Message d'erreur Dll au démarrage après virus

Résolu
DjCoX59 Messages postés 82 Statut Membre -  
 peps91 -
Bonjour,
j'ai deux messages d'erreur qui s'affiche au démarrage concernant 2 fichiers .dll
Je précise que j'avais des pages internet pour des jeux vidéos qui se lançaient toutes seules et que j'ai fait une analyse Norton qui m'a supprimé le virus W32.rajump et un tracking Cookie,
Ensuite lorsque je faisais une recherche sur google, la page restait en chargement mais ne s'affichait jamais alors que d'autres sites fonctionnaient.
Depuis j'ai fait le FixRajump pris sur le site norton mais qui n'a détecté aucune trace du virus (j'ai fait le fix après l'analyse norton qui avait déja supprimé le virus)
Les deux messages d'erreur sont identiques et concernent 2 dll : opnnmLBs.dll et bOYfdaYr.dll
les messages me disent que ces Dll sont introuvables dans mon fichiers : C:\Users\Julien\AppData\Local\Temp
je pensais que les Dll avaient été effacés alors j'ai essayé de les télécharger sur un site fournissant des Dll mais ils n'existent pas!
je voudrais savoir si quelqu'un a une piste
je précise que google refonctionne normalement depuis sans avoir fait quelquechose(mise à part le FixRajump mais je vois pas trop le rapport puisqu'il n'a rien trouvé)
merci pour vos réponses
Configuration: Windows Vista
Internet Explorer 7.0

46 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Des messages d'erreur au démarrage signalent l'absence de deux fichiers DLL, opnnmLBs.dll et bOYfdaYr.dll, considérés introuvables dans le dossier temporaire C:\Users\Julien\AppData\Local\Temp, après une suspicion de malware W32.rajump et d'un cookie de suivi. Plusieurs guides recommandent un balayage avec ComboFix et HijackThis pour diagnostiquer et nettoyer les infections, en désactivant temporairement l'antivirus, puis en générant un rapport complet. D'autres conseils suggèrent de déconnecter Internet puis de suivre les instructions du forum et d'analyser les rapports pour vérifier les traces, en testant des outils comme OTMoveIt. D'autres éléments montrent que des outils comme ComboFix et OTMoveIt peuvent générer des rapports volumineux et nécessiter plusieurs redémarrages pour finaliser la désinfection et assurer la suppression complète des traces résiduelles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Dlcox

    fais ça :

    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    2
  2. Utilisateur anonyme
     
    salut

    A mon avis tu avais un programme infecté

    norton a supprimé les fichiés infecté du rogrammes mais le dit programme est present et veut demarrer d ou le message

    faudrait donc virer ce programme
    0
  3. totobetourne Messages postés 5677 Statut Membre 65
     
    telecharge cela

    http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    installe le dans c\programme file\trend micro\scanner.exe mais avant renomme le scanner au lieu de hijack this pour contrer infection vundo.
    lance le clique sur do a san and save a logfile(si il te met qu il ne peut pas tout effectuer pour une certaine raison alors relance le avec un clique droit et donne lui les proprietes d administrateurs)
    tu vas obtenir un rapport que tu colles.

    ne cherche pas a telecharger les dll.
    0
  4. DjCoX59 Messages postés 82 Statut Membre
     
    voici le rapport (au passage google ne remarche plus)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 02:10:36, on 29/05/2008
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18000)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
    C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\System32\rundll32.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
    C:\Program Files\Internet Explorer\ieuser.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil9b.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Program Files\Trend Micro\scanner.exe\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: Afficher Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
    O4 - HKLM\..\Run: [MSPService] C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
    O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Julien\AppData\Local\Temp\bYOfdaYr.dll,#1
    O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Julien\AppData\Local\Temp\opnnmLBs.dll,c
    O4 - HKCU\..\Run: [7ce6383e] rundll32.exe "C:\Users\Julien\AppData\Local\Temp\mxaanvdj.dll",b
    O4 - HKCU\..\Run: [BM7fd50ba2] Rundll32.exe "C:\Users\Julien\AppData\Local\Temp\tuubxmlu.dll",s
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: ccEvtMgr - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: ccSetMgr - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
    O23 - Service: Start BT in service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
    O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. DjCoX59 Messages postés 82 Statut Membre
     
