Bonjour, J'ai un virus que NOD32 n'arrive pas à supprimer. je ne peux quasimen plus aller sur internet, et quand j'y arrive j'ai des pop-up de Viruseffaceur.com, libresytem.com... Je ne sais paquoi faire, j'ai fait un scan eset en ligne, il ne trouve rien. Merci pour vos conseils

Win32/adware. virtumondeapplication [Résolu]

Réponse 1 / 11

yoshisha
29 mai 2008 à 13:43

s'il vous plait j'ai vraimentbesoin d'un coup de main!!

Réponse 2 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
29 mai 2008 à 13:59

1/télécharge et installe le logiciel Hijack This
https://www.pcastuces.com/logitheque/hijackthis.htm
tuto pour l’utiliser
regarde ici c'est parfaitement expliqué en images
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

2/télécharge MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le

3/ Télécharge : - Ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur

Redémarre en mode sans échec, copie ou imprime ce qui suit car tu n'auras pas accès à Internet

4/ lance Ccleaner , nettoyeur, et supprime tout ce qu'il trouve
Lance Ccleaner, erreurs, et répare ce qu’il trouve. Accepte les sauvegardes !

5/ lance MalwareByte
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen
Clique sur Enregistrer le rapport et choisis ton Bureau

6/ lance Hijack This et poste le rapport

poste les rapports demandés
MalwareByte
Hijack This

yoshisha
29 mai 2008 à 21:01

Bonjour, j'ai fait tout ce que vous m'avez dit. voici les rapports:Malwarebytes' Anti-Malware 1.12
Version de la base de données: 797

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 76356
Temps écoulé: 1 hour(s), 56 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\iifFvTjI.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mlJBUOgG.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5a733c2e-48c7-4e7e-91c7-64565cecf3cb} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5a733c2e-48c7-4e7e-91c7-64565cecf3cb} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mljbuogg (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{54018e98-10e3-46c6-9673-2999253f9c65} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM574ae313 (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffvtji -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\iiffvtji

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:58, on 29/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ecosia.org?ref=ethicle
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKLM\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [BM574ae313] Rundll32.exe "C:\WINDOWS\system32\vywyeexg.dll",s
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.secuser.com
O15 - Trusted Zone: http://www.trendsecure.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Réponse 3 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
29 mai 2008 à 21:07

pour commencer je lis "no action taken"
as tu supprimé tout ce qu'a trouvé MalwareByte.
si oui c'est bon si non tu recommences et tu supprimes tout ce qu'il trouve
ensuite tu me postes un rapport hijack this mode normal

yoshisha
29 mai 2008 à 21:26

Cette fois j'ai supprimé les fichiers repérés par malware
voici le rapport hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:29, on 29/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ecosia.org?ref=ethicle
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: {4b7b0cc7-4dc3-e9eb-e2e4-38e63798391f} - {f1938973-6e83-4e2e-be9e-3cd47cc0b7b4} - C:\WINDOWS\system32\gqgfjbcv.dll
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKLM\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [BM574ae313] Rundll32.exe "C:\WINDOWS\system32\vywyeexg.dll",s
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.secuser.com
O15 - Trusted Zone: http://www.trendsecure.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

yoshisha
29 mai 2008 à 21:50

que dois je faire?

Réponse 4 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 mai 2008 à 08:00

grosse journée de travail hier, je ne suis pas resté tard...
pas mal infecté encore!
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
***Si le lien ne fonctionne pas, essaie celui-ci :
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\).
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
· Redémarre ton ordinateur
· Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (F5 sur certains PC), une pression par seconde.
· A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
· Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
· Choisis ton compte.
Déroule la liste des instructions ci-dessous :
· Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
· Appuie sur Y pour commencer le processus de nettoyage.
· Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
· Appuie sur une touche pour redémarrer le PC.
· Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
· Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
· Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
· Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
· Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

yoshisha
30 mai 2008 à 09:57

J'ai téléchargé plusieurs SDFix et NOD32 me le signale, le met en quarantaine. J'ai essayé de désactiver l'antivirus, je le télécharge, mais quand je clique sur le fichier SDFix.exe, une fenêtre s'affiche et me dit que le fichier n'est pas une application win32 valide. que dois-je faire?

