Worm.Win32.Netbooster ( important ) Résolu/Fermé

Question

Bonjour,
je suis nouveau sur le forum , voila ma premiere question esperant trouver des reponses !
je suis harcelé par les alertes intempestives : " VIRUS ALERT" ...
et la disparition de beaucoup de dossiers , icones , comme ( disque local c,d ) ( executer , tout les programmes ... )
je virus me demande d'installer un antivirus payant qui pourra m'aider , mais pourtant je vois que c'est un faux antivirus . mais le pire c'est que j'ai suivie beaucoup de methodes , parmi eux le logiciel SmitFraudFix mais le probleme que mon HP ( portable ) m'affiche une page bleu ( page d'erreur ) lorsque j veu redemarrer mon pc en mode sans echec , alors j'ai télécharger plusieurs antivirus , antispywares ... ( ex: kaspersky , avg antispyware ) mais en vain . 
Aidez moi S'il vous plait ! 

Anas .

jlpjlp · Answer

slt,



lance rogue remover 

pour info :
http://www.libellules.ch/dotclear/index.php?2006/11/29/1518-rogue-remover

pour telecharger :
https://www.01net.com/telecharger/ 
_____________

colle le rapport smitfraudfix option 1
______________



colle un rapport hijackthis 
 

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."

lilomarion · Answer

jlpjlp merci pour la réponse 
2min je te passera le rapport

lilomarion · Answer

Pour rogue remover 
il me dit que l'installation a été interrompu il faut faire une copie du log 


1)voila le rapport de smitfraudfix option 1 
SmitFraudFix v2.323


Rapport fait à 12:31:43,31, 06/06/2008
Executé à partir de C:\Documents and Settings\Homorapikus\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HPQ\Shared\hpqwmi.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
F:\SpyHunter v3.4.9 Security Suite(cracked)\spyhunterS.exe
C:\DOCUME~1\HOMORA~1\LOCALS~1\Temp\IXP000.TMP\_launcher.exe
F:\SpyHunter v3.4.9 Security Suite(cracked)\spyhunterS.exe
C:\DOCUME~1\HOMORA~1\LOCALS~1\Temp\IXP001.TMP\_launcher.exe
F:\SpyHunter v3.4.9 Security Suite(cracked)\spyhunterS.exe
C:\DOCUME~1\HOMORA~1\LOCALS~1\Temp\IXP002.TMP\_launcher.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Homorapikus


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Homorapikus\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HOMORA~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOCUME~1/HOMORA~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif"
"SubscribedURL"="file:///C:/DOCUME~1/HOMORA~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif"
"FriendlyName"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.217.0.12
DNS Server Search Order: 212.217.1.12

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer=212.217.0.12,212.217.1.12
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer=212.217.0.12,212.217.1.12
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer=212.217.0.12,212.217.1.12


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

2) voila le rapport de Hijackthis apres l'avoir renomée 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:43:04, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\HPQ\Shared\hpqwmi.exe
C:\WINDOWS\system32\wscntfy.exe
F:\SpyHunter v3.4.9 Security Suite(cracked)\spyhunterS.exe
C:\DOCUME~1\HOMORA~1\LOCALS~1\Temp\IXP000.TMP\_launcher.exe
F:\SpyHunter v3.4.9 Security Suite(cracked)\spyhunterS.exe
C:\DOCUME~1\HOMORA~1\LOCALS~1\Temp\IXP001.TMP\_launcher.exe
F:\SpyHunter v3.4.9 Security Suite(cracked)\spyhunterS.exe
C:\DOCUME~1\HOMORA~1\LOCALS~1\Temp\IXP002.TMP\_launcher.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: (no name) - {56C2F96A-004F-46AD-AA6A-747E0235430C} - (no file)
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [b07a1bce] rundll32.exe "C:\WINDOWS\system32\wpevgiat.dll",b
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ares] "D:\Program Files\ares galaxy\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Office10\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer = 212.217.0.12,212.217.1.12
O21 - SSODL: adgpfoxs - {8640A8AB-6AF0-4F62-8135-6240C5FFD9F8} - (no file)
O23 - Service: ahfP Service (ahfprog) - Unknown owner - C:\WINDOWS\system32\ahfp.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/HOMORA~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif

lilomarion · Answer

consernant RogueRemover 
voila je l'ai télécharger il fonctionne maintenant ( il n'a rien détécté ) 
alors c'est quoi la suite svp ?

jlpjlp · Answer

refais smitfraudfix en mode normal avec l'option 2

_________

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/...

