Sujet Précédent Sujet Suivant

Win32.netbooster

sandymaly -  
chimay8 Messages postés 7947 Statut Contributeur sécurité -
Bonjour,
d'après une alerte, je suis infecté par le worm win32.netbooster
depuis ce matin, j'ai droit a des alertes en tout genre, des demandes de téléchargement d'anti spyware et autres, de ouvertures intempesives d'explorer, au début pour scanner et télécharger antiviraux maintenant, c'est de la pub en tout genre
dans la série des surprises matinales, j'ai quasiment plus rien dans mon menu démarrer, des icones qui ont disparues sur le bureau, et le gestionnaire des programmes a été désactivé par l'administrateur (?? c'est moi l'admin normalement!)
au vu de l'apparition de certains raccourcis internet sur le bureau (error cleaner, spyware...), je soupconne mon homme d'avoir cliquer oui à certaines invitations hier soir...

alors, scan avec avira antivir, avast cleaner, et bitdefender en ligne: ras!
tentative de restau système: autre surprise,plus de point de restau!

j'utilise windows XP

merci de votre aide

38 réponses

Précédent
  • 1
  • 2
Réponse 21 / 38
sandymaly
 
ComboFix 08-07-11.1 - sandy 2008-07-12 17:10:58.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.173 [GMT 2:00]
Endroit: C:\Documents and Settings\sandy\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
.

2008-07-11 18:14 . 2008-07-11 18:14 <REP> d-------- C:\Program Files\Trend Micro
2008-07-11 17:07 . 2008-07-11 17:07 <REP> d-------- C:\Documents and Settings\sandy\Application Data\Malwarebytes
2008-07-11 16:07 . 2008-07-11 16:07 <REP> d-------- C:\_OTMoveIt
2008-07-11 15:02 . 2008-07-11 15:02 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-11 14:06 . 2008-07-11 14:06 <REP> d-------- C:\VundoFix Backups
2008-07-11 13:12 . 2008-07-11 13:12 <REP> d-------- C:\Documents and Settings\yo\Application Data\Malwarebytes
2008-07-11 13:11 . 2008-07-11 17:07 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-11 13:11 . 2008-07-11 13:11 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-11 13:11 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 13:11 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 10:01 . 2008-07-11 10:01 116,864 --a------ C:\WINDOWS\system32\bvudsumq.dll
2008-07-11 09:45 . 2008-07-11 11:36 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-07-11 09:24 . 2008-07-11 09:24 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-07-11 08:43 . 2007-05-27 16:51 <REP> d--h----- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4\Voisinage réseau
2008-07-11 08:43 . 2007-05-27 16:51 <REP> d--h----- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4\Voisinage d'impression
2008-07-11 08:43 . 2007-05-27 15:58 <REP> d--h----- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4\Modèles
2008-07-11 08:43 . 2007-05-27 16:51 <REP> d-------- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4\Mes documents
2008-07-11 08:43 . 2007-05-27 16:51 <REP> dr------- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4\Menu Démarrer
2008-07-11 08:43 . 2007-05-27 16:51 <REP> d-------- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4\Favoris
2008-07-11 08:43 . 2007-05-27 16:51 <REP> d-------- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4\Bureau
2008-07-11 08:43 . 2008-07-11 08:54 <REP> d-------- C:\Documents and Settings\Administrateur.LULU-87XYW0VXE4
2008-07-06 13:20 . 2008-07-10 18:59 <REP> d-------- C:\Program Files\PhotoFiltre Studio
2008-07-06 13:20 . 2008-07-06 13:20 45 ---h----- C:\WINDOWS\dsez6465.dat
2008-07-06 13:04 . 2008-07-10 18:59 <REP> d-------- C:\Program Files\Lauyan
2008-07-06 12:52 . 2008-07-06 12:53 <REP> d-------- C:\Program Files\Java
2008-07-06 12:50 . 2008-07-06 12:50 <REP> d-------- C:\Program Files\Fichiers communs\Java
2008-07-06 12:45 . 2008-07-10 18:59 <REP> d-------- C:\Program Files\LimeWire
2008-07-05 18:17 . 2008-07-05 18:17 <REP> dr------- C:\Documents and Settings\LocalService\Favoris
2008-07-05 12:22 . 2008-07-05 12:22 <REP> d-------- C:\Program Files\Neuf