Réponse 5 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 mai 2008 à 10:50

on va faire autrement
Télécharge ComboFix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel officiel de ComboFix, afin de l’utiliser correctement
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
Voir ici comment désactiver tes protections
https://forum.pcastuces.com/default.asp
Double clique sur ComboFix.exe (ComboFix)
Tape 1 puis tape sur Entrée
A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

yoshisha
30 mai 2008 à 12:12

ComboFix 08-05-29.1 - Administrateur 2008-05-30 12:01:32.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.255 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
* Resident AV is active

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BM574ae313.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cepcdepo.dll
C:\WINDOWS\system32\gqgfjbcv.dll
C:\WINDOWS\system32\hcfxyfye.dll
C:\WINDOWS\system32\iifFvTjI.dll
C:\WINDOWS\system32\IjTvFfii.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJBUOgG.dll
C:\WINDOWS\system32\pskill.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-28 to 2008-05-30 ))))))))))))))))))))))))))))))))))))
.

2008-05-29 18:34 . 2008-05-29 19:54 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-29 18:05 . 2008-05-29 18:05 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-29 18:05 . 2008-05-29 18:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-29 18:05 . 2008-05-29 18:05 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-05-29 18:05 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-29 18:05 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-17 21:35 . 2008-05-30 09:03 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\FileZilla
2008-05-17 21:34 . 2008-05-17 21:34 <REP> d-------- C:\Program Files\FileZilla FTP Client
2008-05-13 03:50 . 2008-05-13 03:50 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-05-13 03:49 . 2008-05-13 03:49 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-06 11:38 . 2008-05-06 11:33 19,918 --------- C:\WINDOWS\HPHins02.dat.temp
2008-05-06 11:38 . 2004-05-24 15:40 4,308 --------- C:\WINDOWS\hphmdl02.dat.temp
2008-05-06 11:01 . 2003-12-11 11:15 1,230,336 -ra------ C:\WINDOWS\system32\MSXML4.dll
2008-05-06 11:01 . 2003-12-11 11:15 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2008-05-06 11:01 . 2003-12-11 11:15 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2008-05-06 11:01 . 2003-12-11 11:15 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2008-05-06 11:01 . 2003-12-11 11:15 82,432 -ra------ C:\WINDOWS\system32\MSXML4r.dll
2008-05-06 11:01 . 2003-12-11 11:15 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2008-05-06 10:57 . 2008-05-06 11:01 <REP> d-------- C:\Program Files\HP
2008-05-06 10:57 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-05-06 10:57 . 2004-03-18 16:53 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2008-05-06 10:57 . 2004-03-18 16:56 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2008-05-06 10:57 . 2004-03-18 16:39 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2008-05-06 10:57 . 2004-03-18 16:55 65,536 --a------ C:\WINDOWS\system32\HPZipm12.exe
2008-05-06 10:57 . 2004-03-18 16:38 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2008-05-06 10:57 . 2004-03-18 16:39 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2008-05-06 10:50 . 2004-03-18 13:22 51,088 -ra------ C:\WINDOWS\system32\drivers\hpzid412.sys
2008-05-06 10:50 . 2004-03-18 13:22 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-05-06 10:40 . 2008-05-18 17:40 <REP> d-------- C:\Program Files\Hewlett-Packard
2008-05-06 10:33 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-05-06 10:33 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-01 19:20 . 2008-05-18 19:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-05-01 19:16 . 2008-05-01 19:16 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-04-23 18:46 . 2008-04-23 18:46 3,686,454 --a------ C:\WINDOWS\ACD Wallpaper.bmp
2008-04-22 09:09 . 2008-04-22 09:09 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
2008-04-22 09:09 . 2008-04-22 09:09 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2008-04-22 08:48 . 2008-04-22 08:48 <REP> d-------- C:\Program Files\MagicDisc
2008-04-22 08:48 . 2008-02-18 17:29 96,256 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys
2008-04-20 00:11 . 2008-04-20 00:11 <REP> d-------- C:\Program Files\Alcohol Soft
2008-04-19 13:45 . 2008-04-19 13:45 268 --ah----- C:\sqmdata19.sqm
2008-04-19 13:45 . 2008-04-19 13:45 244 --ah----- C:\sqmnoopt19.sqm
2008-04-19 10:53 . 2008-04-19 10:53 268 --ah----- C:\sqmdata18.sqm
2008-04-19 10:53 . 2008-04-19 10:53 244 --ah----- C:\sqmnoopt18.sqm
2008-04-17 22:23 . 2008-04-17 22:23 268 --ah----- C:\sqmdata17.sqm
2008-04-17 22:23 . 2008-04-17 22:23 244 --ah----- C:\sqmnoopt17.sqm
2008-04-15 23:57 . 2008-04-15 23:57 268 --ah----- C:\sqmdata16.sqm
2008-04-15 23:57 . 2008-04-15 23:57 244 --ah----- C:\sqmnoopt16.sqm
2008-04-12 23:35 . 2008-04-12 23:35 268 --ah----- C:\sqmdata15.sqm
2008-04-12 23:35 . 2008-04-12 23:35 244 --ah----- C:\sqmnoopt15.sqm
2008-04-12 18:19 . 2008-04-12 18:19 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 10:59 --------- d-----w C:\Program Files\ESET
2008-05-28 06:19 --------- d-----w C:\Program Files\EsetOnlineScanner
2008-05-27 17:02 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Azureus
2008-05-18 15:38 --------- d-----w C:\Program Files\DivX
2008-05-18 15:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\DivX
2008-05-18 14:26 --------- d-----w C:\Program Files\FreeUndelete
2008-05-01 17:16 --------- d-----w C:\Program Files\Java
2008-04-24 09:23 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-04-24 09:22 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-24 09:22 --------- d-----w C:\Program Files\Samsung
2008-04-21 17:03 --------- d-----w C:\Program Files\emule
2008-04-11 12:37 --------- d-----w C:\Program Files\Unlocker
2008-04-11 12:32 --------- d-----w C:\Program Files\CyberLink
2008-04-09 08:41 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-06 12:09 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-11-24 14:16 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-11-24 14:16 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
2007-11-24 14:16 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