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: (no name) - {56C2F96A-004F-46AD-AA6A-747E0235430C} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [b07a1bce] rundll32.exe "C:\WINDOWS\system32\wpevgiat.dll",b
O21 - SSODL: adgpfoxs - {8640A8AB-6AF0-4F62-8135-6240C5FFD9F8} - (no file)
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/HOMORA~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif 

___________________


utilise  pour supprimer tes traces 

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo 

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
___________________

télécharge OTMoveIt 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.  Ou sur  https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 

C:\WINDOWS\system32\wpevgiat.dll
C:\WINDOWS\eksplorasi.exe


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

______________________
vire ce qui est dans moved files en allant dans psote de travail puis C puis otmovit
_______________________

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 
déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
______________________

redemarre ton ordi recolle un hijakhcits et dis tes soucis actuels

lilomarion · Answer

merci pour la réponse 
mais le probleme c'est que mon pc ne veut pas redemarrer en mode sans echec ( lorsque je clique sur F8 et je choisis mode sans echec ) apres une page bleu qui s'affiche ( page d'erreur ) puis le pc redemarre en me demandant de choisir le mode

jlpjlp · Answer

j'ai mis justement de faire en mode normal et non sans echec!

lilomarion · Answer

d'accord c'est ce que je suis entrain de faire mercii

lilomarion · Answer

voila le log (cmd) entrain d'executer des commandes et m'a demandé le nettoyage du disque j'ai dit oui , et maintenant il le nettoie...

lilomarion · Answer

voila le deuxieme rapport :)


SmitFraudFix v2.323

Rapport fait à 13:39:31,32, 06/06/2008
Executé à partir de C:\Documents and Settings\Homorapikus\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.217.0.12
DNS Server Search Order: 212.217.1.12

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer=212.217.0.12,212.217.1.12
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer=212.217.0.12,212.217.1.12
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer=212.217.0.12,212.217.1.12


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

lilomarion · Answer

Puis j'ai fixé lignes sauf celle la
- O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/HOMORA~1/LOCALS~1/Temp/msohtml1/01/clip_image001.gif ( Il se trouve pas ) Et j'ai nettoyer le registre 3 fois avec Ccleaner

lilomarion · Answer

voila le résultat de : OTmoveit

DllUnregisterServer procedure not found in C:\WINDOWS\system32\wpevgiat.dll
C:\WINDOWS\system32\wpevgiat.dll NOT unregistered.
C:\WINDOWS\system32\wpevgiat.dll moved successfully.
File/Folder C:\WINDOWS\eksplorasi.exe not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06062008_140200

jlpjlp · Answer

ok fais le reste

lilomarion · Answer

dac je suis entrain de travaillez avec CamboFix :)
consernant ce dernier , lorsque'il a supprimer les fichiers et tt avant de me faire voir le rapport il m'a dit qu'il va redemarrer le pc apres le le redemarrage c'est affiché ( Compte -rendu en cours de préparation , ne lancez aucun programme tant que Cambofix n'est po fini ) c'est normal ?

