TR/Crypt.XPACK.Gen Résolu/Fermé

Question

Bonjour,

J'aurai bien besoin d'une âme charitable pour m'aider à virer ce cheval de troie. Antivir le reconnait mais n'arrive pas à le virer... Pop up VirusEffaceur revient sans arrêt, internet lent, etc.

J'ai déja presque tout essayé...

Voici mon log Hijackthis Merci d'avance ;) 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:29, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\MqKs_-\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMb767ee4e] Rundll32.exe "C:\WINDOWS\system32\getybcsg.dll",s
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Hardware Monitoring Program (ADMService) - OSA Technologies Inc - C:\Program Files\Acer\eManager\admServ.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

n1c034 · Answer

Bonjour,

Vous devriez poster votre demande dans la section Virus/sécurité (Il y a des spécialistes la bas) ^^

Utilisateur anonyme · Answer

bonjours commence par faire ceci :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

C:\WINDOWS\system32\getybcsg.dll

clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Utilisateur anonyme · Answer

up up

Koma. · Answer

Désole de l'avoir poster au mauvais endroit mais merci de m'avoir si vite répondu.

Voici le log de OTMoveIt 

DllUnregisterServer procedure not found in C:\WINDOWS\system32\getybcsg.dll
C:\WINDOWS\system32\getybcsg.dll NOT unregistered.
C:\WINDOWS\system32\getybcsg.dll moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05212008_112030

Utilisateur anonyme · Answer

ok refais un scan hijackthis et poste le nouveau rapport stp

Koma. · Answer

Voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:24:08, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\MqKs_-\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMb767ee4e] Rundll32.exe "C:\WINDOWS\system32\getybcsg.dll",s
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Hardware Monitoring Program (ADMService) - OSA Technologies Inc - C:\Program Files\Acer\eManager\admServ.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Utilisateur anonyme · Answer

Fais un scan avec cet antispyware : 

Telecharge malwarebytes + tutoriel : 

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp.

Koma. · Answer

Ok je fais ça ...

Utilisateur anonyme · Answer

en mode normal ça suffira

Koma. · Answer

Je viens de reboot

Voilà le Log 

Malwarebytes' Anti-Malware 1.12
Version de la base de données: 774

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 109757
Temps écoulé: 27 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\opnlKDWO.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\ljJCRihE.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{33e9d9fb-b6d7-4cc8-8fe8-5ca580b45bea} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{33e9d9fb-b6d7-4cc8-8fe8-5ca580b45bea} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ljjcrihe (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMb767ee4e (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnlkdwo -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnlkdwo  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\mmvtwvbv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbvwtvmm.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\opnlKDWO.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\OWDKlnpo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\OWDKlnpo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ljJCRihE.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\bkiyimgu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\MqKs_-\Local Settings\Temporary Internet Files\Content.IE5\XKX37LI3\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\17PHolmes572.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Koma. · Answer

Le problème serait fixé?

Utilisateur anonyme · Answer

patience ...


redémarre le c pou finir la désinfection
puis réouvre maleware byte
va dans l onglet quarantaine
supprime tout 

puis fais ça :

Télécharge Clean: 

-> http://www.malekal.com/download/clean.zip 

-> Dézippe tout le contenu dans un dossier que tu auras cré au préalable (sur ton bureau par exemple). Double clic sur clean ou clean.cmd choisie l'option 1. 

Un rapport va s'ouvrir, copie et colle le contenu sur le forum. 

-> pour ceux ou celles qui auraient un doute sur comment deziper un fichier : 

http://www.tutopat.com/viewtopic.php?t=933&sid=34215b238376bfb22ef9e8eca9995914

Koma. · Answer

C:\WINDOWS\System32\OWDKlnpo.ini -->21/05/2008 12:17:56
C:\WINDOWS\System32\mcrh.tmp -->21/05/2008 12:10:16
C:\WINDOWS\System32\itpgynvv.exe -->20/05/2008 22:23:04
C:\WINDOWS\System32\clkcnt.txt -->20/05/2008 22:17:24
C:\WINDOWS\System32\FNTCACHE.DAT -->20/05/2008 22:03:48
C:\WINDOWS\System32\hejthhnu.exe -->20/05/2008 15:02:40
C:\WINDOWS\System32\uvknxsxw.dll -->20/05/2008 14:59:58
C:\WINDOWS\System32\xfrsbima.dll -->19/05/2008 15:03:40
C:\WINDOWS\System32\yfigqxlq.dll -->19/05/2008 14:59:48
C:\WINDOWS\System32\uoimhyha.dll -->19/05/2008 11:53:56
C:\WINDOWS\System32\vpogsnfy.dll -->17/05/2008 10:42:28
C:\WINDOWS\System32\vtpjobos.ini -->15/05/2008 0:22:54
C:\WINDOWS\System32	pysisgk.ini -->15/05/2008 0:21:52
C:\WINDOWS\System32\wpa.dbl -->12/05/2008 21:05:50
C:\WINDOWS\System32\CmdLineExt.dll -->4/05/2008 22:16:02
C:\WINDOWS\System32\lhacm.acm -->10/04/2008 20:42:50
C:\WINDOWS\System32\amcompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32
scompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32\satsukidecodersettings.ini -->8/04/2008 3:37:24
C:\WINDOWS\System32\PerfStringBackup.INI -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\TZLog.log -->8/04/2008 3:03:44

C:\WINDOWS\WindowsUpdate.log -->21/05/2008 12:24:34
C:\WINDOWS\KB950749.log -->21/05/2008 12:24:22
C:\WINDOWS\0.log -->21/05/2008 12:19:26
C:\WINDOWS\bootstat.dat -->21/05/2008 12:18:52
C:\WINDOWS\SchedLgU.Txt -->21/05/2008 12:18:12
C:\WINDOWS\BMb767ee4e.xml -->21/05/2008 12:10:00
C:\WINDOWS\BMb767ee4e.txt -->21/05/2008 12:09:50
C:\WINDOWS\pskt.ini -->21/05/2008 10:50:18
C:\WINDOWS
tbtlog.txt -->21/05/2008 0:49:30
C:\WINDOWS\win.ini -->20/05/2008 22:49:04
C:\WINDOWS\system.ini -->20/05/2008 22:49:04
C:\WINDOWS\setupapi.log.0.old -->20/05/2008 22:48:44
C:\WINDOWS\cookies.ini -->20/05/2008 22:26:26
C:\WINDOWS\wininit.ini -->20/05/2008 20:57:02
C:\WINDOWS\wiadebug.log -->16/05/2008 2:16:56

Utilisateur anonyme · Answer

réouvre clean et passe  l option 2

et envoi moi le rapport stp

Koma. · Answer

Il me recommande de le faire en mode sans echec tampis?