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-12 15:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-07-10 17:00 --------- d-----w C:\Program Files\eMule
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,768 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-28 10:12 503,665 ----a-w C:\WINDOWS\E220AutoRunLog.tmp
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-23 04:16 124,928 ----a-w C:\WINDOWS\system32\advpack(2).dll
2007-05-28 10:21 56 --sh--r C:\WINDOWS\system32\9A40682CEC.sys
2007-05-28 10:21 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-07-11_16.25.10.87 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-11 14:21:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-12 14:52:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-07-11 13:02:23 2,187,264 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-07-11 15:52:33 5,525,504 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
- 2008-07-11 13:02:23 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-07-11 15:52:33 249,856 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ac837247-8cc0-4b1a-92d0-ebcdc76d2c55}]
C:\WINDOWS\system32\difrxq.dll [BU]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2007-08-15 15:23 16384]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 08:01 180736]
"MsnMsgr"="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"AdobeUpdater"="C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 11:37 2321600]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-30 14:46 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2003-02-07 01:03 114741]
"StorageGuard"="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-02-13 01:01 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-14 13:02 7573504]
"MGSysCtrl"="C:\Program Files\System Control Manager\MGSysCtrl.exe" [2006-12-13 17:13 180736]
"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\VidDrvr\LVCOMS.EXE" [2003-07-31 12:00 135214]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [BU]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-23 23:26 262401]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 20:51 39792]
"nwiz"="nwiz.exe" [2006-06-14 13:02 1519616 C:\WINDOWS\system32\nwiz.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 10:58 16264192 C:\WINDOWS\RTHDCPL.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-09-09 05:20 88203 C:\WINDOWS\AGRSMMSG.exe]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:10 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm
"vidc.xvid"= xvid.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.MJPG"= m3jpeg32.dll
"vidc.dmb1"= m3jpeg32.dll
"vidc.jpeg"= m3jpeg32.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2006-08-18 09:04]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2006-06-21 11:09]
R2 NishService;SCM Driver Daemon;C:\Program Files\System Control Manager\edd.exe [2006-03-22 11:07]
R3 JSWSCIMD;jswscimd Service;C:\WINDOWS\system32\DRIVERS\jswscimd.sys [2007-07-06 18:30]
R3 MGHwCtrl;MGHwCtrl;C:\WINDOWS\system32\drivers\MGHwCtrl.sys [2006-07-03 10:31]
S3 jswpsapi;Jumpstart Wifi Protected Setup;C:\Program Files\SFR ADSL\Box\Wizard\jswpsapi.exe [2007-08-02 13:05]
S3 TV_551805_Sp50;TV_551805_Sp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\TV_551805_Sp50.sys [2007-12-10 22:11]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ab47c54-a02e-11dc-8c25-00161754090f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{137d459a-a02f-11dc-8c26-00161754090f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c213098-2c9e-11dd-8cde-00161754090f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1c213099-2c9e-11dd-8cde-00161754090f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59665e34-a5e3-11dc-8c27-00161754090f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72e51b34-de5a-11dc-8c4f-00161754090f}]
\Shell\AutoRun\command - F:\VMC_PBStarter.exe

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-07-11 20:19:26 C:\WINDOWS\Tasks\User_Feed_Synchronization-{CC581570-BA8E-40B0-982B-3565DC87378A}.job"
- C:\WINDOWS\system32\msfeedssync.exe
"2008-07-12 15:00:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 17:12:36
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-12 17:14:14
ComboFix-quarantined-files.txt 2008-07-12 15:13:47

Pre-Run: 22,437,253,120 octets libres
Post-Run: 22,436,073,472 octets libres

159 --- E O F --- 2008-07-10 21:57:11
0
Réponse 22 / 38
sandymaly
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19, on 12/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\System Control Manager\edd.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Fichiers communs\Logitech\VidDrvr\LVCOMS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: {55c2d67c-dcbe-0d29-a1b4-0cc8742738ca} - {ac837247-8cc0-4b1a-92d0-ebcdc76d2c55} - C:\WINDOWS\system32\difrxq.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\VidDrvr\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC9.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\SFR ADSL\Box\Wizard\jswpsapi.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
0
Réponse 23 / 38
sandymaly
 
voilà les rapports combofix et hdj
en fait, hier j'ai envoyé combofix, mais il ne m'a pas sorti de rapport (il a redémarré l'ordi, et des programmes se sont ouvert, ce qui a dû le planter)

est ce que je doit le relancer sur mon autre compte urilisateur? (hier quand j'ai terminé les manips, en changeant de compte, j'ai tout recommencé car l'autre compte me signalait toujours virus alert, avec la perte d'icone, le menu démarrer, ect...)

