois.

    # Etape 3/

    * Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
    Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo

    * Double clique [b]combofix.exe/b.
    Tape sur la touche Y (Yes) pour démarrer le scan.
    Lorsque le scan sera complété, un rapport apparaîtra

    # Etape 4/

    Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
    - Exécute l'option R.
    - Si l'infection est détectée, exécute l'option N.
    - Sauvegarde ce rapport sur ton bureau.

    # Etape 5/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 6/

    Redémarre normalement et poste, dans la même réponse :
    - Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
    - Le contenu du rapport situé dans C:\vundofix.txt ;
    - Le contenu du rapport situé dans C:\Combofix.txt ;
    - Le contenu du rapport MSNfix situé sur le Bureau ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
    0
  3. eZula Messages postés 3509 Statut Contributeur 392
     
    OK laisse tomber le message précédent, il a mis un temps fou à s'afficher.

    lance HijackThis en cliquant sur "do a system scan only" et coche ces lignes (uniquement ces lignes) si tu les trouves encore :

    O16 - DPF: {1A26F07F-0D60-4835-91CF-1E1766A0EC56} - http://scanner2malware-scan.com/setup/webinst_fr.cab

    - Ferme toutes les fenêtres, applications, messagerie... et clique sur "fix checked". Valide, puis quitte HijackThis.

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    C:\WINDOWS\system32\dbmyjxuy.ini
    C:\WINDOWS\system32\yuxjymbd.dll
    C:\WINDOWS\system32\ssdvmejm.dll
    C:\WINDOWS\system32\fretxdof.dll
    C:\WINDOWS\system32\tvyuumse.dll
    C:\WINDOWS\system32\vmlkabcs.dll
    C:\WINDOWS\system32\dnurjomo.dll
    C:\WINDOWS\system32\piipsjbh.dll
    C:\WINDOWS\system32\yayyawuv.dll
    C:\WINDOWS\system32\ocbevyrq.dll
    C:\WINDOWS\system32\wqowfuuc.dll
    C:\WINDOWS\system32\kvmnfalr.dll
    C:\WINDOWS\system32\dnqntriv.dll
    C:\WINDOWS\system32\yqtsdbka.dll
    C:\WINDOWS\BMc7e71c4a.xml
    C:\WINDOWS\system32\ypgghcac.dll
    C:\WINDOWS\System32\vtuspqro.dll
    C:\WINDOWS\System32\fretxdof.dll
    C:\WINDOWS\System32\yuxjymbd.dll
    C:\WINDOWS\web\related.htm

    Folder::
    C:\VundoFix Backups

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{64C4C067-31DD-4406-9CAF-CEEFDC99E7DC}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{882f75b5-3bec-4810-86d5-bf0e6570cf13}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D39D9BCD-0CCF-4445-AFCA-755A72E3C94F}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "c4d42fd6"=-
    "BMc7e71c4a"=
    [HKEY_CURRENT_USER\software\microsoft\internet explorer\extensions\cmdmapping]
    "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]


    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
    [*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) ,[b] tape 1/b puis valide.
    [*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu en précisant comment évolue la situation

    [*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
    1. ginie
       
      Voici le nouveau log de ComboFix :
      ComboFix 08-05-15.3 - BEBE 2008-05-19 20:47:00.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.561 [GMT 2:00]
      Endroit: C:\Documents and Settings\BEBE\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\BEBE\Bureau\CFScript.txt
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