Utilisateur anonyme · Answer

fais le en mode sans echec oui

Koma. · Answer

Je trouve où le rapport après avoir effectué l'option 2? Je dois refaire l'option 1 pour avoir le rapport?

Si oui voici le nouveau rapport, j'ai relancé Clean (opération 1)

C:\WINDOWS\System32\OWDKlnpo.ini -->21/05/2008 12:17:56
C:\WINDOWS\System32\itpgynvv.exe -->20/05/2008 22:23:04
C:\WINDOWS\System32\clkcnt.txt -->20/05/2008 22:17:24
C:\WINDOWS\System32\FNTCACHE.DAT -->20/05/2008 22:03:48
C:\WINDOWS\System32\hejthhnu.exe -->20/05/2008 15:02:40
C:\WINDOWS\System32\uvknxsxw.dll -->20/05/2008 14:59:58
C:\WINDOWS\System32\xfrsbima.dll -->19/05/2008 15:03:40
C:\WINDOWS\System32\yfigqxlq.dll -->19/05/2008 14:59:48
C:\WINDOWS\System32\uoimhyha.dll -->19/05/2008 11:53:56
C:\WINDOWS\System32\vpogsnfy.dll -->17/05/2008 10:42:28
C:\WINDOWS\System32\vtpjobos.ini -->15/05/2008 0:22:54
C:\WINDOWS\System32	pysisgk.ini -->15/05/2008 0:21:52
C:\WINDOWS\System32\wpa.dbl -->12/05/2008 21:05:50
C:\WINDOWS\System32\MRT.exe -->9/05/2008 23:35:04
C:\WINDOWS\System32\CmdLineExt.dll -->4/05/2008 22:16:02
C:\WINDOWS\System32\lhacm.acm -->10/04/2008 20:42:50
C:\WINDOWS\System32\amcompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32
scompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32\satsukidecodersettings.ini -->8/04/2008 3:37:24
C:\WINDOWS\System32\PerfStringBackup.INI -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\TZLog.log -->8/04/2008 3:03:44

C:\WINDOWS\0.log -->21/05/2008 12:57:52
C:\WINDOWS\bootstat.dat -->21/05/2008 12:57:14
C:\WINDOWS\WindowsUpdate.log -->21/05/2008 12:56:34
C:\WINDOWS
tbtlog.txt -->21/05/2008 12:56:06
C:\WINDOWS\setupact.log -->21/05/2008 12:55:12
C:\WINDOWS\SchedLgU.Txt -->21/05/2008 12:52:54
C:\WINDOWS\imsins.log -->21/05/2008 12:52:22
C:\WINDOWS\ocmsn.log -->21/05/2008 12:52:22
C:\WINDOWS
etfxocm.log -->21/05/2008 12:52:22
C:\WINDOWS\MedCtrOC.log -->21/05/2008 12:52:22
C:\WINDOWS	abletoc.log -->21/05/2008 12:52:22
C:\WINDOWS\msgsocm.log -->21/05/2008 12:52:22
C:\WINDOWS	soc.log -->21/05/2008 12:52:22
C:\WINDOWS
tdtcsetup.log -->21/05/2008 12:52:22
C:\WINDOWS\comsetup.log -->21/05/2008 12:52:22

Utilisateur anonyme · Answer

oui refais option pour verif

et envoi le rapport stp

Koma. · Answer

Volà c'est fait ;)

Utilisateur anonyme · Answer

ok fais ceci ;

Télécharge combofix.exe (par sUBs) sur ton Bureau. 

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

-> Double clique combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Koma. · Answer