    si ça peut aider, j'ai remarqué que les 2dll apaaraissent sur le rapport

    O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Julien\AppData\Local\Temp\bYOfdaYr.dll,#1
    O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Julien\AppData\Local\Temp\opnnmLBs.dll,c
    0
  7. Utilisateur anonyme
     
    on ne fixe pas les lignes lignes infecté ..........!!!!!!!!!
    0
  8. DjCoX59 Messages postés 82 Statut Membre
     
    t'inquiète j'ai rien touché
    merci pour votre aide
    0
  9. DjCoX59 Messages postés 82 Statut Membre
     
    voici le rapport (j'ai oublié de désactivé norton mais apparement ça a fonctionné)

    ComboFix 08-05-28.4 - Julien 2008-05-29 2:27:26.1 - NTFSx86
    Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.2050 [GMT 2:00]
    Endroit: C:\Users\Julien\Documents\Logiciels\ComboFix.exe
    * Création d'un nouveau point de restauration
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\ProgramData\Microsoft\Network\Downloader\qmgr0.dat
    C:\ProgramData\Microsoft\Network\Downloader\qmgr1.dat

    ----- BITS: Possible sites infectés -----

    hxxp://rad.msn.com
    hxxp://ads.msn.com
    hxxp://ads1.msn.com
    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-04-28 to 2008-05-29 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-29 02:09 . 2008-05-29 02:09 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-29 00:01 . 2008-05-29 00:01 <REP> d-------- C:\PerfLogs
    2008-05-28 23:17 . 2008-01-19 09:43 3,600,440 --a------ C:\Windows\System32\ntkrnlpa.exe
    2008-05-28 23:17 . 2008-01-19 09:43 3,548,728 --a------ C:\Windows\System32\ntoskrnl.exe
    2008-05-28 23:17 . 2008-01-19 09:33 2,623,488 --a------ C:\Windows\System32\SLsvc.exe
    2008-05-28 23:17 . 2008-01-19 09:36 1,541,120 --a------ C:\Windows\System32\onex.dll
    2008-05-28 23:17 . 2008-01-19 09:29 705,536 --a------ C:\Windows\System32\imagesp1.dll
    2008-05-28 23:17 . 2008-01-19 09:42 51,768 --a------ C:\Windows\System32\PSHED.DLL
    2008-05-28 23:15 . 2008-01-19 05:12 3,662,296 --a------ C:\Windows\System32\locale.nls
    2008-05-28 23:14 . 2008-01-19 09:35 9,847,296 --a------ C:\Windows\System32\NlsData000a.dll
    2008-05-28 23:13 . 2008-01-19 09:33 8,139,264 --a------ C:\Windows\System32\ssBranded.scr
    2008-05-28 23:12 . 2008-01-19 09:35 3,072,000 --a------ C:\Windows\System32\networkmap.dll
    2008-05-28 23:11 . 2008-01-19 09:34 6,103,040 --a------ C:\Windows\System32\chtbrkr.dll
    2008-05-28 23:10 . 2008-01-19 08:06 8,147,456 --a------ C:\Windows\System32\wmploc.DLL
    2008-05-28 23:08 . 2008-01-19 09:36 357,888 --a------ C:\Windows\System32\wbemcomn.dll
    2008-05-28 23:07 . 2008-01-19 09:36 704,512 --a------ C:\Windows\System32\SmiEngine.dll
    2008-05-28 23:07 . 2008-01-19 09:36 218,624 --a------ C:\Windows\System32\wdscore.dll
    2008-05-28 23:07 . 2008-01-19 09:36 139,264 --a------ C:\Windows\System32\SmiInstaller.dll
    2008-05-28 23:07 . 2008-01-19 09:33 130,560 --a------ C:\Windows\System32\PkgMgr.exe
    2008-05-28 23:05 . 2008-01-19 09:34 305,152 --a------ C:\Windows\System32\msdelta.dll
    2008-05-28 23:05 . 2008-01-19 09:34 258,560 --a------ C:\Windows\System32\dpx.dll
    2008-05-28 23:05 . 2008-01-19 09:34 246,784 --a------ C:\Windows\System32\drvstore.dll
    2008-05-28 23:05 . 2008-01-19 09:35 35,328 --a------ C:\Windows\System32\mspatcha.dll
    2008-05-28 23:04 . 2006-11-02 11:39 6,656 --a------ C:\Windows\System32\kbd106.dll
    2008-05-28 22:08 . 2008-03-08 04:08 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
    2008-05-28 22:08 . 2008-03-08 06:21 1,695,744 --a------ C:\Windows\System32\gameux.dll
    2008-05-10 22:13 . 2008-05-26 23:24 <REP> d-------- C:\Users\Julien\Zero G Registry
    2008-05-10 22:01 . 2008-05-10 22:02 <REP> d-a------ C:\Users\All Users\TEMP
    2008-05-10 22:01 . 2008-05-10 22:02 <REP> d-a------ C:\ProgramData\TEMP
    2008-05-10 22:01 . 2008-05-10 22:04 <REP> d-------- C:\Program Files\Any Video Converter Professional
    2008-05-10 21:46 . 2008-05-10 21:46 <REP> d-------- C:\3gptemp
    2008-05-10 21:45 . 2008-05-10 21:45 <REP> d-------- C:\Program Files\MIKSOFT
    2008-05-10 21:33 . 2008-05-10 21:54 <REP> d-------- C:\Users\Julien\.smplayer
    2008-05-09 21:45 . 2008-05-09 21:45 <REP> d-------- C:\Program Files\VstPlugins
    2008-05-09 21:45 . 2002-07-08 00:14 1,294,336 --a------ C:\Windows\System32\vorbis.acm
    2008-05-09 21:45 . 2006-06-20 10:56 225,280 --a------ C:\Windows\System32\rewire.dll
    2008-05-09 21:44 . 2008-05-09 21:45 <REP> d-------- C:\Program Files\Image-Line