      FILE ::
      C:\WINDOWS\BMc7e71c4a.xml
      C:\WINDOWS\system32\dbmyjxuy.ini
      C:\WINDOWS\system32\dnqntriv.dll
      C:\WINDOWS\system32\dnurjomo.dll
      C:\WINDOWS\System32\fretxdof.dll
      C:\WINDOWS\system32\fretxdof.dll
      C:\WINDOWS\system32\kvmnfalr.dll
      C:\WINDOWS\system32\ocbevyrq.dll
      C:\WINDOWS\system32\piipsjbh.dll
      C:\WINDOWS\system32\ssdvmejm.dll
      C:\WINDOWS\system32\tvyuumse.dll
      C:\WINDOWS\system32\vmlkabcs.dll
      C:\WINDOWS\System32\vtuspqro.dll
      C:\WINDOWS\system32\wqowfuuc.dll
      C:\WINDOWS\system32\yayyawuv.dll
      C:\WINDOWS\system32\ypgghcac.dll
      C:\WINDOWS\system32\yqtsdbka.dll
      C:\WINDOWS\system32\yuxjymbd.dll
      C:\WINDOWS\System32\yuxjymbd.dll
      C:\WINDOWS\web\related.htm
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Documents and Settings\BEBE\err.log
      C:\VundoFix Backups
      C:\WINDOWS\BMc7e71c4a.xml
      C:\WINDOWS\cookies.ini
      C:\WINDOWS\pskt.ini
      C:\WINDOWS\system32\dbmyjxuy.ini
      C:\WINDOWS\system32\dnqntriv.dll
      C:\WINDOWS\system32\dnurjomo.dll
      C:\WINDOWS\system32\fretxdof.dll
      C:\WINDOWS\system32\kvmnfalr.dll
      C:\WINDOWS\system32\ocbevyrq.dll
      C:\WINDOWS\system32\piipsjbh.dll
      C:\WINDOWS\system32\ssdvmejm.dll
      C:\WINDOWS\system32\tvyuumse.dll
      C:\WINDOWS\system32\vmlkabcs.dll
      C:\WINDOWS\system32\vuwayyay.ini
      C:\WINDOWS\system32\vuwayyay.ini2
      C:\WINDOWS\system32\wqowfuuc.dll
      C:\WINDOWS\system32\yayyawuv.dll
      C:\WINDOWS\system32\yerdqcxg.ini
      C:\WINDOWS\system32\ypgghcac.dll
      C:\WINDOWS\system32\yqtsdbka.dll
      C:\WINDOWS\System32\yuxjymbd.dll
      C:\WINDOWS\web\related.htm

      .
      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
      .

      2008-05-19 20:49 . 2008-05-19 20:49 109,807 --a------ C:\WINDOWS\BMc7e71c4a.xml
      2008-05-19 20:11 . 2008-05-19 20:11 2,560 --a------ C:\WINDOWS\system32\jqfxjwhb.exe
      2008-05-19 20:09 . 2008-05-19 20:09 94,208 --a------ C:\WINDOWS\system32\gxcqdrey.dll
      2008-05-19 20:07 . 2008-05-19 20:07 117,760 --a------ C:\WINDOWS\system32\htjuvbff.dll
      2008-05-19 20:07 . 2008-05-19 20:07 109,056 --a------ C:\WINDOWS\system32\evwicfed.dll
      2008-05-19 18:59 . 2008-05-19 18:59 <REP> d-------- C:\Program Files\CCleaner
      2008-05-19 16:10 . 2005-06-15 02:17 427,520 --a------ C:\WINDOWS\WRServices.dll
      2008-05-19 16:03 . 2001-03-08 19:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
      2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
      2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
      2008-05-17 00:17 . 2008-05-17 00:17 <REP> d-------- C:\Program Files\Alwil Software
      2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Program Files\Lavasoft
      2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
      2008-05-17 00:02 . 2008-05-17 00:02 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
      2008-05-16 23:58 . 2008-05-16 23:58 118,784 --a------ C:\WINDOWS\system32\gqebitsy.dll
      2008-05-16 23:55 . 2008-05-16 23:55 <REP> d-------- C:\Program Files\Trend Micro
      2008-05-16 23:25 . 2008-05-16 23:51 2,128 --a------ C:\WINDOWS\wininit.ini
      2008-05-16 23:07 . 2008-05-17 00:13 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
      2008-05-16 23:07 . 2008-05-17 00:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2008-05-09 18:31 . 2008-05-09 18:31 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ahead
      2008-05-08 23:06 . 2008-05-10 22:10 71,527 --a------ C:\WINDOWS\Explorer.dmp
      2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ableton
      2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ableton
      2008-04-28 18:50 . 2008-04-04 18:40 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
      2008-04-28 18:49 . 2008-04-28 18:49 <REP> d-------- C:\Program Files\Ableton
      2008-04-24 17:54 . 2006-03-30 17:39 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
      2008-04-24 17:53 . 2008-05-16 11:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Tracktion 3
      2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
      2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
      2008-04-24 15:40 . 2008-04-24 15:40 370 --a------ C:\WINDOWS\GearBox.ini
      2008-04-24 15:27 . 2008-03-22 00:01 521,088 --a------ C:\WINDOWS\system32\drivers\L6TPortGX.sys
      2008-04-24 15:27 . 2008-03-22 00:01 167,936 --a------ C:\WINDOWS\system32\L6tpgx.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-05-19 18:34 --------- d-----w C:\Program Files\Lx_cats
      2008-05-19 12:27 --------- d-----w C:\Program Files\Fichiers communs\ErreurChasseur
      2008-05-16 20:01 --------- d-----w C:\Program Files\Logitech
      2008-05-15 15:37 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-05-15 15:36 --------- d-----w C:\Documents and Settings\BEBE\Application Data\AdobeUM
      2008-04-13 12:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-04-13 12:11 --------- d-----w C:\Program Files\Samsung
      2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
      2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
      2007-12-05 15:14 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
      2007-11-25 22:00 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
      .