pour antivir, c'est pas en fesant les manip qu'il s'est affolé, c'est après en me reconnectant au net...

merci
0
Réponse 24 / 38
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
relance HJT
coche les lignes suivantes
O2 - BHO: {55c2d67c-dcbe-0d29-a1b4-0cc8742738ca} - {ac837247-8cc0-4b1a-92d0-ebcdc76d2c55} - C:\WINDOWS\system32\difrxq.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

clique sur fix checked

ensuite

Télécharge OTMoveIt2( de Old Timer )
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
Une fois téléchargé double-clique sur OTMoveIt2.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" est cochée
copie la ligne en gras qui se trouvent en dessous :

c:\windows\system32\difrxq.dll

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau.

*************************************
poste un nouveau rapport stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 38
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
pour ce qui est des comptes utilisateur, vaut mieux les faires sous administrateur.
puisque tu as antivir,tu peux faire un scan en mode sans échec et me coller le rapport stp
0
Réponse 26 / 38
sandymaly
 
qu'est ce que tu veut dire par faire les comptes utilisateurs sous administrateur? ils sont tous les deux administrateurs, mais on ne se sert quasiment que d'un seul

otmmoveit me répond c:\windows\system32\difrxq.dll not found

je lance antivir
0
Réponse 27 / 38
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
si tu as deux comptes( ou plus) il y a administrateur(le plus important)et les autres;par exemple pour les enfants,...
si tu te ballades sous en compte autres que administrateur tu renforces les défences de ta machine
tout est expliqué ici: https://forum.malekal.com/viewtopic.php?f=45&t=6662
0
Réponse 28 / 38
sandymaly
 
Avira AntiVir Personal
Report file date: samedi 12 juillet 2008 19:03

Scanning for 1419754 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Save mode
Username: sandy
Computer name: LULU-87XYW0VXE4

Version information:
BUILD.DAT : 8.1.0.308 16478 Bytes 28/05/2008 17:03:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 23/04/2008 21:26:07
AVSCAN.DLL : 8.1.1.0 53505 Bytes 23/04/2008 21:26:06
LUKE.DLL : 8.1.2.9 151809 Bytes 23/04/2008 21:26:07
LUKERES.DLL : 8.1.2.1 12033 Bytes 23/04/2008 21:26:07
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24/06/2008 13:51:43
ANTIVIR2.VDF : 7.0.5.86 547840 Bytes 09/07/2008 17:16:02
ANTIVIR3.VDF : 7.0.5.103 247296 Bytes 11/07/2008 16:23:08
Engineversion : 8.1.0.64
AEVDF.DLL : 8.1.0.5 102772 Bytes 23/04/2008 21:26:07
AESCRIPT.DLL : 8.1.0.46 283002 Bytes 10/07/2008 17:16:57
AESCN.DLL : 8.1.0.22 119157 Bytes 10/07/2008 17:16:50
AERDL.DLL : 8.1.0.20 418165 Bytes 25/04/2008 08:48:28
AEPACK.DLL : 8.1.1.6 364918 Bytes 10/07/2008 17:16:43
AEOFFICE.DLL : 8.1.0.20 192891 Bytes 10/07/2008 17:16:37
AEHEUR.DLL : 8.1.0.35 1298806 Bytes 10/07/2008 17:16:35
AEHELP.DLL : 8.1.0.15 115063 Bytes 10/06/2008 08:30:08
AEGEN.DLL : 8.1.0.29 307573 Bytes 10/07/2008 17:16:15
AEEMU.DLL : 8.1.0.6 430451 Bytes 10/05/2008 18:09:32
AECORE.DLL : 8.1.0.32 168311 Bytes 10/07/2008 17:16:12
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23/04/2008 21:26:07
AVPREF.DLL : 8.0.0.1 25857 Bytes 23/04/2008 21:26:06
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 23/04/2008 21:26:06
AVARKT.DLL : 1.0.0.23 307457 Bytes 23/04/2008 21:26:06
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 23/04/2008 21:26:06
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/04/2008 21:26:07
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23/04/2008 21:26:07
NETNT.DLL : 8.0.0.1 7937 Bytes 23/04/2008 21:26:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 23/04/2008 21:26:03
RCTEXT.DLL : 8.0.32.0 86273 Bytes 23/04/2008 21:26:03

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: high

Start of the scan: samedi 12 juillet 2008 19:03

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'HelpSvc.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
13 processes with 13 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '27' files ).

Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'D:\' <Data>

End of the scan: samedi 12 juillet 2008 21:06
Used time: 2:03:08 min

The scan has been done completely.

4471 Scanning directories
177230 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
177230 Files not concerned
1602 Archives were scanned
1 Warnings
0 Notes
0
Réponse 29 / 38
sandymaly
 
voilà le rapport antivir

ok pour les comptes utilisateur...au passage, c'est normal qu'en mode sans echec j'ai un compte nommé 'administrateur' en plus??

merci
0
Réponse 30 / 38
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
sous MSE pour le second compte "admin" je sais pas?? j'ai jamais eu le cas!
reposte un nouveau rapport HJT stp
0
Réponse 31 / 38
sandymaly
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54, on 12/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\System Control Manager\edd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
C:\Program Files\Fichiers communs\Logitech\VidDrvr\LVCOMS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\DOCUME~1\sandy\LOCALS~1\Temp\bwgo0000ff7e.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Mail\wlmail.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\VidDrvr\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC9.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Jumpstart Wifi Protected Setup (jswpsapi) - Atheros Communications, Inc. - C:\Program Files\SFR ADSL\Box\Wizard\jswpsapi.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
0
Réponse 32 / 38
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
bon,reste un truc

Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : C:\DOCUME~1\sandy\LOCALS~1\Temp\bwgo0000ff7e.exe
Clique sur "Send File".
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
0
Réponse 33 / 38
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
si t'y arrive pas c'est pas grave;c'est probablement un ver MSN

après desactivation de tes protections:

Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.

envoyer le fichier C:\DOCUME~1\sandy\LOCALS~1\Temp\bwgo0000ff7e.exe sur http://upload.changelog.fr pour faire evoluer msnfix

et si impossible:

Télécharge MsnCleaner.zip de ElPiedra et décompresse le sur ton bureau. (Clic droit sur le fichier .zip puis Extraire tout).
Copier l’adresse suivante dans ton lien :
https://forospyware.com
Redémarre le PC en Mode sans échec et connecte toi sous ton nom d'utilisateur habituel.Pour démarrer en mode sans échec.
Double-clique sur MsnCleaner.exe pour le lancer.
Sous Language, clique sur la petite flèche et choisis French.
Clique sur le bouton Analyse.
A la fin du scan un rapport va être créé.
Si l'outil trouve une infection, clique sur le bouton Supprimer.
Redémarre en mode normal.
Poste le rapport C:\MsnCleaner.txt dans ta prochaine réponse..
0
Réponse 34 / 38
sandymaly
 
| עברית | | Slovenščina | Dansk | Русский | Română | Türkçe | Nederlands | Ελληνικά | Svenska | Português | Italiano | | | Magyar | Deutsch | Česky | Polski | Español | English
Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier bwgo0000ff7e.exe_ reçu le 2008.07.12 22:46:54 (CET)
Situation actuelle: terminé