lilomarion · Answer

Voila mon ami , voila le rapport de ComboFixx ComboFix 08-06-05.3 - Homorapikus 2008-06-06 14:38:56.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.149 [GMT 0:00] Endroit: C:\Documents and Settings\Homorapikus\Bureau\ComboFix.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Autorun.inf C:\Program Files\Antivirus 2008 PRO C:\Program Files\Antivirus 2008 PRO\vscan.tsi C:\Program Files\Antivirus 2008 PRO\zlib.dll C:\Program Files\pcast C:\Program Files\pcast\PodcastbarMini\itv.xml C:\Program Files\pcast\PodcastbarMini\pbmini.config.xml C:\Program Files\pcast\PodcastbarMini adio.xml C:\WINDOWS\autorun.inf C:\WINDOWS\svchost.exe C:\WINDOWS\svchost.ini C:\WINDOWS\system32\amvo.exe C:\WINDOWS\system32\amvo0.dll C:\WINDOWS\system32\fcccbbBr.dll C:\WINDOWS\system32\jkkJyATj.dll C:\WINDOWS\system32\LkjmlUvw.ini C:\WINDOWS\system32\LkjmlUvw.ini2 C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\opnopNfG.dll C:\WINDOWS\system32\pmnoOExY.dll C:\WINDOWS\system32 qRJCTmK.dll C:\WINDOWS\system32 aigvepw.ini C:\WINDOWS\system32 emp1.exe C:\WINDOWS\system32 emp2.exe C:\WINDOWS\system32\wvUkigEW.dll C:\WINDOWS\system32\wvUlmjkL.dll C:\WINDOWS\xcopy.exe D:\Autorun.inf D:\copy.exe D:\host.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Legacy_NWSAPAGENT -------\Service_NPF -------\Service_NwSapAgent ((((((((((((((((((((((((((((( Fichiers créés 2008-05-06 to 2008-06-06 )))))))))))))))))))))))))))))))))))) . 2008-06-06 14:06 . 2008-06-06 14:06 d-------- C:\_OTMoveIt 2008-06-06 12:55 . 2008-06-06 12:02 d-------- C:\Program Files\RogueRemover FREE 2008-06-06 12:31 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-06-06 10:45 . 2008-06-06 10:45 d-------- C:\Program Files\Enigma Software Group 2008-06-05 23:53 . 2008-06-05 23:53 d-------- C:\Program Files\CCleaner 2008-06-05 22:19 . 2008-04-13 15:45 102,954 -r-hs---- C:\uq9peya.bat 2008-06-05 21:35 . 2008-06-05 21:35 d-------- C:\Documents and Settings\Homorapikus\Application Data\Grisoft 2008-06-05 21:34 . 2008-06-05 21:34 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-06-05 21:34 . 2007-05-30 12:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2008-06-05 21:00 . 2008-06-06 13:41 2,380 --a------ C:\WINDOWS\system32 mp.reg 2008-06-05 20:59 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-06-05 20:59 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-06-05 20:59 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-06-05 20:59 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-06-05 20:59 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-06-05 20:59 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-06-05 20:59 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-06-05 20:57 . 2008-06-05 20:57 d-------- C:\Program Files\Trend Micro 2008-06-05 16:52 . 2008-06-05 09:36 94,208 --a------ C:\WINDOWS\eomf.exe 2008-06-05 16:51 . 2008-06-04 22:17 94,208 --a------ C:\WINDOWS\exmk.exe 2008-06-05 16:51 . 2008-06-04 22:17 81,920 --a------ C:\WINDOWS\xbqmfsed.exe 2008-06-03 16:47 . 2008-06-03 22:11 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-06-03 16:47 . 2008-06-03 22:11 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-06-03 16:46 . 2008-06-06 14:40 5,261,344 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-06-03 16:46 . 2008-06-06 14:22 74,360 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-06-03 16:46 . 2008-06-06 14:41 17,696 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-06-03 16:46 . 2008-06-06 14:22 3,416 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-06-03 16:34 . 2008-06-03 16:34 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-06-01 22:42 . 2008-06-06 14:30 268 --ah----- C:\sqmdata19.sqm 2008-06-01 22:42 . 2008-06-06 14:30 244 --ah----- C:\sqmnoopt19.sqm 2008-06-01 22:41 . 2008-06-06 11:26 268 --ah----- C:\sqmdata18.sqm 2008-06-01 22:41 . 2008-06-06 11:26 244 --ah----- C:\sqmnoopt18.sqm 2008-06-01 22:39 . 2008-06-05 23:45 268 --ah----- C:\sqmdata17.sqm 2008-06-01 22:39 . 