Voilà : ComboFix 08-05-20.5 - MqKs_- 2008-05-21 13:16:49.3 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.665 [GMT 2:00] Endroit: C:\Documents and Settings\MqKs_-\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BMb767ee4e.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\hejthhnu.exe C:\WINDOWS\system32\itpgynvv.exe C:\WINDOWS\system32\OWDKlnpo.ini C:\WINDOWS\system32\uoimhyha.dll C:\WINDOWS\system32\vpogsnfy.dll C:\WINDOWS\system32\xfrsbima.dll C:\WINDOWS\system32\yfigqxlq.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-21 to 2008-05-21 )))))))))))))))))))))))))))))))))))) . 2008-05-21 13:05 . 2008-05-21 13:05 12,374,835 --a------ C:\upload_moi_ACER-7701DE6AF9.tar.gz 2008-05-21 11:29 . 2008-05-21 11:29 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-05-21 11:29 . 2008-05-21 11:30 d-------- C:\Documents and Settings\MqKs_-\Application Data\Malwarebytes 2008-05-21 11:29 . 2008-05-21 11:29 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-05-21 11:29 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-21 11:29 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-21 11:20 . 2008-05-21 11:20 d-------- C:\_OTMoveIt 2008-05-20 23:50 . 2008-05-20 23:50 d-------- C:\Program Files\Avira 2008-05-20 23:50 . 2008-05-20 23:50 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-05-20 23:20 . 2008-05-20 23:20 d-------- C:\Program Files\Lavasoft 2008-05-20 23:20 . 2008-05-20 23:20 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-05-20 23:19 . 2008-05-20 23:20 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-05-20 21:48 . 2008-05-20 21:43 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2008-05-20 21:42 . 2008-05-20 21:43 d-------- C:\Documents and Settings\MqKs_-\.housecall6.6 2008-05-20 14:59 . 2008-05-20 14:59 125,952 --a------ C:\WINDOWS\system32\uvknxsxw.dll 2008-05-15 00:22 . 2008-05-15 00:22 414 ---hs---- C:\WINDOWS\system32\vtpjobos.ini 2008-05-14 20:02 . 2008-05-20 20:57 0 --a------ C:\WINDOWS\wininit.ini 2008-05-14 19:26 . 2008-05-15 00:21 354 ---hs---- C:\WINDOWS\system32\tpysisgk.ini 2008-05-04 22:16 . 2008-05-04 22:16 dr-h----- C:\Documents and Settings\MqKs_-\Application Data\SecuROM 2008-05-04 22:16 . 2008-05-04 22:16 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-17 15:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania 2008-04-16 16:33 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\Microgaming 2008-04-10 18:42 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\teamspeak2 2008-04-10 00:25 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-04-10 00:25 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\AdobeUM 2008-04-09 23:02 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-04-08 23:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\ATI 2008-04-08 17:53 --------- d-----w C:\Program Files\MSBuild 2008-04-08 17:53 --------- d-----w C:\Program Files\Microsoft Works 2008-04-08 17:52 --------- d-----w C:\Program Files\Microsoft.NET 2008-04-08 17:50 --------- d-----w C:\Program Files\Microsoft Visual Studio 8 2008-04-08 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-04-08 17:42 --------- d-----w C:\Program Files\CleanUp! 2008-04-08 17:16 --------- d-----w C:\Program Files\DirectX 2008-04-08 12:01 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-04-08 02:33 --------- d-sh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-04-08 02:26 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\vlc 2008-04-08 02:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-04-08 02:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET 2008-04-08 01:45 --------- d-----w C:\Program Files\Eset 2008-04-08 01:39 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-04-08 01:29 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\Media Player Classic 2008-04-08 00:28 --------- d-----w C:\Program Files\uTorrent 2008-04-08 00:27 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\uTorrent 2008-04-08 00:25 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\eMule 2008-04-08 00:20 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\Lavasoft 2008-04-08 00:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus! 2008-04-08 00:16 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-04-08 00:14 --------- d-----w C:\Program Files\Windows Live 2008-04-08 00:14 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-04-07 23:57 --------- d-----w C:\Program Files\Logitech 2008-04-07 23:57 --------- d-----w C:\Program Files\Fichiers communs\Logitech 2008-04-07 23:53 --------- d--h--w C:\Program Files\Zenographics 2008-04-07 23:53 --------- d-----w C:\Program Files\Hewlett-Packard 2008-04-07 23:50 --------- d-----w C:\Program Files\Winamp 2008-04-07 23:48 --------- d-----w C:\Program Files\MSN Messenger 2008-04-07 23:47 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-04-07 23:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-04-07 23:39 99,970 ----a-w C:\WINDOWS\UninstallFirefox.exe 2008-04-07 23:38 --------- d-----w C:\Program Files\AIDA32 - Enterprise System Information 2008-04-07 22:42 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\ATI 2008-04-07 22:22 73,728 ----a-w C:\WINDOWS\ALCFDRTM.EXE 2008-04-07 22:20 --------- d-----w C:\Program Files\Fichiers communs\ATI Technologies 2008-04-07 22:16 --------- d-----w C:\Program Files\ATI Technologies 2008-04-07 22:08 --------- d-----w C:\Program Files\Java 2008-04-07 22:08 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 16:28 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-29 08:57 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:56 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys 2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2008-02-26 03:11 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll 2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll 2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll 2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll 2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2008-02-25 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe . ((((((((((((((((((((((((((((( snapshot@2008-05-20_22.15.06.26 ))))))))))))))))))))))))))))))))))))))))) . - 2008-05-20 20:13:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-05-21 11:18:56 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2006-10-27 13:04:08 497,504 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\MORPH9.DLL + 2006-10-27 13:04:10 9,581,360 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\MSPUB.EXE + 2006-10-26 18:09:36 136,008 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\PRTF9.DLL + 2006-10-27 13:04:06 624,456 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\PTXT9.DLL + 2006-10-26 18:09:44 590,144 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\PUBCONV.DLL + 2006-10-27 13:23:04 347,432 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\WINWORD.EXE + 2006-10-27 13:11:38 4,235,560 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\WRD12CNV.DLL + 2006-10-27 13:11:36 21,264 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\WRD12EXE.EXE + 2006-10-27 13:23:08 17,483,560 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\[u]0[/u]0002109110000000000000000F01FEC\12.0.4518\WWLIB.DLL - 2008-04-09 01:03:26 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\accicons.exe + 2008-05-21 10:52:48 1,165,584 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\accicons.exe - 2008-04-09 01:03:26 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\cagicon.exe + 2008-05-21 10:52:48 20,240 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\cagicon.exe - 2008-04-09 01:03:26 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\inficon.exe + 2008-05-21 10:52:48 159,504 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\inficon.exe - 2008-04-09 01:03:26 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\misc.exe + 2008-05-21 10:52:48 217,864 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\misc.exe - 2008-04-09 01:03:26 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\mspicons.exe + 2008-05-21 10:52:48 18,704 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\mspicons.exe - 2008-04-09 01:03:26 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\oisicon.exe + 2008-05-21 10:52:48 35,088 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\oisicon.exe - 2008-04-09 01:03:26 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\outicon.exe + 2008-05-21 10:52:48 845,584 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\outicon.exe - 2008-04-09 01:03:26 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pptico.exe + 2008-05-21 10:52:48 922,384 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pptico.exe - 2008-04-09 01:03:26 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pubs.exe + 2008-05-21 10:52:48 272,648 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\pubs.exe - 2008-04-09 01:03:26 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe + 2008-05-21 10:52:48 888,080 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\wordicon.exe - 2008-04-09 01:03:26 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe + 2008-05-21 10:52:48 1,172,240 ----a-r C:\WINDOWS\Installer\{90120000-0011-0000-0000-0000000FF1CE}\xlicons.exe + 2008-05-21 10:08:04 25,214 ----a-r C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A70000000000}\SC_Reader.exe + 2008-05-20 21:20:36 1,038,336 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC.exe + 2008-05-20 21:20:36 178,688 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC1.exe + 2008-05-20 21:20:36 171,008 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B.exe + 2008-05-20 21:20:36 8,704 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B1.exe - 2004-08-05 04:00:00 561,179 ----a-w C:\WINDOWS\system32\dllcache\dao360.dll + 2008-03-25 04:50:26 554,008 ----a-w C:\WINDOWS\system32\dllcache\dao360.dll - 2004-08-05 04:00:00 512,029 ----a-w C:\WINDOWS\system32\dllcache\msexch40.dll + 2008-03-25 04:50:28 518,944 ----a-w C:\WINDOWS\system32\dllcache\msexch40.dll - 2004-08-05 04:00:00 319,517 ----a-w C:\WINDOWS\system32\dllcache\msexcl40.dll + 2008-03-25 04:50:30 326,432 ----a-w C:\WINDOWS\system32\dllcache\msexcl40.dll - 2004-08-05 04:00:00 1,507,356 ----a-w C:\WINDOWS\system32\dllcache\msjet40.dll + 2008-03-25 04:50:34 1,516,568 ----a-w C:\WINDOWS\system32\dllcache\msjet40.dll - 2004-08-05 04:00:00 358,976 ----a-w C:\WINDOWS\system32\dllcache\msjetol1.dll + 2008-03-25 04:50:40 355,112 ----a-w C:\WINDOWS\system32\dllcache\msjetol1.dll - 2004-08-05 04:00:00 53,279 ----a-w C:\WINDOWS\system32\dllcache\msjter40.dll + 2008-03-25 04:50:42 60,192 ----a-w C:\WINDOWS\system32\dllcache\msjter40.dll - 2004-08-05 04:00:00 241,693 ----a-w C:\WINDOWS\system32\dllcache\msjtes40.dll + 2008-03-25 04:50:42 248,608 ----a-w C:\WINDOWS\system32\dllcache\msjtes40.dll - 2004-08-05 04:00:00 213,023 ----a-w C:\WINDOWS\system32\dllcache\msltus40.dll + 2008-03-25 04:50:44 219,936 ----a-w C:\WINDOWS\system32\dllcache\msltus40.dll - 2004-08-05 04:00:00 348,189 ----a-w C:\WINDOWS\system32\dllcache\mspbde40.dll + 2008-03-25 04:50:46 355,104 ----a-w C:\WINDOWS\system32\dllcache\mspbde40.dll - 2004-08-05 04:00:00 421,919 ----a-w C:\WINDOWS\system32\dllcache\msrd2x40.dll + 2008-03-25 04:50:48 432,928 ----a-w C:\WINDOWS\system32\dllcache\msrd2x40.dll - 2004-08-05 04:00:00 315,423 ----a-w C:\WINDOWS\system32\dllcache\msrd3x40.dll + 2008-03-25 04:50:50 322,336 ----a-w C:\WINDOWS\system32\dllcache\msrd3x40.dll - 2004-08-05 04:00:00 552,989 ----a-w C:\WINDOWS\system32\dllcache\msrepl40.dll + 2008-03-25 04:50:52 559,904 ----a-w C:\WINDOWS\system32\dllcache\msrepl40.dll - 2004-08-05 04:00:00 258,077 ----a-w C:\WINDOWS\system32\dllcache\mstext40.dll + 2008-03-25 04:50:56 264,992 ----a-w C:\WINDOWS\system32\dllcache\mstext40.dll - 2004-08-05 04:00:00 831,519 ----a-w C:\WINDOWS\system32\dllcache\mswdat10.dll + 2008-03-25 04:50:58 838,432 ----a-w C:\WINDOWS\system32\dllcache\mswdat10.dll - 2004-08-05 04:00:00 348,189 ----a-w C:\WINDOWS\system32\dllcache\msxbde40.dll + 2008-03-25 04:50:58 355,104 ----a-w C:\WINDOWS\system32\dllcache\msxbde40.dll + 2008-01-21 16:12:58 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:30 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:54 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-07-11 11:37:26 6,272 ----a-w C:\WINDOWS\system32\drivers\AWRTPD.sys + 2007-08-07 10:58:08 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys + 2007-08-07 10:56:58 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys + 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys + 2007-12-14 09:32:52 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe - 2008-04-06 05:56:20 19,836,024 ----a-w C:\WINDOWS\system32\MRT.exe + 2008-05-09 21:35:04 16,863,864 ----a-w C:\WINDOWS\system32\MRT.exe - 2004-08-05 04:00:00 512,029 ----a-w C:\WINDOWS\system32\msexch40.dll + 2008-03-25 04:50:28 518,944 ----a-w C:\WINDOWS\system32\msexch40.dll - 2004-08-05 04:00:00 319,517 ----a-w C:\WINDOWS\system32\msexcl40.dll + 2008-03-25 04:50:30 326,432 ----a-w C:\WINDOWS\system32\msexcl40.dll - 2004-08-05 04:00:00 1,507,356 ----a-w C:\WINDOWS\system32\msjet40.dll + 2008-03-25 04:50:34 1,516,568 ----a-w C:\WINDOWS\system32\msjet40.dll - 2004-08-05 04:00:00 358,976 ----a-w C:\WINDOWS\system32\msjetoledb40.dll + 2008-03-25 04:50:40 355,112 ----a-w C:\WINDOWS\system32\msjetoledb40.dll - 2004-08-05 04:00:00 53,279 ----a-w C:\WINDOWS\system32\msjter40.dll + 2008-03-25 04:50:42 60,192 ----a-w C:\WINDOWS\system32\msjter40.dll - 2004-08-05 04:00:00 241,693 ----a-w C:\WINDOWS\system32\msjtes40.dll + 2008-03-25 04:50:42 248,608 ----a-w C:\WINDOWS\system32\msjtes40.dll - 2004-08-05 04:00:00 213,023 ----a-w C:\WINDOWS\system32\msltus40.dll + 2008-03-25 04:50:44 219,936 ----a-w C:\WINDOWS\system32\msltus40.dll - 2004-08-05 04:00:00 348,189 ----a-w C:\WINDOWS\system32\mspbde40.dll + 2008-03-25 04:50:46 355,104 ----a-w C:\WINDOWS\system32\mspbde40.dll - 2004-08-05 04:00:00 421,919 ----a-w C:\WINDOWS\system32\msrd2x40.dll + 2008-03-25 04:50:48 432,928 ----a-w C:\WINDOWS\system32\msrd2x40.dll - 2004-08-05 04:00:00 315,423 ----a-w C:\WINDOWS\system32\msrd3x40.dll + 2008-03-25 04:50:50 322,336 ----a-w C:\WINDOWS\system32\msrd3x40.dll - 2004-08-05 04:00:00 552,989 ----a-w C:\WINDOWS\system32\msrepl40.dll + 2008-03-25 04:50:52 559,904 ----a-w C:\WINDOWS\system32\msrepl40.dll - 2004-08-05 04:00:00 258,077 ----a-w C:\WINDOWS\system32\mstext40.dll + 2008-03-25 04:50:56 264,992 ----a-w C:\WINDOWS\system32\mstext40.dll - 2004-08-05 04:00:00 831,519 ----a-w C:\WINDOWS\system32\mswdat10.dll + 2008-03-25 04:50:58 838,432 ----a-w C:\WINDOWS\system32\mswdat10.dll - 2004-08-05 04:00:00 348,189 ----a-w C:\WINDOWS\system32\msxbde40.dll + 2008-03-25 04:50:58 355,104 ----a-w C:\WINDOWS\system32\msxbde40.dll . -- Snapshot reset to current date -- . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{14D54FAD-DE6C-48FA-BD4C-0B7E364E0892}] C:\WINDOWS\system32\awtUMfGy.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD524166-D8DC-4C81-B79B-1B3352AC7C79}] C:\WINDOWS\system32\efCRiHyV.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AlarmS4.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AlarmS4.lnk backup=C:\WINDOWS\pss\AlarmS4.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADMTray.exe] --a------ 2004-10-11 17:37 1393664 C:\Program Files\Acer\eManager\admtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a------ 2004-10-13 00:00 57344 C:\WINDOWS\ALCMTR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd] --a------ 2004-11-28 22:00 2748928 C:\WINDOWS\ALCWZRD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\b454ddd2] C:\WINDOWS\system32\xfrsbima.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMb767ee4e] C:\WINDOWS\system32\getybcsg.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-05 06:00 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-08-16 13:24 167368 D:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService] C:\Windows\System32\Check.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds] --a------ 2004-10-07 17:27 126976 C:\WINDOWS\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray] --a------ 2004-10-07 17:31 155648 C:\WINDOWS\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 06:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility] --------- 2003-12-11 11:50 20992 C:\WINDOWS\LOGI_MWX.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MPS] --a------ 2004-03-04 10:53 372736 C:\ACER\PSM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Program Files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002] --a------ 2004-08-05 06:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrderReminder] -ra------ 2006-01-30 18:00 98304 C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio] --------- 2004-08-12 17:45 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-21 11:52 40960 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2004-11-01 22:53 77824 C:\WINDOWS\SoundMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-04-08 02:34 1271032 D:\Program Files\Valve\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-04-08 00:08 32881 C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "D:\Program Files\eMule\emule.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "D:\Program Files\Valve\Steam\steamapps\greg_09\counter-strike source\hl2.exe"= "D:\Program Files\Valve\Steam\steamapps\flavio313\counter-strike\hl.exe"= "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "D:\Program Files\SopCast\SopCast.exe"= "D:\Program Files\SopCast\adv\SopAdver.exe"= "D:\Program Files\Activision Value\World Series of Poker TOC\WSOPTOC.exe"= "C:\Program Files\Mozilla Firefox\firefox.exe"= "D:\Program Files\Valve\Steam\Steam.exe"= "D:\Program Files\StreamerOne\StreamerOne.exe"= "C:\WINDOWS\System32\dpvsetup.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "D:\Program Files\Activision Value\WSOP 2008\WSOPBFTB.exe"= "D:\Program Files\Valve\Steam\steamapps\geckoben87@hotmail.com\counter-strike source\hl2.exe"= "D:\Program Files\Valve\Steam\steamapps\common\trackmania nations forever\TmForever.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "D:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "58854:TCP"= 58854:TCP:uTorrent "58854:UDP"= 58854:UDP:uToorent R2 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2004-07-16 16:22] R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2004-09-20 17:37] S3 int15.sys;int15.sys;C:\Program Files\acer\erecovery\int15.sys [2004-11-03 09:06] S3 PortRW;PortRW;C:\WINDOWS\system32\Drivers\PortRW.sys [2003-08-15 14:57] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc5cd37e-0872-11dd-afb2-00016cc38cea}] \Shell\AutoRun\command - G:\LaunchU3.exe -a . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-21 13:19:19 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXE . ************************************************************************** . Temps d'accomplissement: 2008-05-21 13:20:36 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-21 11:20:34 ComboFix2.txt 2008-05-20 20:15:48 Pre-Run: 18,645,024,768 octets libres Post-Run: 18,639,978,496 octets libres 355 --- E O F --- 2008-05-21 10:52:47