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-28 22:12 174 --sha-w C:\Program Files\desktop.ini
    2008-05-28 22:03 --------- d-----w C:\Program Files\Windows Sidebar
    2008-05-28 22:03 --------- d-----w C:\Program Files\Windows Photo Gallery
    2008-05-28 22:03 --------- d-----w C:\Program Files\Windows Mail
    2008-05-28 22:03 --------- d-----w C:\Program Files\Windows Journal
    2008-05-28 22:03 --------- d-----w C:\Program Files\Windows Defender
    2008-05-28 22:03 --------- d-----w C:\Program Files\Windows Collaboration
    2008-05-28 22:03 --------- d-----w C:\Program Files\Windows Calendar
    2008-05-28 21:58 --------- d-----w C:\ProgramData\NVIDIA
    2008-05-28 21:44 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
    2008-05-28 21:43 82,432 ----a-w C:\Windows\System32\axaltocm.dll
    2008-05-26 23:00 --------- d-----w C:\ProgramData\Microsoft Help
    2008-05-26 22:41 --------- d-----w C:\ProgramData\Symantec
    2008-05-25 22:45 27,430 ----a-w C:\Users\Julien\AppData\Roaming\nvModes.dat
    2008-05-05 08:23 --------- d-----w C:\Program Files\CONEXANT
    2008-04-16 00:05 --------- d-----w C:\ProgramData\Bluetooth
    2008-04-12 11:44 --------- d-----w C:\ProgramData\Roxio
    2008-04-02 00:38 --------- d-----w C:\Program Files\GOA
    2008-04-01 23:57 --------- d-----w C:\Program Files\Common Files\INCA Shared
    2008-04-01 23:47 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-03-31 13:43 --------- d-----w C:\Program Files\Audacity
    2008-03-28 22:35 --------- d-----w C:\Program Files\eMule
    2008-03-17 23:44 0 ----a-w C:\Users\Julien\AppData\Roaming\wklnhst.dat
    2008-03-08 04:19 540,672 ----a-w C:\Windows\AppPatch\AcLayers.dll
    2008-03-08 04:19 458,752 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
    2008-03-08 04:19 2,153,984 ----a-w C:\Windows\AppPatch\AcGenral.dll
    2008-03-08 04:19 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
    2008-03-08 01:58 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
    2008-03-04 00:34 2,125,312 ----a-w C:\Windows\System32\CnxtAp32.dll
    2008-02-29 07:14 19,000 ----a-w C:\Windows\System32\kd1394.dll
    2008-02-29 07:11 988,216 ----a-w C:\Windows\System32\winload.exe
    2008-02-29 07:11 927,288 ----a-w C:\Windows\System32\winresume.exe
    2008-02-29 06:53 46,592 ----a-w C:\Windows\System32\setbcdlocale.dll
    2008-02-29 06:53 40,960 ----a-w C:\Windows\System32\srclient.dll
    2008-02-29 06:53 378,368 ----a-w C:\Windows\System32\srcore.dll
    2008-02-29 06:35 6,656 ----a-w C:\Windows\System32\kbd106n.dll
    2008-02-29 04:21 2,032,128 ----a-w C:\Windows\System32\win32k.sys
    2008-02-29 04:12 318,464 ----a-w C:\Windows\System32\rstrui.exe
    2008-02-29 04:12 14,848 ----a-w C:\Windows\System32\srdelayed.exe
    .