------- Sigcheck -------

2007-10-26 00:27 636416 39ad2a0b2e445c2a9e2e48adbd03058f C:\WINDOWS\system32\user32.dll

2007-10-26 00:28 360576 bb4d3a8e6f7eb1d370bc4ad27ab23368 C:\WINDOWS\system32\drivers\tcpip.sys

2007-10-26 00:34 2201216 2455cf6cca7bdf1e47fcb17fa46022c1 C:\WINDOWS\system32\ntkrnlpa.exe

2007-10-26 00:28 2323968 f75f1a6d307f39239cc9e29989291ac2 C:\WINDOWS\system32\ntoskrnl.exe

2007-10-26 00:26 1016832 7a0adbfec6ab00f73edd829ff1709f0b C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TransBar"="C:\Program Files\TransBar\TransBar.exe" [2005-06-01 21:41 65536]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46 1460560]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55 5674352]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="C:\Program Files\VistaDriveStatus\vsdrv.exe" [2006-07-30 03:37 121089]
"VisualTaskTips"="C:\Program Files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 19:20 36352]
"LClock"="C:\Program Files\LClock\LClock.exe" [2004-09-19 20:27 65536]
"Taskix"="C:\Program Files\Taskix\Taskix32.exe" [2007-01-25 22:33 65536]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-11-24 17:37 949376]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 16:10 56928]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\Smtray.exe" [2002-06-26 18:36 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 15:41 49152]
"BM574ae313"="C:\WINDOWS\system32\vywyeexg.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"C:\\Program Files\\emule\\emule.exe"=
"C:\\Program Files\\K-Lite Codec Pack\\Media Player Classic\\mplayerc.exe"=

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\DRIVERS\SI3112r.sys [2007-02-01 16:50]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0abebe23-0ee0-11dd-83ff-000c6eb76f78}]
\Shell\AutoRun\command - G:\Autorun.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-30 12:06:21
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Program Files\VisualTaskTips\VttHooks.dll
-> ?:\WINDOWS\system32\msi.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\ESET\nod32krn.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\MagicDisc\MagicDisc.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-30 12:11:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-30 10:10:57