Utilisateur anonyme · Answer

ok réouvre clean et passe l option 1

puis envoi le rapport stp

Koma. · Answer

C:\WINDOWS\System32\clkcnt.txt -->20/05/2008 22:17:24
C:\WINDOWS\System32\FNTCACHE.DAT -->20/05/2008 22:03:48
C:\WINDOWS\System32\uvknxsxw.dll -->20/05/2008 14:59:58
C:\WINDOWS\System32\vtpjobos.ini -->15/05/2008 0:22:54
C:\WINDOWS\System32	pysisgk.ini -->15/05/2008 0:21:52
C:\WINDOWS\System32\wpa.dbl -->12/05/2008 21:05:50
C:\WINDOWS\System32\MRT.exe -->9/05/2008 23:35:04
C:\WINDOWS\System32\CmdLineExt.dll -->4/05/2008 22:16:02
C:\WINDOWS\System32\lhacm.acm -->10/04/2008 20:42:50
C:\WINDOWS\System32\amcompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32
scompat.tlb -->10/04/2008 1:34:30
C:\WINDOWS\System32\satsukidecodersettings.ini -->8/04/2008 3:37:24
C:\WINDOWS\System32\PerfStringBackup.INI -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc00C.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfh009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\perfc009.dat -->8/04/2008 3:23:54
C:\WINDOWS\System32\TZLog.log -->8/04/2008 3:03:44
C:\WINDOWS\System32\eRLog.ini -->8/04/2008 1:59:46
C:\WINDOWS\System32\zhp1018.log -->8/04/2008 1:54:16
C:\WINDOWS\System32\BuzzingBee.wav -->8/04/2008 0:22:28
C:\WINDOWS\System32\LoopyMusic.wav -->8/04/2008 0:22:28
C:\WINDOWS\System32\LuResult.txt -->8/04/2008 0:11:34
C:\WINDOWS\System32\jpicpl32.cpl -->8/04/2008 0:08:14
C:\WINDOWS\System32\javaw.exe -->8/04/2008 0:08:14