2008-06-05 23:36 268 --ah----- C:\sqmdata16.sqm 2008-06-01 22:39 . 2008-06-05 23:45 244 --ah----- C:\sqmnoopt17.sqm 2008-06-01 22:39 . 2008-06-05 23:36 244 --ah----- C:\sqmnoopt16.sqm 2008-06-01 22:36 . 2008-06-05 21:33 268 --ah----- C:\sqmdata15.sqm 2008-06-01 22:36 . 2008-06-05 21:33 244 --ah----- C:\sqmnoopt15.sqm 2008-06-01 20:36 . 2008-06-05 21:11 268 --ah----- C:\sqmdata14.sqm 2008-06-01 20:36 . 2008-06-05 21:11 244 --ah----- C:\sqmnoopt14.sqm 2008-06-01 20:31 . 2008-06-05 20:14 268 --ah----- C:\sqmdata13.sqm 2008-06-01 20:31 . 2008-06-05 20:10 268 --ah----- C:\sqmdata12.sqm 2008-06-01 20:31 . 2008-06-05 20:14 244 --ah----- C:\sqmnoopt13.sqm 2008-06-01 20:31 . 2008-06-05 20:10 244 --ah----- C:\sqmnoopt12.sqm 2008-06-01 20:31 . 2008-06-05 12:37 244 --ah----- C:\sqmnoopt11.sqm 2008-06-01 20:31 . 2008-06-05 12:37 232 --ah----- C:\sqmdata11.sqm 2008-06-01 20:30 . 2008-06-05 12:36 244 --ah----- C:\sqmnoopt10.sqm 2008-06-01 20:30 . 2008-06-05 12:36 232 --ah----- C:\sqmdata10.sqm 2008-06-01 20:29 . 2008-06-04 22:01 268 --ah----- C:\sqmdata09.sqm 2008-06-01 20:29 . 2008-06-03 22:16 268 --ah----- C:\sqmdata08.sqm 2008-06-01 20:29 . 2008-06-04 22:01 244 --ah----- C:\sqmnoopt09.sqm 2008-06-01 20:29 . 2008-06-03 22:16 244 --ah----- C:\sqmnoopt08.sqm 2008-05-28 16:36 . 2008-05-28 16:36 d-------- C:\Documents and Settings\Homorapikus\Application Data\Deckadance 2008-05-28 14:05 . 2008-05-28 14:05 d-------- C:\Program Files\Outsim 2008-05-23 15:23 . 2008-05-23 15:23 12,988 --a------ C:\wordpress.pl 2008-05-23 14:54 . 2008-05-23 14:54 2,204 --a------ C:\4images.pl 2008-05-23 14:23 . 2008-05-23 14:26 d-------- C:\Perl 2008-05-19 20:24 . 2008-05-19 20:24 d-------- C:\Program Files\DragonSoft 2008-05-19 20:24 . 2008-05-19 20:24 d-------- C:\Program Files\Common files 2008-05-19 20:24 . 2003-12-04 16:07 696 --a------ C:\WINDOWS\system32\jetodbc.rsp 2008-05-13 13:52 . 2008-06-03 17:43 244 --ah----- C:\sqmnoopt07.sqm 2008-05-13 13:52 . 2008-06-03 17:43 232 --ah----- C:\sqmdata07.sqm 2008-05-11 12:42 . 2008-05-24 18:38 12,977 --a------ C:\Hotmail.html 2008-05-09 07:36 . 2008-06-03 16:44 268 --ah----- C:\sqmdata06.sqm 2008-05-09 07:36 . 2008-06-03 16:44 244 --ah----- C:\sqmnoopt06.sqm 2008-05-09 07:25 . 2008-06-03 16:05 268 --ah----- C:\sqmdata05.sqm 2008-05-09 07:25 . 2008-06-03 16:05 244 --ah----- C:\sqmnoopt05.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-06 11:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-06-05 23:59 --------- d-----w C:\Program Files\Yahoo! 2008-06-05 17:03 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-06-05 16:31 --------- d-----w C:\Documents and Settings\Homorapikus\Application Data\uTorrent 2008-06-03 22:12 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys 2008-06-03 16:46 --------- d-----w C:\Program Files\Kaspersky Lab 2008-05-28 14:14 --------- d-----w C:\Program Files\Image-Line 2008-05-23 15:48 --------- d-----w C:\Documents and Settings\Homorapikus\Application Data\Ahead 2008-05-11 13:28 --------- d-----w C:\Program Files\aMSN 2008-04-27 11:17 --------- d-----w C:\Program Files\MSN Messenger 2008-04-27 11:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-04-22 13:12 --------- d-----w C:\Program Files\Fichiers communs\Ahead 2008-04-22 13:09 --------- d-----w C:\Program Files\Nero 2008-04-11 15:26 --------- d-----w C:\Program Files\Pcsx2 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2007-10-08 16:44 106,168 ----a-w C:\Documents and Settings\Homorapikus\Application Data\GDIPFONTCACHEV1.DAT 2007-08-27 09:54 54,313 ----a-w C:\Program Files or-bundle-uninstall.exe 2006-02-11 00:41 26,657 ----a-w C:\Program Files\BUNDLE_LICENSE 2008-01-18 13:10 2 --shatr C:\WINDOWS\winstart.bat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-10-28 16:25 94208] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:59 204288] "ares"="D:\Program Files\ares galaxy\Ares\Ares.exe" [2006-03-13 02:35 1233408] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hpWirelessAssistant"="C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-01-21 