Pre-Run: 6,620,516,352 octets libres
Post-Run: 6,556,459,008 octets libres

209

yoshisha
30 mai 2008 à 12:15

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:15:19, on 30/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\VisualTaskTips\VisualTaskTips.exe
C:\Program Files\LClock\LClock.exe
C:\Program Files\Taskix\Taskix32.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\MagicDisc\MagicDisc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ecosia.org?ref=ethicle
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Vistadrv] C:\Program Files\VistaDriveStatus\vsdrv.exe
O4 - HKLM\..\Run: [VisualTaskTips] C:\Program Files\VisualTaskTips\VisualTaskTips.exe
O4 - HKLM\..\Run: [LClock] "C:\Program Files\LClock\LClock.exe"
O4 - HKLM\..\Run: [Taskix] C:\Program Files\Taskix\Taskix32.exe start
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [BM574ae313] Rundll32.exe "C:\WINDOWS\system32\vywyeexg.dll",s
O4 - HKCU\..\Run: [TransBar] C:\Program Files\TransBar\TransBar.exe /s
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O15 - Trusted Zone: http://www.secuser.com
O15 - Trusted Zone: http://www.trendsecure.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Réponse 6 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 mai 2008 à 14:19

Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
Sélectionne le texte suivant (Ctrl+A):

File::
c:\windows\system32\vywyeexg.dll
Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"BM574ae313"=-

Copie le texte sélectionné (CTRL+C).
Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
Colle le texte copié dans ce Bloc-notes (CTRL+V).
Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Laisse ComboFix travailler
Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le nettoyage n'est pas terminé.
Un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

Fais un Scan en ligne avec
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

NOTE: le Scan est à faire avec Internet Explorer
Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

On va te demander de télécharger des contrôles ActiveX, accepte.
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant

Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail.
Le Scan va commencer.

Reviens avec le rapport de Scan obtenu

yoshisha
30 mai 2008 à 14:49

ComboFix 08-05-29.1 - Administrateur 2008-05-30 14:35:58.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.109 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV is active

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
c:\windows\system32\vywyeexg.dll
.

((((((((((((((((((((((((((((( Fichiers créés 2008-04-28 to 2008-05-30 ))))))))))))))))))))))))))))))))))))
.