    ------- Sigcheck -------

    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "JMB36X IDE Setup"="C:\Windows\RaidTool\xInsIDE.exe" [2007-03-20 23:36 36864]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-24 00:40 857648]
    "RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
    "MSPService"="C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe" [2007-06-12 23:36 102400]
    "ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
    "toolbar_eula_launcher"="C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 18:20 28672]
    "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 14:00 174872]
    "Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
    "TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-03-15 14:04 185896]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
    "NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-08-16 22:19 86016]
    "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-08-16 22:19 8478720]
    "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-08-16 22:19 81920]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.mkdmp3enc"= C:\PROGRA~1\CYBERL~1\MAGICS~1\Kernel\Burner\MKDMP3Enc.ACM

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
    "{81A4C2FB-17A9-4AC1-A24B-DC4CA25B219F}"= C:\Program Files\CyberLink\MagicSports\MagicSports.exe:CyberLink MagicSports
    "{8CFAF2DD-D6B4-41E9-B373-1C6B49139173}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
    "{E49364BE-2EBE-4F8B-B6E0-32A40E432BA8}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
    "{929C4C3D-F3AA-406F-AE11-B4813673C390}"= UDP:C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
    "{744002B6-31D5-41D5-BC68-7EFDD9B17D83}"= TCP:C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe:BlueSoleil
    "{14AA4B1F-0F42-4523-8C25-B3570F840809}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
    "EnableFirewall"= 0 (0x0)

    R1 IDSvix86;Symantec Intrusion Prevention Driver;C:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20080528.003\IDSvix86.sys [2008-03-11 23:36]
    R3 CnxtHdAudService;Conexant UAA Function Driver for High Definition Audio Service;C:\Windows\system32\drivers\CHDRT32.sys [2008-03-04 02:32]
    R3 itecir;ITECIR Infrared Receiver;C:\Windows\system32\DRIVERS\itecir.sys [2007-01-08 13:38]
    R3 SYMNDISV;SYMNDISV;C:\Windows\system32\Drivers\SYMNDISV.SYS [2007-01-09 23:32]
    R3 yukonwlh;NDIS6.0 Miniport Driver for Marvell Yukon Ethernet Controller;C:\Windows\system32\DRIVERS\yk60x86.sys [2007-12-06 10:51]
    S3 Start BT in service;Start BT in service;C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [2007-04-26 09:22]

    *Newly Created Service* - CATCHME
    *Newly Created Service* - COMHOST
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-05-28 20:05:22 C:\Windows\Tasks\User_Feed_Synchronization-{A5EEE394-80C9-447C-9E76-85D37FE47A9F}.job"
    - C:\Windows\system32\msfeedssync.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-29 02:29:40
    Windows 6.0.6001 Service Pack 1 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-29 2:30:27
    ComboFix-quarantined-files.txt 2008-05-29 00:30:22