      ------- Sigcheck -------

      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99f05c5a-6027-4ba7-b0b6-b8aa5f8694d6}]
      2008-05-19 20:07 117760 --a------ C:\WINDOWS\System32\htjuvbff.dll

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45 13312]
      "IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-11-19 14:49 214456]
      "Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-10-09 14:42 475180]
      "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-29 12:45 1511453]
      "WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [ ]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
      "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
      "pdfFactory Dispatcher v3"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2006-12-10 22:25 512000]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-25 17:15 282624]
      "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-25 17:15 185896]
      "LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44 73728]
      "lxcimon.exe"="C:\Program Files\Lexmark 7300 Series\lxcimon.exe" [2005-09-30 16:47 200704]
      "EzPrint"="C:\Program Files\Lexmark 7300 Series\ezprint.exe" [2005-08-01 14:05 94208]
      "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 18:14 8491008]
      "nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe]
      "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 18:14 81920]
      "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
      "AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 18:57 81408]
      "BMc7e71c4a"="C:\WINDOWS\System32\evwicfed.dll" [2008-05-19 20:07 109056]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45 13312]
      "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.divxa32"= DivXa32.acm
      "msacm.l3codec"= L3codecp.acm

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "C:\\Program Files\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=

      R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
      R3 L6TPortGX;Service - Line 6 TonePort GX;C:\WINDOWS\System32\Drivers\L6TPortGX.sys [2008-03-22 00:01]
      R3 lxci_device;lxci_device;C:\WINDOWS\System32\lxcicoms.exe [2005-10-24 14:33]
      R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 02:48]
      S3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;C:\WINDOWS\System32\DRIVERS\MRVW225.sys [2006-09-29 09:59]
      S3 RemoteControl-USBLAN;RemoteControl-USBLAN;C:\WINDOWS\System32\DRIVERS\rcblan.sys [2007-01-24 17:27]
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 02:32]

      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-05-19 20:49:16
      Windows 5.1.2600 Service Pack 1 NTFS

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...

      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\PROGRA~1\Magentic\bin\MgApp.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\PROGRA~1\WinZip\WZQKPICK.EXE
      C:\PROGRA~1\INCRED~1\bin\ImApp.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-05-19 20:51:00 - machine was rebooted [BEBE]
      ComboFix-quarantined-files.txt 2008-05-19 18:50:52
      ComboFix2.txt 2008-05-19 17:52:53

      Pre-Run: 303,698,391,040 octets libres
      Post-Run: 303,694,786,560 octets libres

      187

      Cette fois quand j'ai ouvert le net pour venir te répondre, je n'ai eu aucune pub ni bug. Alors on va voir si ça tient. Je te tiens informé dans la soirée si c'est redevenu normal ou pas.
      En tout cas, merci énormément de ton aide très précieuse. Heureusement qu'il y a des gens comme toi !!
      0
  4. eZula Messages postés 3509 Statut Contributeur 392
     
    Ca résiste. Refais la manip CFScript, avec le script suivant :