2008-05-29 18:34 . 2008-05-29 19:54 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-05-29 18:05 . 2008-05-29 18:05 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-29 18:05 . 2008-05-29 18:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-29 18:05 . 2008-05-29 18:05 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-05-29 18:05 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-29 18:05 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-17 21:35 . 2008-05-30 09:03 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\FileZilla
2008-05-17 21:34 . 2008-05-17 21:34 <REP> d-------- C:\Program Files\FileZilla FTP Client
2008-05-13 03:50 . 2008-05-13 03:50 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-05-13 03:49 . 2008-05-13 03:49 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-06 11:38 . 2008-05-06 11:33 19,918 --------- C:\WINDOWS\HPHins02.dat.temp
2008-05-06 11:38 . 2004-05-24 15:40 4,308 --------- C:\WINDOWS\hphmdl02.dat.temp
2008-05-06 11:01 . 2003-12-11 11:15 1,230,336 -ra------ C:\WINDOWS\system32\MSXML4.dll
2008-05-06 11:01 . 2003-12-11 11:15 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2008-05-06 11:01 . 2003-12-11 11:15 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2008-05-06 11:01 . 2003-12-11 11:15 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2008-05-06 11:01 . 2003-12-11 11:15 82,432 -ra------ C:\WINDOWS\system32\MSXML4r.dll
2008-05-06 11:01 . 2003-12-11 11:15 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2008-05-06 10:57 . 2008-05-06 11:01 <REP> d-------- C:\Program Files\HP
2008-05-06 10:57 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-05-06 10:57 . 2004-03-18 16:53 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2008-05-06 10:57 . 2004-03-18 16:56 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2008-05-06 10:57 . 2004-03-18 16:39 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2008-05-06 10:57 . 2004-03-18 16:55 65,536 --a------ C:\WINDOWS\system32\HPZipm12.exe
2008-05-06 10:57 . 2004-03-18 16:38 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2008-05-06 10:57 . 2004-03-18 16:39 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2008-05-06 10:50 . 2004-03-18 13:22 51,088 -ra------ C:\WINDOWS\system32\drivers\hpzid412.sys
2008-05-06 10:50 . 2004-03-18 13:22 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-05-06 10:40 . 2008-05-18 17:40 <REP> d-------- C:\Program Files\Hewlett-Packard
2008-05-06 10:33 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-05-06 10:33 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-01 19:20 . 2008-05-18 19:36 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org2
2008-05-01 19:16 . 2008-05-01 19:16 <REP> d-------- C:\Program Files\OpenOffice.org 2.4
2008-04-23 18:46 . 2008-04-23 18:46 3,686,454 --a------ C:\WINDOWS\ACD Wallpaper.bmp
2008-04-22 09:09 . 2008-04-22 09:09 368,640 --a------ C:\WINDOWS\system32\ReWire.dll
2008-04-22 09:09 . 2008-04-22 09:09 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2008-04-22 08:48 . 2008-04-22 08:48 <REP> d-------- C:\Program Files\MagicDisc
2008-04-22 08:48 . 2008-02-18 17:29 96,256 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys
2008-04-20 00:11 . 2008-04-20 00:11 <REP> d-------- C:\Program Files\Alcohol Soft
2008-04-19 13:45 . 2008-04-19 13:45 268 --ah----- C:\sqmdata19.sqm
2008-04-19 13:45 . 2008-04-19 13:45 244 --ah----- C:\sqmnoopt19.sqm
2008-04-19 10:53 . 2008-04-19 10:53 268 --ah----- C:\sqmdata18.sqm
2008-04-19 10:53 . 2008-04-19 10:53 244 --ah----- C:\sqmnoopt18.sqm
2008-04-17 22:23 . 2008-04-17 22:23 268 --ah----- C:\sqmdata17.sqm
2008-04-17 22:23 . 2008-04-17 22:23 244 --ah----- C:\sqmnoopt17.sqm
2008-04-15 23:57 . 2008-04-15 23:57 268 --ah----- C:\sqmdata16.sqm
2008-04-15 23:57 . 2008-04-15 23:57 244 --ah----- C:\sqmnoopt16.sqm
2008-04-12 23:35 . 2008-04-12 23:35 268 --ah----- C:\sqmdata15.sqm
2008-04-12 23:35 . 2008-04-12 23:35 244 --ah----- C:\sqmnoopt15.sqm
2008-04-12 18:19 . 2008-04-12 18:19 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 12:40 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\Azureus
2008-05-29 10:59 --------- d-----w C:\Program Files\ESET
2008-05-28 06:19 --------- d-----w C:\Program Files\EsetOnlineScanner
2008-05-18 15:38 --------- d-----w C:\Program Files\DivX
2008-05-18 15:35 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\DivX
2008-05-18 14:26 --------- d-----w C:\Program Files\FreeUndelete
2008-05-01 17:16 --------- d-----w C:\Program Files\Java
2008-04-24 09:23 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-04-24 09:22 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-24 09:22 --------- d-----w C:\Program Files\Samsung
2008-04-21 17:03 --------- d-----w C:\Program Files\emule
2008-04-11 12:37 --------- d-----w C:\Program Files\Unlocker
2008-04-11 12:32 --------- d-----w C:\Program Files\CyberLink
2008-04-09 08:41 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-02-06 12:09 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-11-24 14:16 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-11-24 14:16 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
2007-11-24 14:16 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

------- Sigcheck -------

2007-10-26 00:27 636416 39ad2a0b2e445c2a9e2e48adbd03058f C:\WINDOWS\system32\user32.dll

2007-10-26 00:28 360576 bb4d3a8e6f7eb1d370bc4ad27ab23368 C:\WINDOWS\system32\drivers\tcpip.sys

2007-10-26 00:34 2201216 2455cf6cca7bdf1e47fcb17fa46022c1 C:\WINDOWS\system32\ntkrnlpa.exe

2007-10-26 00:28 2323968 f75f1a6d307f39239cc9e29989291ac2 C:\WINDOWS\system32\ntoskrnl.exe