C:\WINDOWS\setupapi.log -->21/05/2008 13:21:12
C:\WINDOWS\0.log -->21/05/2008 13:19:52
C:\WINDOWS\system.ini -->21/05/2008 13:19:18
C:\WINDOWS\bootstat.dat -->21/05/2008 13:18:56
C:\WINDOWS\SchedLgU.Txt -->21/05/2008 13:18:00
C:\WINDOWS\WindowsUpdate.log -->21/05/2008 12:56:34
C:\WINDOWS
tbtlog.txt -->21/05/2008 12:56:06
C:\WINDOWS\setupact.log -->21/05/2008 12:55:12
C:\WINDOWS\imsins.log -->21/05/2008 12:52:22
C:\WINDOWS\ocmsn.log -->21/05/2008 12:52:22
C:\WINDOWS
etfxocm.log -->21/05/2008 12:52:22
C:\WINDOWS\MedCtrOC.log -->21/05/2008 12:52:22
C:\WINDOWS	abletoc.log -->21/05/2008 12:52:22
C:\WINDOWS\msgsocm.log -->21/05/2008 12:52:22
C:\WINDOWS	soc.log -->21/05/2008 12:52:22

Utilisateur anonyme · Answer

Télécharge sur le bureau http://siri.urz.free.fr/Fix/SmitfraudFix.exe 
=> Double clic sur SmitfraudFix.zip 
=> Extraire tout 
=> Double clic sur SmitfraudFix 
=> Double Clic sur SmitfraudFix.cmd 
=> Choisir Option 1 
=> poste le rapport

Koma. · Answer

Euh le truc que tu viens de me faire télécharger ... Antivir me dit que c'est un virus et je l'ai donc supprimé...

Virus or unwanted program 'DR/Tool.Reboot.F.92 [dropper]'
detected in file 'C:\Documents and Settings\MqKs_-\Bureau\SmitfraudFix.exe.
Action performed: Delete file

Utilisateur anonyme · Answer

normal 

désactive antivir le temps de l utilisation de smithfraud

Koma. · Answer

SmitFraudFix v2.320

Rapport fait à 13:43:43,87, mer. 21/05/2008
Executé à partir de C:\Documents and Settings\MqKs_-\Bureau\Virus de Merde\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Winamp\Winamp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MqKs_-


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MqKs_-\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MQKS_-\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme Gigabit Ethernet - Miniport d'ordonnancement de paquets
DNS Server Search Order: 88.82.62.193

HKLM\SYSTEM\CCS\Services\Tcpip\..\{87057248-B443-4305-877C-3A5D9586E749}: DhcpNameServer=88.82.62.193
HKLM\SYSTEM\CS1\Services\Tcpip\..\{87057248-B443-4305-877C-3A5D9586E749}: DhcpNameServer=88.82.62.193
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=88.82.62.193
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=88.82.62.193


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Koma. · Answer

EDIT : j'ai poster 3 x le rapport ...donc voilà j'edit pour que ce soit plus clair...

Koma. · Answer

désole j'ai poster le rapport 3x ...

Utilisateur anonyme · Answer

* Redémarre l'ordinateur en mode sans échec 
(tapoter F8 au boot pour obtenir le menu de démarrage ou http://service1.symantec.com/ 

* Double clique sur smitfraudfix.cmd 

* Sélectionne 2 pour supprimer les fichiers responsables de l'infection. 

A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection. 

A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu. 

* Redémarre en mode normal et poste le rapport ici 

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1

Koma. · Answer

SmitFraudFix v2.320

Rapport fait à 14:00:43,87, mer. 21/05/2008
Executé à partir de C:\Documents and Settings\MqKs_-\Bureau\Virus de Merde\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{87057248-B443-4305-877C-3A5D9586E749}: DhcpNameServer=88.82.62.193
HKLM\SYSTEM\CS1\Services\Tcpip\..\{87057248-B443-4305-877C-3A5D9586E749}: DhcpNameServer=88.82.62.193
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=88.82.62.193
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=88.82.62.193


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Utilisateur anonyme · Answer

ok refais un hijackthis stp

Koma. · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:03, on 21/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Winamp\Winamp.exe
C:\Documents and Settings\MqKs_-\Bureau\Virus de Merde\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {14D54FAD-DE6C-48FA-BD4C-0B7E364E0892} - C:\WINDOWS\system32\awtUMfGy.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {FD524166-D8DC-4C81-B79B-1B3352AC7C79} - C:\WINDOWS\system32\efCRiHyV.dll (file missing)
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Hardware Monitoring Program (ADMService) - OSA Technologies Inc - C:\Program Files\Acer\eManager\admServ.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Utilisateur anonyme · Answer

supprime ces lignes :

O2 - BHO: (no name) - {14D54FAD-DE6C-48FA-BD4C-0B7E364E0892} - C:\WINDOWS\system32\awtUMfGy.dll (file missing) 

O2 - BHO: (no name) - {FD524166-D8DC-4C81-B79B-1B3352AC7C79} - C:\WINDOWS\system32\efCRiHyV.dll (file missing) 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab 

pour les supprimer tu les coches ensuite tu clic sur fix checked

apres suis cette procédure

Maintenant , nous allons supprimer les logiciels de désinfection que je t'ai fait téléchargé. 
En effet , s'en servir est dangereux pour le pc si l'on ne s'y connais pas. 
De plus ils sont mis régulièrement à jours. 


? Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau. 


http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

? Double clique sur ToolsCleaner2.exe > 
? Clique sur .Recherche 
? puis sur Suppression quand la liste est trouvée. 
? Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante : 

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches. 
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter" 

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau 

Tuto : https://www.commentcamarche.net/list 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

Koma. · Answer

J'ai lancé par erreur une deuxième fois le programme, il a donc remplacé le premier rapport par un deuxième rapport vierge...
Il a en effet trouvé les différents programmes installés et les a supprimés.

Utilisateur anonyme · Answer

Salut ,

De passage

Il reste des infections dans le rapport Combofix.

++

Utilisateur anonyme · Answer

cyril explique pour combofix stp

Utilisateur anonyme · Answer

Re ,,

Combofix ne supprime pas tout , il y a des encore des fichiers/clés de registres infectées dans le rapport , Il faut faire un CFScript pour les supprimer.
Si tu ne sais pas comment faire , je le ferais à ta place.