    File::
    C:\WINDOWS\BMc7e71c4a.xml
    C:\WINDOWS\system32\jqfxjwhb.exe
    C:\WINDOWS\system32\gxcqdrey.dll
    C:\WINDOWS\system32\htjuvbff.dll
    C:\WINDOWS\system32\evwicfed.dll
    C:\WINDOWS\system32\gqebitsy.dll

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99f05c5a-6027-4ba7-b0b6-b8aa5f8694d6}]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "BMc7e71c4a"=-


    & poste le rapport
    0
    1. ginie
       
      Voilà le nouveau rapport :
      ComboFix 08-05-15.3 - BEBE 2008-05-19 21:04:08.3 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.584 [GMT 2:00]
      Endroit: C:\Documents and Settings\BEBE\Bureau\ComboFix.exe
      Command switches used :: C:\Documents and Settings\BEBE\Bureau\CFScript.txt
      * Création d'un nouveau point de restauration

      [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

      FILE ::
      C:\WINDOWS\BMc7e71c4a.xml
      C:\WINDOWS\system32\evwicfed.dll
      C:\WINDOWS\system32\gqebitsy.dll
      C:\WINDOWS\system32\gxcqdrey.dll
      C:\WINDOWS\system32\htjuvbff.dll
      C:\WINDOWS\system32\jqfxjwhb.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\WINDOWS\BMc7e71c4a.xml
      C:\WINDOWS\system32\evwicfed.dll
      C:\WINDOWS\system32\gqebitsy.dll
      C:\WINDOWS\system32\gxcqdrey.dll
      C:\WINDOWS\system32\htjuvbff.dll
      C:\WINDOWS\system32\jqfxjwhb.exe

      .
      ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
      .

      2008-05-19 18:59 . 2008-05-19 18:59 <REP> d-------- C:\Program Files\CCleaner
      2008-05-19 16:10 . 2005-06-15 02:17 427,520 --a------ C:\WINDOWS\WRServices.dll
      2008-05-19 16:03 . 2001-03-08 19:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
      2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a------ C:\WINDOWS\system32\drivers\sbp2port.sys
      2008-05-17 10:16 . 2002-08-29 01:27 38,528 --a--c--- C:\WINDOWS\system32\dllcache\sbp2port.sys
      2008-05-17 00:17 . 2008-05-17 00:17 <REP> d-------- C:\Program Files\Alwil Software
      2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Program Files\Lavasoft
      2008-05-17 00:03 . 2008-05-17 00:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
      2008-05-17 00:02 . 2008-05-17 00:02 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
      2008-05-16 23:55 . 2008-05-16 23:55 <REP> d-------- C:\Program Files\Trend Micro
      2008-05-16 23:25 . 2008-05-16 23:51 2,128 --a------ C:\WINDOWS\wininit.ini
      2008-05-16 23:07 . 2008-05-17 00:13 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
      2008-05-16 23:07 . 2008-05-17 00:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
      2008-05-09 18:31 . 2008-05-09 18:31 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ahead
      2008-05-08 23:06 . 2008-05-10 22:10 71,527 --a------ C:\WINDOWS\Explorer.dmp
      2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\BEBE\Application Data\Ableton
      2008-04-28 19:18 . 2008-04-28 19:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ableton
      2008-04-28 18:50 . 2008-04-04 18:40 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
      2008-04-28 18:49 . 2008-04-28 18:49 <REP> d-------- C:\Program Files\Ableton
      2008-04-24 17:54 . 2006-03-30 17:39 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
      2008-04-24 17:53 . 2008-05-16 11:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Tracktion 3
      2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
      2008-04-24 15:41 . 2002-08-29 01:32 57,856 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
      2008-04-24 15:40 . 2008-04-24 15:40 370 --a------ C:\WINDOWS\GearBox.ini
      2008-04-24 15:27 . 2008-03-22 00:01 521,088 --a------ C:\WINDOWS\system32\drivers\L6TPortGX.sys
      2008-04-24 15:27 . 2008-03-22 00:01 167,936 --a------ C:\WINDOWS\system32\L6tpgx.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-05-19 18:34 --------- d-----w C:\Program Files\Lx_cats
      2008-05-19 12:27 --------- d-----w C:\Program Files\Fichiers communs\ErreurChasseur
      2008-05-16 20:01 --------- d-----w C:\Program Files\Logitech
      2008-05-15 15:37 --------- d-----w C:\Program Files\Fichiers communs\Adobe
      2008-05-15 15:36 --------- d-----w C:\Documents and Settings\BEBE\Application Data\AdobeUM
      2008-04-13 12:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
      2008-04-13 12:11 --------- d-----w C:\Program Files\Samsung
      2008-02-21 02:05 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
      2008-02-21 02:05 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
      2007-12-05 15:14 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
      2007-11-25 22:00 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
      .