Résultat: 0/33 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.11.0 2008.07.11 -
AntiVir 7.8.0.64 2008.07.11 -
Authentium 5.1.0.4 2008.07.11 -
Avast 4.8.1195.0 2008.07.12 -
AVG 7.5.0.516 2008.07.12 -
BitDefender 7.2 2008.07.12 -
CAT-QuickHeal 9.50 2008.07.11 -
ClamAV 0.93.1 2008.07.12 -
DrWeb 4.44.0.09170 2008.07.12 -
eSafe 7.0.17.0 2008.07.10 -
eTrust-Vet 31.6.5949 2008.07.12 -
Ewido 4.0 2008.07.12 -
F-Prot 4.4.4.56 2008.07.11 -
F-Secure 7.60.13501.0 2008.07.12 -
Fortinet 3.14.0.0 2008.07.12 -
GData 2.0.7306.1023 2008.07.12 -
Ikarus T3.1.1.26.0 2008.07.12 -
Kaspersky 7.0.0.125 2008.07.12 -
McAfee 5337 2008.07.11 -
Microsoft 1.3704 2008.07.12 -
NOD32v2 3263 2008.07.11 -
Norman 5.80.02 2008.07.11 -
Panda 9.0.0.4 2008.07.12 -
Prevx1 V2 2008.07.12 -
Rising 20.52.52.00 2008.07.12 -
Sophos 4.31.0 2008.07.12 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.12 -
TheHacker 6.2.96.376 2008.07.10 -
TrendMicro 8.700.0.1004 2008.07.11 -
VBA32 3.12.6.9 2008.07.12 -
VirusBuster 4.5.11.0 2008.07.12 -
Webwasher-Gateway 6.6.2 2008.07.11 -
Information additionnelle
File size: 16384 bytes
MD5...: 6e8fd4bc123b6610bc84680b7fe00457
SHA1..: 80ca60f9055a1a550ce847dcb61feae9113c1aee
SHA256: 240b2387c0e9f9ce60bad3d79d1c0b95b0257583149d3ecd2387d42207c96ee2
SHA512: d830a38d570eb4b6646de9f490ada62b749349ca7da404c2a61caa3295f2f66a
e1f2c604e9267b0e44d4f94b8c709d212ad5dc74ec3e25ecbe177a7c6741b734
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401526
timedatestamp.....: 0x3c139218 (Sun Dec 09 16:32:24 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6b2 0x1000 3.35 c3ae2e8e069d1b4ac05f89439e0bc19c
.rdata 0x2000 0x4a4 0x1000 1.83 53aeab99912e1e4e8f92c70846c6131c
.data 0x3000 0xd0 0x1000 0.38 96258a3ca95c12c199bfb87bd90e59b2

( 4 imports )
> KERNEL32.dll: WaitForMultipleObjects, GetStartupInfoA, GetModuleFileNameA, Sleep, GetCurrentProcessId, GetTickCount, CloseHandle, CreateProcessA, WaitForSingleObject, OpenProcess, GetLastError, CreateEventA, GetModuleHandleA
> USER32.dll: MessageBoxA
> ole32.dll: CoInitialize, CoUninitialize, CoCreateGuid
> MSVCRT.dll: _sopen, _strlwr, strchr, _ftol, _snprintf, strcpy, strlen, _close, strcspn, _read, _XcptFilter, rand, srand, sprintf, sscanf, atol, _controlfp, _exit, __setusermatherr, exit, _acmdln, __getmainargs, _initterm, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3

( 0 exports )

ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy
0
Réponse 35 / 38
sandymaly
 
MSNFix 1.732

C:\Documents and Settings\sandy\Bureau\MSNFix
Fix exécuté le 12/07/2008 - 22:53:46,18 By sandy
mode normal

************************ Recherche les fichiers présents

Aucun Fichier trouvé

************************ Recherche les dossiers présents

Aucun dossier trouvé

************************ Fichiers suspects

Aucun Fichier trouvé

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\WINDOWS\system32\userinit.exe,

Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte

------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------
0
Réponse 36 / 38
sandymaly
 
- Rapport MSNCleaner 1.6.4 by www.forospyware.com
- Rapport créé: 12/07/2008 on 23:04:26
- Système d'exploitation: Windows XP
- Mode de démarrage: Mode sans échec
_________________________________________

Fichiers détectés: 1
Fichiers supprimés: 1
Fichiers non supprimés: 0

C:\WINDOWS\web\related.htm <--- Supprimé

Fichier Hosts restauré
0
Réponse 37 / 38
sandymaly
 
par contre, maintenant, c'est ma connexion (en wifi) qui merdouille...régulièrement, ça revient à la page de connection 'neuf' en me redemandant mes identifiants, alors que normalement c'est sensé se connecter automatiquement (au démarrage, ça me demande rien du tout...et dans le bled paumé où je me trouve, impossible que ce soit un piratage quelconque de ma connexion, même non sécurisé, le voisin le plus proche est situé à au moins 1 km!)

et internet explorer s'y met: il rencontre un problème et doit fermer...
0
Réponse 38 / 38
chimay8 Messages postés 7947 Statut Contributeur sécurité 60
 
réinstalle IE7;ce serait pas étonnant que tes malwares aient détruit certains fichiers
Désactive puis réactive ta restauration système
tuto:

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

* pour supprimer les outils/fix utilisés :

Télécharge ToolsCleaner sur ton bureau.
-->
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
poste un nouveau rapport
0

Discussions similaires

Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
PUABundler:Win32/CandyOpen : dangereux ?
joubine -
bazfile -

2 réponses
Pb Windows 7, .EXE n'est pas app win32 valide
Witeric -
Lio -

15 réponses