2007-10-26 00:26 1016832 7a0adbfec6ab00f73edd829ff1709f0b C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TransBar"="C:\Program Files\TransBar\TransBar.exe" [2005-06-01 21:41 65536]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46 1460560]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55 5674352]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vistadrv"="C:\Program Files\VistaDriveStatus\vsdrv.exe" [2006-07-30 03:37 121089]
"VisualTaskTips"="C:\Program Files\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 19:20 36352]
"LClock"="C:\Program Files\LClock\LClock.exe" [2004-09-19 20:27 65536]
"Taskix"="C:\Program Files\Taskix\Taskix32.exe" [2007-01-25 22:33 65536]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-11-24 17:37 949376]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 16:10 56928]
"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\Smtray.exe" [2002-06-26 18:36 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 15:41 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="regsvr32 /s /n /i:u shell32" []

C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\
MagicDisc.lnk - C:\Program Files\MagicDisc\MagicDisc.exe [2008-04-22 08:48:36 546816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"HideRunAsVerb"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"C:\\Program Files\\emule\\emule.exe"=
"C:\\Program Files\\K-Lite Codec Pack\\Media Player Classic\\mplayerc.exe"=

R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\DRIVERS\SI3112r.sys [2007-02-01 16:50]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0abebe23-0ee0-11dd-83ff-000c6eb76f78}]
\Shell\AutoRun\command - G:\Autorun.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-30 14:39:35
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\tangerinee@msn.com\SharingMetadata\Working\database_C054_79D6_5479_D020\$db_clean$ 0 bytes

Scan terminé avec succès
Les fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Program Files\VisualTaskTips\VttHooks.dll
-> ?:\WINDOWS\system32\msctfime.ime
.
Temps d'accomplissement: 2008-05-30 14:42:30
ComboFix-quarantined-files.txt 2008-05-30 12:41:55
ComboFix2.txt 2008-05-30 10:11:03

Pre-Run: 4,461,875,200 octets libres
Post-Run: 4,455,780,352 octets libres

192

Réponse 7 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 mai 2008 à 19:33

tu as fait le scan en ligne?
comment se comporte le PC?

yoshisha
3 juin 2008 à 10:10

Bonjour et désolée de répondre si tard, je n'étais pas chez moi ce week end.
Je fais actuellement le scan, assez long. Ca ne change rien au fonctionnement de l'ordi.
Est-ce que je dois mettre "nettoyer maintenant" à la fin du scan?
Merci d'avance.

yoshisha
3 juin 2008 à 10:20

Voici le rapport :
Tuesday, June 03, 2008 10:18:17 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 3/06/2008
Enregistrements dans la base antivirus Kaspersky : 733489

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\

Statistiques de l'analyse
Total d'objets analysés 48203
Nombre de virus trouvés 2
Nombre d'objets infectés 5 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:18:15

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\Administrateur\Application Data\Azureus\ipfilter.cache L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19627.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19628.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19629.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19630.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19631.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19632.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19633.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Application Data\Azureus\tmp\AZU19634.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\tangerinee@msn.com\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\tangerinee@msn.com\SharingMetadata\pending.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\tangerinee@msn.com\SharingMetadata\Working\database_C054_79D6_5479_D020\dfsr.db L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\tangerinee@msn.com\SharingMetadata\Working\database_C054_79D6_5479_D020\fsr.log L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\tangerinee@msn.com\SharingMetadata\Working\database_C054_79D6_5479_D020\fsrtmp.log L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Messenger\tangerinee@msn.com\SharingMetadata\Working\database_C054_79D6_5479_D020\tmp.edb L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\tangerinee@msn.com\real\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Application Data\Microsoft\Windows Live Contacts\tangerinee@msn.com\shadow\members.stg L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Historique\History.IE5\MSHist012008060320080604\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\hsperfdata_Administrateur\3656 L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF3A3D.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF3B79.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF8C56.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DF8C87.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFD2BC.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFD8D4.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temp\~DFDB3B.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080601-211237.log L'objet est verrouillé ignoré

C:\Program Files\ESET\cache\CACHE.NDB L'objet est verrouillé ignoré

C:\Program Files\ESET\infected\EK2YJAAA.NQF/Scripts.py2exe/__main__.py Infecté : Worm.Python.Lesta.a ignoré

C:\Program Files\ESET\infected\EK2YJAAA.NQF ZIP: infecté - 1 ignoré

C:\Program Files\ESET\infected\EK2YJAAA.NQF PE-Crypt.XorPE: infecté - 1 ignoré

C:\Program Files\ESET\logs\virlog.dat L'objet est verrouillé ignoré

C:\Program Files\ESET\logs\warnlog.dat L'objet est verrouillé ignoré

C:\QooBox\Quarantine\C\WINDOWS\system32\cepcdepo.dll.vir Infecté : Trojan-Downloader.Win32.ConHook.te ignoré