      ------- Sigcheck -------

      .
      ((((((((((((((((((((((((((((( snapshot@2008-05-19_20.50.44.85 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-05-19 18:48:41 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      + 2008-05-19 19:08:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
      - 2008-05-19 18:48:42 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
      + 2008-05-19 19:08:29 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
      - 2008-05-19 18:48:42 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
      + 2008-05-19 19:08:29 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
      - 2008-05-19 18:48:42 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
      + 2008-05-19 19:08:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
      .
      ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 12:45 13312]
      "IncrediMail"="C:\Program Files\IncrediMail\bin\IncMail.exe" [2007-11-19 14:49 214456]
      "Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-10-09 14:42 475180]
      "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-29 12:45 1511453]
      "WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [ ]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "RTHDCPL"="RTHDCPL.EXE" [2007-03-21 08:49 16126464 C:\WINDOWS\RTHDCPL.exe]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
      "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
      "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
      "pdfFactory Dispatcher v3"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" [2006-12-10 22:25 512000]
      "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-11-25 17:15 282624]
      "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-11-25 17:15 185896]
      "LXCICATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCItime.dll" [2005-09-08 20:44 73728]
      "lxcimon.exe"="C:\Program Files\Lexmark 7300 Series\lxcimon.exe" [2005-09-30 16:47 200704]
      "EzPrint"="C:\Program Files\Lexmark 7300 Series\ezprint.exe" [2005-08-01 14:05 94208]
      "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-10-04 18:14 8491008]
      "nwiz"="nwiz.exe" [2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe]
      "NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-10-04 18:14 81920]
      "Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [ ]
      "AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 18:57 81408]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:45 13312]
      "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "msacm.divxa32"= DivXa32.acm
      "msacm.l3codec"= L3codecp.acm

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "C:\\Program Files\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=

      R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
      R3 L6TPortGX;Service - Line 6 TonePort GX;C:\WINDOWS\System32\Drivers\L6TPortGX.sys [2008-03-22 00:01]
      R3 lxci_device;lxci_device;C:\WINDOWS\System32\lxcicoms.exe [2005-10-24 14:33]
      R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 02:48]
      S3 MRVW225;802.11g/b Wireless LAN Dirver for Windows XP;C:\WINDOWS\System32\DRIVERS\MRVW225.sys [2006-09-29 09:59]
      S3 RemoteControl-USBLAN;RemoteControl-USBLAN;C:\WINDOWS\System32\DRIVERS\rcblan.sys [2007-01-24 17:27]
      S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 02:32]

      .
      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-05-19 21:09:10
      Windows 5.1.2600 Service Pack 1 NTFS

      Balayage processus cach‚s ...

      Balayage cach‚ autostart entries ...

      Balayage des fichiers cach‚s ...

      Scan termin‚ avec succŠs
      Les fichiers cach‚s: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\WINDOWS\system32\rundll32.exe
      C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      C:\PROGRA~1\WinZip\WZQKPICK.EXE
      C:\PROGRA~1\Magentic\bin\MgApp.exe
      C:\PROGRA~1\INCRED~1\bin\ImApp.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      .
      **************************************************************************
      .
      Temps d'accomplissement: 2008-05-19 21:10:45 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-05-19 19:10:42
      ComboFix2.txt 2008-05-19 18:51:01
      ComboFix3.txt 2008-05-19 17:52:53

      Pre-Run: 303,657,095,168 octets libres
      Post-Run: 303,643,557,888 octets libres

      157
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. eZula Messages postés 3509 Statut Contributeur 392
     
    Ce coup-ci ça a l'air bon. Ultime vérification : Lance CCleaner : "Nettoyeur"/"lancer le nettoyage", fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 puis poste le rapport lorsqu'il a terminé.