13:40 790528] "IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-15 11:27 385024] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 09:25 6731312] "SpyHunter Security Suite"="C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-01-23 14:47 847872] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 12:00 15360] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-01-30 20:23:13 839680] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] C:\Program Files\Intel\Wireless\Bin\LgNotify.dll 2004-10-15 11:27 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DVD Check.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DVD Check.lnk backup=C:\WINDOWS\pss\DVD Check.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Homorapikus^Menu Démarrer^Programmes^Démarrage^CamTrack.lnk] path=C:\Documents and Settings\Homorapikus\Menu Démarrer\Programmes\Démarrage\CamTrack.lnk backup=C:\WINDOWS\pss\CamTrack.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^Homorapikus^Menu Démarrer^Programmes^Démarrage^Yahoo! Widget Engine.lnk] path=C:\Documents and Settings\Homorapikus\Menu Démarrer\Programmes\Démarrage\Yahoo! Widget Engine.lnk backup=C:\WINDOWS\pss\Yahoo! Widget Engine.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2007-10-10 19:51 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] -ra------ 2005-04-13 10:12 88209 C:\WINDOWS\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares] --a------ 2006-03-13 02:35 1233408 D:\Program Files\ares galaxy\Ares\Ares.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] --a------ 2006-09-25 09:12 90112 C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVP] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp] C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla] --a------ 2004-08-03 01:05 122939 C:\WINDOWS\system32\dla fswctrl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eabconfg.cpl] --a------ 2004-12-03 13:24 290816 C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPWJTOOLBOX] --a------ 2003-09-12 10:19 303104 C:\Program Files\Hewlett-Packard\hp business inkjet 2300 series\Toolbox\HPWJTBX.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1] --a------ 2004-08-05 12:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] D:\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Media Access] C:\Program Files\Media Access\MediaAccK.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 16:24 1694208 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\MsnMsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A] --a------ 2004-08-05 12:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync] --a------ 2004-08-05 12:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-02-16 10:54 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartKey] C:\WINDOWS\system32\Poeme.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-07-12 04:00 132496 C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TorCP] C:\Program Files\TorCP orcp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager] --a------ 2003-08-19 01:01 110592 C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vssms32] C:\WINDOWS\system32\vssms32.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog] --a------ 2004-12-08 18:44 184320 C:\Program Files\InterVideo\DVD Check\DVDCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] --------- 2006-11-03 09:59 204288 C:\Program Files\Windows Media Player\WMPNSCFG.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\uTorrent\uTorrent.exe"= "C:\Program Files\SopCast\SopCast.exe"= "C:\Program Files\SopCast\adv\SopAdver.exe"= "D:\Program Files\Pes 2008\PES2008.exe"= "D:\Program Files\ares galaxy\Ares\Ares.exe"= "C:\Program Files\TVUPlayer\TVUPlayer.exe"= "C:\WINDOWS\system32\dpnsvr.exe"= "D:\Program Files\Sopcast lekher\SopCast\SopCast.exe"= "D:\Program Files\Sopcast lekher\SopCast\adv\SopAdver.exe"= "C:\Program Files\aMSN\bin\wish.exe"= "C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\DragonSoft\DSS_Adv\Dss_WinNT.exe"= "C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 7.0.1.325\English\setup.exe"= "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"= R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] S0 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys [] S2 ahfprog;ahfP Service;C:\WINDOWS\system32\ahfp.exe [2007-09-16 14:54] S3 hfdrv;hfdrv;C:\WINDOWS\system32\hfdrv.