C:\QooBox\Quarantine\C\WINDOWS\system32\gqgfjbcv.dll.vir L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{72A13352-8C9A-48DF-AEE3-B57C69D6A443}\RP2\A0000005.dll Infecté : Trojan-Downloader.Win32.ConHook.te ignoré

C:\System Volume Information\_restore{72A13352-8C9A-48DF-AEE3-B57C69D6A443}\RP2\A0000006.dll L'objet est verrouillé ignoré

C:\System Volume Information\_restore{72A13352-8C9A-48DF-AEE3-B57C69D6A443}\RP3\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{72A13352-8C9A-48DF-AEE3-B57C69D6A443}\RP3\change.log L'objet est verrouillé ignoré

Analyse terminée.

Que dois je faire?

Réponse 8 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
3 juin 2008 à 10:25

vide ta quarantaine de Nod32

Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le Scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Désactive ta restauration
Clique droit sur poste de travail / propriétés / onglet « Restauration du système » / coche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
Réactive ta restauration
Clique droit sur poste de travail / propriétés / onglet « Restauration du système » / décoche la case désactiver la restauration, appliquer, OK
Redémarre ton PC

si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins Ccleaner ou
Télécharge : - Ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et Scanne ton PC avec une fois par semaine au moins...
MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le mets-le à jour
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen supprimer tout ce qu’il trouve
Clique sur Enregistrer le rapport et choisis ton Bureau

tu peux le coupler avec celui-ci
Spybot Search and Destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

et bon surf

Réponse 9 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
3 juin 2008 à 10:37

vide ta quarantaine de Nod32

Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le Scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Désactive ta restauration
Clique droit sur poste de travail / propriétés / onglet « Restauration du système » / coche la case désactiver la restauration, appliquer, OK
Redémarre ton PC
Réactive ta restauration
Clique droit sur poste de travail / propriétés / onglet « Restauration du système » / décoche la case désactiver la restauration, appliquer, OK
Redémarre ton PC

si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
conserve néanmoins Ccleaner ou
Télécharge : - Ccleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
Un tuto
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
et effectue le nettoyage tous les jours avant de couper le PC

installe ce logiciel très utile et Scanne ton PC avec une fois par semaine au moins...
MalwareByte
http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe-le mets-le à jour
Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
Sélectionne ton (tes) disques durs.
Lancer l'examen supprimer tout ce qu’il trouve
Clique sur Enregistrer le rapport et choisis ton Bureau

tu peux le coupler avec celui-ci
Spybot Search and Destroy
https://www.safer-networking.org/?page=download

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

et bon surf

Réponse 10 / 11

yoshisha
3 juin 2008 à 10:47

Merci de votre aide.
Si j'ai bien compris je suis débarrassée. J'avais posté le rapport Tcleaner mais apparemment ça n'a pas marché. Et je ne l'ai plus!
Ccleaner ne veut pas me supprimer ça :
ANALYSE COMPLETE - (0.408 secs)
------------------------------------------------------------------------------------------
0,38MB ont été supprimés. (Taille approximative)
------------------------------------------------------------------------------------------

Détails des fichiers à supprimer (Note: AUCUN fichier n'a pour l'instant été supprimé)
------------------------------------------------------------------------------------------
C:\Documents and Settings\Administrateur\Local Settings\Temp\swt-gdip-win32-3430.dll 76,00KB
C:\Documents and Settings\Administrateur\Local Settings\Temp\swt-win32-3430.dll 0,31MB
------------------------------------------------------------------------------------------

Sinon j'ai fait tout ce que vous m'avez dit.
Merci encore

yoshisha
3 juin 2008 à 10:48

Ah! et je ne sais pas comment vider les quarantaines de nod32?
merci

Réponse 11 / 11

papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
3 juin 2008 à 11:04

suis ce chemin et vide le dossier infected
C:\Program Files\ESET\infected==> vide ce dossier

yoshisha
3 juin 2008 à 11:53

c'est fait merci!!!

Win32/adware. virtumondeapplication

11 réponses

Discussions similaires