    sinon tu as une idée de comment tous ces malheurs te sont arrivés ?
    0
    1. ginie
       
      Voilà le rapport de bitdefender :
      BitDefender Online Scanner



      Rapport d'analyse généré à: Mon, May 19, 2008 - 21:48:14





      Voie d'analyse: A:\;C:\;D:\;







      Statistiques

      Temps
      00:13:48

      Fichiers
      67046

      Directoires
      4147

      Secteurs de boot
      2

      Archives
      875

      Paquets programmes
      7828




      Résultats

      Virus identifiés
      8

      Fichiers infectés
      18

      Fichiers suspects
      0

      Avertissements
      0

      Désinfectés
      0

      Fichiers effacés
      18




      Info sur les moteurs

      Définition virus
      1202066

      Version des moteurs
      AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

      Analyse des plugins
      16

      Archive des plugins
      42

      Unpack des plugins
      7

      E-mail plugins
      6

      Système plugins
      5




      Paramètres d'analyse

      Première action
      Désinfecté

      Seconde Action
      Supprimé

      Heuristique
      Oui

      Acceptez les avertissements
      Oui

      Extensions analysées
      exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

      Excludez les extensions


      Analyse d'emails
      Oui

      Analyse des Archives
      Oui

      Analyser paquets programmes
      Oui

      Analyse des fichiers
      Oui

      Analyse de boot
      Oui




      Fichier analysé
      Statut

      C:\Documents and Settings\BEBE\Mes documents\Will\keyfinder.exe
      Détecté avec: Application.Findkeyxp.L

      C:\Documents and Settings\BEBE\Mes documents\Will\keyfinder.exe
      Echec de la désinfection

      C:\Documents and Settings\BEBE\Mes documents\Will\keyfinder.exe
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032213.exe
      Détecté avec: Application.Winfixer.BD

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032213.exe
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032213.exe
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032223.dll
      Détecté avec: Application.Winfixer.BD

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032223.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032223.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032225.dll
      Détecté avec: Adware.WinFixer.F

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032225.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032233.dll
      Détecté avec: Application.Winfixer.BD

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032233.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032233.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032312.dll
      Infecté par: Trojan.Generic.175849

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP145\A0032312.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP218\A0045034.ini
      Infecté par: Trojan.Vundo.DVS

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP218\A0045034.ini
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP218\A0045034.ini
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045058.ini
      Infecté par: Trojan.Vundo.DVS

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045058.ini
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045058.ini
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045066.ini
      Infecté par: Trojan.Vundo.DVS

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045066.ini
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP219\A0045066.ini
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050127.exe
      Détecté avec: Application.Winfixer.BD

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050127.exe
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050127.exe
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050135.dll
      Détecté avec: Application.Winfixer.BD

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050135.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050135.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050136.dll
      Infecté par: Trojan.Generic.175849

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050136.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050138.dll
      Détecté avec: Adware.WinFixer.F

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050138.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050145.dll
      Détecté avec: Application.Winfixer.BD

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050145.dll
      Echec de la désinfection

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050145.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050241.dll
      Détecté avec: Spyware.Safeerr.A

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP230\A0050241.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP232\A0050670.dll
      Infecté par: MemScan:Adware.Vundo.BE

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP232\A0050670.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP235\A0055729.dll
      Infecté par: MemScan:Trojan.Vundo.ELF

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP235\A0055729.dll
      Supprimé

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP236\A0055790.dll
      Infecté par: MemScan:Trojan.Vundo.ELF

      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP236\A0055790.dll
      Supprimé



      Quant à ce qui m'est arrivé j'en ai aucune idée !!!!
      0
    2. ginie
       
      Bonjour eZula,

      Apparemment mon ordi va mieux ! Je viens de l'allumer et quand je surfe sur le net j'ai plus de pub.

      Par contre, tout ce que tu m'as fait téléchargé, combofix, vundofix, hijacthis, genproc, msnfix ... Je dois les supprimer maintenant ou dois-je les garder ?

      Et avast, il est bon ? Je le garde ou j'en prends un autre ?