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e912310-f4f1-11db-94fd-0015004e9c3a}] \Shell\Auto\command - sxs2.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs2.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{22c9305c-9372-11dc-957b-4d6564696130}] \Shell\AutoRun\command - F:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{29020761-3762-11dc-954f-0015004e9c3a}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{33e0492e-0b8b-11dc-9520-0015004e9c3a}] \Shell\Auto\command - F:\sxs2.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs2.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{49920335-f765-11db-9503-0015004e9c3a}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f455f79-27ca-11dc-9549-4d6564696130}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{698b795a-11c5-11dc-9527-4d6564696130}] \Shell\Auto\command - G:\sxs2.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs2.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7790fa98-e307-11dc-95a2-4d6564696130}] \Shell\AutoRun\command - F:\uq9peya.bat \Shell\explore\Command - F:\uq9peya.bat \Shell\open\Command - F:\uq9peya.bat [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9184dda9-5483-11dc-955d-4d6564696130}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a6bfc63b-0a9e-11dc-951d-0015004e9c3a}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e3de39f3-024e-11dc-950a-0015004e9c3a}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e49bded1-0ef6-11dc-9521-4d6564696130}] \Shell\AutoRun\command - RavMon.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ea617dbe-0157-11dc-9508-4d6564696130}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ff18b9ec-0af0-11dd-b693-4d6564696130}] \Shell\AutoRun\command - F:\uq9peya.bat \Shell\explore\Command - F:\uq9peya.bat \Shell\open\Command - F:\uq9peya.bat . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-04-07 09:34:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe "2008-06-06 10:55:13 C:\WINDOWS\Tasks\SpyHunter Scanner.job" - C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-06 14:41:23 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-06-06 14:47:26 ComboFix-quarantined-files.txt 2008-06-06 14:47:21 Pre-Run: 9,194,848,256 octets libres Post-Run: 9,071,624,192 octets libres 317 --- E O F --- 2008-05-16 07:13:42

lilomarion · Answer

voila le dernier rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:08, on 06/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\HPQ\Shared\hpqwmi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: WsftpBrowserHelper Class - {601ED020-FB6C-11D3-87D8-0050DA59922B} - D:\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ares] "D:\Program Files\ares galaxy\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\Office10\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{E7A3F8FB-F3BC-44C1-A3E7-11D89D73A084}: NameServer = 212.217.0.12,212.217.1.12
O23 - Service: ahfP Service (ahfprog) - Unknown owner - C:\WINDOWS\system32\ahfp.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe
O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

jlpjlp · Answer

ok c'est bon 

il faut mettre internet explorer a jour

https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html


___________________

pour virer ce que je t'ai fais utiliser:

Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

ps : pas besoin de m´envoyer le rapport si tout a ete supprimer ;-) 









bonne suite

lilomarion · Answer

jlpjlp 
merci beaucoup , ^^, .

jlpjlp · Answer

de rien!

Worm.Win32.Netbooster ( important )

19 réponses

Discussions similaires