+++

Utilisateur anonyme · Answer

oui je veux bien stp

Koma. · Answer

Merci à toi Chiquitine ;) 
Je t'écoute Cyril ...

Utilisateur anonyme · Answer

Re ,

Pas de soucis , Koma fait ceci :

**************************************

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note ) 

File::  
C:\WINDOWS\system32\uvknxsxw.dll 
C:\WINDOWS\system32\vtpjobos.ini 
C:\WINDOWS\system32	pysisgk.ini 
C:\WINDOWS\system32\awtUMfGy.dll 
C:\WINDOWS\system32\efCRiHyV.dll 
C:\WINDOWS\ALCMTR.EXE
C:\WINDOWS\system32\xfrsbima.dll 
C:\WINDOWS\system32\getybcsg.dll 

Folder::
C:\upload_moi_ACER-7701DE6AF9.tar.gz

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{14D54FAD-DE6C-48FA-BD4C-0B7E364E0892}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FD524166-D8DC-4C81-B79B-1B3352AC7C79}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\b454ddd2] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMb767ee4e] 



Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.



Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt .

S'il n'y a pas de rédémarrage, poste quand même les rapports.

******************************


Je laisse finir Chiquitine29   ;)
Bonne continuation
+++

Koma. · Answer

ComboFix 08-05-20.5 - MqKs_- 2008-05-21 14:48:09.4 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.575 [GMT 2:00] Endroit: C:\Documents and Settings\MqKs_-\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\MqKs_-\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\WINDOWS\ALCMTR.EXE C:\WINDOWS\system32\awtUMfGy.dll C:\WINDOWS\system32\efCRiHyV.dll C:\WINDOWS\system32\getybcsg.dll C:\WINDOWS\system32 pysisgk.ini C:\WINDOWS\system32\uvknxsxw.dll C:\WINDOWS\system32\vtpjobos.ini C:\WINDOWS\system32\xfrsbima.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\ALCMTR.EXE C:\WINDOWS\system32 pysisgk.ini C:\WINDOWS\system32\uvknxsxw.dll C:\WINDOWS\system32\vtpjobos.ini . ((((((((((((((((((((((((((((( Fichiers créés 2008-04-21 to 2008-05-21 )))))))))))))))))))))))))))))))))))) . 2008-05-21 13:58 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-05-21 13:58 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-05-21 13:58 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-05-21 13:58 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-05-21 13:58 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-05-21 13:58 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-05-21 13:58 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-05-21 13:58 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-05-21 13:43 . 2008-05-21 14:00 1,498 --a------ C:\WINDOWS\system32 mp.reg 2008-05-21 11:29 . 2008-05-21 11:29 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-05-21 11:29 . 2008-05-21 11:30 d-------- C:\Documents and Settings\MqKs_-\Application Data\Malwarebytes 2008-05-21 11:29 . 2008-05-21 11:29 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-05-21 11:29 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-21 11:29 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-20 23:50 . 2008-05-20 23:50 d-------- C:\Program Files\Avira 2008-05-20 23:50 . 2008-05-20 23:50 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-05-20 23:20 . 2008-05-20 23:20 d-------- C:\Program Files\Lavasoft 2008-05-20 23:20 . 2008-05-20 23:20 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-05-20 23:19 . 2008-05-20 23:20 d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-05-20 21:48 . 2008-05-20 21:43 102,664 --a------ C:\WINDOWS\system32\drivers mcomm.sys 2008-05-20 21:42 . 2008-05-20 21:43 d-------- C:\Documents and Settings\MqKs_-\.housecall6.6 2008-05-14 20:02 . 2008-05-20 20:57 0 --a------ C:\WINDOWS\wininit.ini 2008-05-04 22:16 . 2008-05-04 22:16 dr-h----- C:\Documents and Settings\MqKs_-\Application Data\SecuROM 2008-05-04 22:16 . 2008-05-04 22:16 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-04-17 15:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania 2008-04-16 16:33 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\Microgaming 2008-04-10 18:42 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data eamspeak2 2008-04-10 00:25 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-04-10 00:25 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\AdobeUM 2008-04-09 23:02 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-04-08 23:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\ATI 2008-04-08 17:53 --------- d-----w C:\Program Files\MSBuild 2008-04-08 17:53 --------- d-----w C:\Program Files\Microsoft Works 2008-04-08 17:52 --------- d-----w C:\Program Files\Microsoft.NET 2008-04-08 17:50 --------- d-----w C:\Program Files\Microsoft Visual Studio 8 2008-04-08 17:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-04-08 17:42 --------- d-----w C:\Program Files\CleanUp! 2008-04-08 17:16 --------- d-----w C:\Program Files\DirectX 2008-04-08 12:01 --------- d-----w C:\Program Files\Microsoft CAPICOM 2.1.0.2 2008-04-08 02:33 --------- d-sh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-04-08 02:26 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\vlc 2008-04-08 02:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-04-08 02:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET 2008-04-08 01:45 --------- d-----w C:\Program Files\Eset 2008-04-08 01:39 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2008-04-08 01:29 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\Media Player Classic 2008-04-08 00:28 --------- d-----w C:\Program Files\uTorrent 2008-04-08 00:27 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\uTorrent 2008-04-08 00:25 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\eMule 2008-04-08 00:20 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\Lavasoft 2008-04-08 00:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus! 2008-04-08 00:16 691,545 ----a-w C:\WINDOWS\unins000.exe 2008-04-08 00:14 --------- d-----w C:\Program Files\Windows Live 2008-04-08 00:14 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-04-07 23:57 --------- d-----w C:\Program Files\Logitech 2008-04-07 23:57 --------- d-----w C:\Program Files\Fichiers communs\Logitech 2008-04-07 23:53 --------- d--h--w C:\Program Files\Zenographics 2008-04-07 23:53 --------- d-----w C:\Program Files\Hewlett-Packard 2008-04-07 23:50 --------- d-----w C:\Program Files\Winamp 2008-04-07 23:48 --------- d-----w C:\Program Files\MSN Messenger 2008-04-07 23:47 --------- d-----w C:\Program Files\Spybot - Search & Destroy 2008-04-07 23:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-04-07 23:39 99,970 ----a-w C:\WINDOWS\UninstallFirefox.exe 2008-04-07 23:38 --------- d-----w C:\Program Files\AIDA32 - Enterprise System Information 2008-04-07 22:42 --------- d-----w C:\Documents and Settings\MqKs_-\Application Data\ATI 2008-04-07 22:22 73,728 ----a-w C:\WINDOWS\ALCFDRTM.EXE 2008-04-07 22:20 --------- d-----w C:\Program Files\Fichiers communs\ATI Technologies 2008-04-07 22:16 --------- d-----w C:\Program Files\ATI Technologies 2008-04-07 22:08 --------- d-----w C:\Program Files\Java 2008-04-07 22:08 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\dllcache\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-01 16:28 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-29 08:57 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-02-29 08:56 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys 2008-02-26 03:12 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2008-02-26 03:11 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll 2008-02-26 03:10 299,520 ----a-w C:\WINDOWS\system32\ati2dvag.dll 2008-02-26 03:02 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll 2008-02-26 03:02 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll 2008-02-26 03:01 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2008-02-26 03:01 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe 2008-02-26 03:01 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll 2008-02-26 03:00 520,192 ----a-w C:\WINDOWS\system32\ati2evxx.exe 2008-02-26 02:59 9,797,632 ----a-w C:\WINDOWS\system32\atioglx2.dll 2008-02-26 02:58 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL 2008-02-26 02:49 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll 2008-02-26 02:41 1,755,264 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2008-02-26 02:29 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll 2008-02-26 02:25 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll 2008-02-26 02:23 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll 2008-02-26 02:19 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2008-02-26 02:16 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll 2008-02-25 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe 2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AlarmS4.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AlarmS4.lnk backup=C:\WINDOWS\pss\AlarmS4.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADMTray.exe] --a------ 2004-10-11 17:37 1393664 C:\Program Files\Acer\eManager\admtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd] --a------ 2004-11-28 22:00 2748928 C:\WINDOWS\ALCWZRD.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-05 06:00 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2007-08-16 13:24 167368 D:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService] C:\Windows\System32\Check.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds] --a------ 2004-10-07 17:27 126976 C:\WINDOWS\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray] --a------ 2004-10-07 17:31 155648 C:\WINDOWS\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 06:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Logitech Utility] --------- 2003-12-11 11:50 20992 C:\WINDOWS\LOGI_MWX.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MPS] --a------ 2004-03-04 10:53 372736 C:\ACER\PSM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] C:\Program Files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002] --a------ 2004-08-05 06:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OrderReminder] -ra------ 2006-01-30 18:00 98304 C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 06:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio] --------- 2004-08-12 17:45 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-21 11:52 40960 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] --a------ 2004-11-01 22:53 77824 C:\WINDOWS\SoundMan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-04-08 02:34 1271032 D:\Program Files\Valve\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-04-08 00:08 32881 C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "D:\Program Files\eMule\emule.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "D:\Program Files\Valve\Steam\steamapps\greg_09\counter-strike source\hl2.exe"= "D:\Program Files\Valve\Steam\steamapps\flavio313\counter-strike\hl.exe"= "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "D:\Program Files\SopCast\SopCast.exe"= "D:\Program Files\SopCast\adv\SopAdver.exe"= "D:\Program Files\Activision Value\World Series of Poker TOC\WSOPTOC.exe"= "C:\Program Files\Mozilla Firefox\firefox.exe"= "D:\Program Files\Valve\Steam\Steam.exe"= "D:\Program Files\StreamerOne\StreamerOne.exe"= "C:\WINDOWS\System32\dpvsetup.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "D:\Program Files\Activision Value\WSOP 2008\WSOPBFTB.exe"= "D:\Program Files\Valve\Steam\steamapps\geckoben87@hotmail.com\counter-strike source\hl2.exe"= "D:\Program Files\Valve\Steam\steamapps\common\trackmania nations forever\TmForever.exe"= "C:\Program Files\uTorrent\uTorrent.exe"= "D:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "58854:TCP"= 58854:TCP:uTorrent "58854:UDP"= 58854:UDP:uToorent R2 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2004-07-16 16:22] R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2004-09-20 17:37] S3 int15.sys;int15.sys;C:\Program Files\acer\erecovery\int15.sys [2004-11-03 09:06] S3 PortRW;PortRW;C:\WINDOWS\system32\Drivers\PortRW.sys [2003-08-15 14:57] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fc5cd37e-0872-11dd-afb2-00016cc38cea}] \Shell\AutoRun\command - G:\LaunchU3.exe -a *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-21 14:48:59 Windows 5.1.2600 Service Pack 2 FAT NTAPI Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-05-21 14:49:22 ComboFix-quarantined-files.txt 2008-05-21 12:49:20 Pre-Run: 18,219,728,896 octets libres Post-Run: 18,210,717,696 octets libres 230 --- E O F --- 2008-05-21 10:52:47

Utilisateur anonyme · Answer

ok ré"x"cute toolcleaner stp

et envoi le rapport

Koma. · Answer

Voilà -->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\MqKs_-\Bureau\ComboFix.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\MqKs_-\Bureau\ComboFix.exe: supprimé !
C:\Qoobox: supprimé !

Utilisateur anonyme · Answer

Si tu es satisfait de mon intervention

et que tu n as plus de probleme 

change le statut du sujet en résolu stp

pour cela va en haut sur ta premiere question et la tu as le choix

Koma. · Answer

On ne peut mieux satisfait merci de m'avoir consacré ta journée... Je vais relancé une petite analyse antivirus pour être sur ;) 

Merci et bonne continuation

Utilisateur anonyme · Answer

DE rien ciao 

merci a cyrill aussi

Utilisateur anonyme · Answer

De rien aussi  ;)

Par contre faudrais créer un nouveau point de restauration.

||            ||              ||
\/            \/              \/


Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la, ce qui créer un point de restauration sain...

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique patiente jusqu’à ce que cela soit marqué "désactivé" puis Ok.

Activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Applique attends que cela soit à nouveau sur "surveillance" puis Ok. Redémarre l'ordinateur.


Bon surf'

Koma. · Answer

Merci à vious deux, bonne journée ;)

TR/Crypt.XPACK.Gen

49 réponses

Discussions similaires