      Merci pour toutes tes réponses
      0
  7. fromagedebikette Messages postés 925 Statut Membre 190
     
    slt, si tu as avast ce qu'on lit plus haut, clique sur mettre en quarantaine et le tour est joue. Moi osi j'ai eu se virus et la seule maniere de ne plus etre embetee c'est de le mettre en qurantaine. Si tu met supprimer, ca ne te le supprimera pas et il reviendra toujours
    0
    1. kiko55
       
      slt j ai les meme symptomes d une part une boite message qui s ouvre pour te deriger vers un site qui prettend t aider a fair un scan souvent http://scanner2.malware-scan.com ou http://viruseffaceur.com aussi http://antivirusfiable.com d une autre part des fichiers (virus) dll qui se chargent en memoires a travers rundll32.dll toujour 2 fichiers dll avec des noms aleatoires tu peut les voir dans le gestionnaire des taches si tu fait ctrl alt sup
      voici un truc que j ai essayer pour depanner ce probleme et recupperer la vitesse de l ordinateur ; moi j utilise fire foxe d abord pour empecher les sites tu doit installer un plugin fire foxe qui bloque les urls et site undisirables tu peut le telecharger ici https://addons.mozilla.org/en-US/firefox/addon/blocksite/ apres installation redemarre firefoxe et va a outils/modules complimentaires/blocksite/optiones /add et fait entrer les noms des sites que tu veut empecher les 3 mentionné en haut et ferme cet addon par mot de passe

      le 2eme truc redemarre en mode sans echec et deplace rundll32.exe de son emplacement c:/windows/system32 et met le en c:/ ainsi tu vas empecher l execution du verus le temps de trouver une solution radicale a ce probleme
      voila c tout ce que j ai j espere que ca va t aider
      0
      1. ginie > kiko55
         
        Merci kiko55, mais comme je disais à Fromagedebikette, mon problème est apparement résolu grâce à eZula.

        Merci à vous de m'avoir aidée.
        0
    2. ginie
       
      Merci fromagedebikette mais apparement mon problème est résolu grâce aux fabuleux conseils de eZula...
      Merci quand même
      0
    3. ginie
       
      Re-bonjour,

      J'ai parlé trop vite ! Je viens de faire une analyse avec AVAST et il m'a trouvé 34 fichiers infectés par win32 : vundo@dll !
      J'ai donc fait comme tu me l'as conseillé, j'ai tout mis en quarantaine et ça a l'air d'être bon puisque je viens de refaire une analyse et AVAST ne me trouve pas de virus !!

      Mais ça va toujours resté dans le fichier "quarantaine" ? N'y -a-t-il aucun moyen qu'ils disparaissent complètement ?
      0
  8. eZula Messages postés 3509 Statut Contributeur 392
     
    ets-ce que tu te souviens des fichiers détectés par avast ?
    0
    1. ginie
       
      Bonjour,

      L'infection c'est : win32 : vundo@dll [trj]
      Et la localisation est :
      C:\Qoobox\Quarantine\C\WINDOWS\system32
      C:\System Volume Information\_restore{B9D65236-D198-4E11-8913-C5C4A4222DE7}\RP236
      puis RP235, RP231 et RP223

      Les fichiers ont toutes des extensions .dll ou .dll.vir

      Tu veux tous les noms de fichiers ?
      0
  9. eZula Messages postés 3509 Statut Contributeur 392
     
    ok donc rien d'alarmant, il s'agit juste de la restauration système ou de la quarantaine de combofix.

    * Pour terminer, utilise ToolsCleaner! (de A.Rothstein) http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe pour nettoyer les utilitaires téléchargés.