    Pre-Run: 80,722,632,704 octets libres
    Post-Run: 80,690,638,848 octets libres

    168 --- E O F --- 2008-05-28 21:46:17
    0
  10. Utilisateur anonyme
     
    ok

    1) ton fichier host est infecté :

    telecharge zeb retore :

    http://telechargement.zebulon.fr/zeb-restore.html

    dezippe le

    fais un clic droit sur zeb retore (la roue dentelé)

    choisi executer en tant qu administrateur

    coches fichier hosts

    clic sur retaurer

    ensuite refais un scan hijackthis et envoi le moi stp

    j en ai besoin pour la suite de combofix
    0
  11. DjCoX59 Messages postés 82 Statut Membre
     
    voici le rapport hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 02:43:07, on 29/05/2008
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18000)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
    C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\notepad.exe
    C:\Windows\Explorer.exe
    C:\Program Files\Internet Explorer\ieuser.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\scanner.exe\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
    O4 - HKLM\..\Run: [MSPService] C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
    O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
    O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
    O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
    O13 - Gopher Prefix:
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: ccEvtMgr - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: ccSetMgr - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
    O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
    O23 - Service: Start BT in service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
    O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
    O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    0
  12. Utilisateur anonyme
     
    ok j eregarde tout et je e dis la suite soit patient
    0
  13. Utilisateur anonyme
     
    bon combofix a fais du bon boulot

    tu connais ce programmes :

    C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

    ????
    0
  14. DjCoX59 Messages postés 82 Statut Membre
     
    oui, c'était un truc installé d'origine sur le pc quand je l'ai acheté, c'est des logiciels qu'on te bourre d'office sur ton pc comme ça t'a plus qu'à faire le nettoyage une fois arrivé chez toi la première fois que tu démarre l'ordi, il me semble l'avoir désinstallé mais si ya moyen de le virer complétement , fais signe
    0
  15. SPAGGIARIDZ Messages postés 14 Statut Membre
     
    salam
    panique pas trop
    écoute va o menu demmaré +executé apres tape :sfc /scannow
    n oublie pas espace entre sfc é slash
    bonne chance
    SPAGGIARIDZ
    0
  16. DjCoX59 Messages postés 82 Statut Membre
     
    est-ce que je peux essayer de redémarrer l'ordi pour voir si j'ai encore les messages ou y-a-t-il encore des manips à faire?
    un grand UP pour toi chiquitine29 ;-)
    0
  17. DjCoX59 Messages postés 82 Statut Membre
     
    à quoi va servir cette manip

    salam
    panique pas trop
    écoute va o menu demmaré +executé apres tape :sfc /scannow
    n oublie pas espace entre sfc é slash
    0
    1. SPAGGIARIDZ Messages postés 14 Statut Membre
       
      tu m érite pas de dire salam ...
      chui la pour aidé des gens pas pour que tu fé commontaire sur salam ou salut pour c pareille va cherché le mo kifkif o dic
      0
  18. SPAGGIARIDZ Messages postés 14 Statut Membre
     
    NON EXECUTE SEUL LA COMMANDE COM J T2 DIT APRES LAISSE LE SCAN JUSQU A LA FIN APRES SI YA DES DLL MANQUANT IL VA TE DEMAND2 D INSéré LE CD WINXP TU LE MET APRES TOUTES é BON.
    0
  19. Utilisateur anonyme
     
    Copie le texte ci-dessous :

    File::
    C:\3gptemp
    C:\Users\Julien\AppData\Roaming\wklnhst.dat
    C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe
    C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

    Folder::
    C:\Program Files\CyberLink\MagicSports
    C:\Program Files\Packard Bell\GOOGLE_EULA

    Registry::
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "JMB36X IDE Setup"=-
    "SynTPEnh"=-
    "RoxWatchTray"=-
    "MSPService"=-
    "ccApp"=-
    "toolbar_eula_launcher"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableUIADesktopToggle"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.mkdmp3enc"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=-
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
    "EnableFirewall"=-

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.
    0
  20. DjCoX59 Messages postés 82 Statut Membre
     
    apparement les Dll appartenaient au logiciel frauduleux donc je n'ai pas de Dll manquant si j'ai bien compris donc je n'ai pas besoin de faire le scan pour savoir s'il en manque?
    (enfin je dis ça mais si je suis là ç'est que j'y connais rien .... non?)
    0
  • 1
  • 2
  • 3