    * Lance le nettoyage avec CCleaner et fais ce scan en ligne : https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1

    * Lorsqu'il a terminé, désactive ta restauration système, redémarre l'ordinateur et réactive-la :
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

    * Utilise hebdomadairement ce petit programme http://filehippo.com/updatechecker/UpdateChecker.exe pour effectuer tes mises à jour logicielles. Il suffit de le lancer (aucune installation n'est requise). Les liens des mises à jour disponibles apparaitront alors dans une page web. Conseil : n'installe pas les version "beta".
    * Visite régulièrement le site http://www.update.microsoft.com/windowsupdate/v6/default.aspx afin d'avoir un système toujours actualisé.
    * N'installe jamais un programme sans avoir entièrement lu et compris les termes de son contrat d'utilisation, ou sans être définitivement certain qu'il n'installe pas discrètement un logiciel publicitaire (renseigne-toi sur Google ou sur les forums)

    * A ce moment là, tu pourras marquer ton sujet "résolu" si tu estimes que c'est le cas

    * Note importante : "Les comptes Administrateur ne sont pas appropriés pour une utilisation occasionnelle ; toute personne utilisant votre ordinateur devrait par conséquent disposer d'un compte utilisateur limité afin de pouvoir accomplir des activités ordinaires, telles que le traitement de texte, la messagerie, le mutlimédia, la navigation sur le Web... Si vous êtes victime d'une attaque par un logiciel malveillant, l'attaquant peut accéder à votre ordinateur par l'intermédiaire du compte auquel vous êtes connecté ; des comptes limités donnent à l'attaquant un accès restreint, tandis qu'un compte administrateur lui donne un accès total."
    => Voir https://www.microsoft.com/de-ch

    à+
    0
    1. ginie
       
      J'ai fait ce sue tu m'as dit : ToolsCleaner, Ccleaner, le scan bitdefender dont je t'ai mis le rapport. J'ai désactivé la restaurations système, arrêter, redémarrer et réactiver.
      Voilà.

      Merci encore énormément pour tout ce que tu as fait.
      BitDefender Online Scanner



      Rapport d'analyse généré à: Tue, May 20, 2008 - 18:36:40





      Voie d'analyse: A:\;C:\;D:\;







      Statistiques

      Temps
      00:15:18

      Fichiers
      67019

      Directoires
      4113

      Secteurs de boot
      2

      Archives
      875

      Paquets programmes
      7807




      Résultats

      Virus identifiés
      1

      Fichiers infectés
      1

      Fichiers suspects
      0

      Avertissements
      0

      Désinfectés
      0

      Fichiers effacés
      1




      Info sur les moteurs

      Définition virus
      1204419

      Version des moteurs
      AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

      Analyse des plugins
      16

      Archive des plugins
      42

      Unpack des plugins
      7

      E-mail plugins
      6

      Système plugins
      5




      Paramètres d'analyse

      Première action
      Désinfecté

      Seconde Action
      Supprimé

      Heuristique
      Oui

      Acceptez les avertissements
      Oui

      Extensions analysées
      exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

      Excludez les extensions


      Analyse d'emails
      Oui

      Analyse des Archives
      Oui

      Analyser paquets programmes
      Oui

      Analyse des fichiers
      Oui

      Analyse de boot
      Oui




      Fichier analysé
      Statut

      C:\Documents and Settings\BEBE\Bureau\ComboFix.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
      Infecté par: Backdoor.Generic.46598

      C:\Documents and Settings\BEBE\Bureau\ComboFix.exe=>(RAR Sfx o)=>327882R2FWJFW\NirCmdC.cfexe
      Supprimé

      C:\Documents and Settings\BEBE\Bureau\ComboFix.exe=>(RAR Sfx o)
      Echec de la mise à jour
      0
    2. ginie
       
      Je t'embête une dernière fois ...

      Dois-je garder tout ce que tu m'as fait télécharger ?

      Et comment indiqué que mon problème est résolu ?

      Désolée...

      Merci encore
      0
  10. eZula Messages postés 3509 Statut Contributeur 392
     
    Désolé, j'ai oublié d'enlever le scan Bitdefender qu'il n'était pas nécessaire de refaire
    Sinon tout semble ok

    Adios !
    0
  11. eZula Messages postés 3509 Statut Contributeur 392
     
    Normalement ToolsCleaner a du supprimer ce que tu as téléchargé, à part peut être les scripts CFScript que tu peux virer.
    pour marquer le sujet résolu, il y a un bouton vert qui le permet en bas de la page "problème résolu" http://www.commentcamarche.net/template/sprite_picto.png > le 2ème sur cette image
    0
  12. laboube
     
    prend un bon antivirus comme mcfee il te suprime autmatiquement tous les virus et en plus il n'est pas tres chere environ trente €
    0