Trojan qui empêche le scan de l'antivirusRésolu/Fermé

Question

Bonjour,
 J'ai un copain qui a besoin d'aide, il ne peut plus scanner, un trojan bloque l'antivirus apparemment.
Voici son message :

"J'ai juste mon bureau qui s'affiche plusieurs fois et qui me dit qu'il ne trouve pas le fichier windows/wga.exe"

Quelqu'un pourrait-il m'aider ???

buginformatik · Answer

Tu peux préciser l'antivirus stp ?

tinyflea · Answer

Oui bien sûr c'est AVG

buginformatik · Answer

T'es chez lui là ? Je veux dire on peux commencer ?

tinyflea · Answer

Ah oui avec plaisir je discute avec lui par msn

buginformatik · Answer

Copie colle ça :

Tu vas télécharger la dernière version de Malwarebytes anti malware 1.23 : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

Voici un tuto pour bien l'installer et l'utiliser : http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
(N'utilises pas File assassin)

! Il est Important d'être en mode sans échec lors de la recherche, et de mettre le logiciel à jour juste après l'avoir installé ! (Redémarrer l'ordi et tapoter à plusieurs reprises la touche F8 après le bip du PC) 

N'oublie pas de supprimer les menaces à la fin du scan et de poster le log sur le forum !

jacques.gache · Answer

bonjour, le pc de ton pote il est sous vista ou xp car sous xp je te proposerais SDfix mais ça marche pas avec vista

tinyflea · Answer

Sous xp

jacques.gache · Answer

bonjour, je vois que buginformatik ta déja pris en mains donc je me retire @+

tinyflea · Answer

Bon il a bien reçu le programme à installer et il est en train de suivre le tiutoriel.
Donc pour l'instant je le laisse faire. Une petite question cependant : si au démarrage, le pc ne propose pas de démarrer en mode sans échec, quelle manip doit-on faire ???

Merci pour votre précieux soutien !

tinyflea · Answer

Pffff non je retire ma question.... J'avais pas capté le coup du F8 F8 F8 F8 !!!! LOL

buginformatik · Answer

LoL

Pas de problème alors !

tinyflea · Answer

Bon alors dès que le scann sera terminé je lui passerais le lien vers ce forum et il vous postera son rapport.
Merci de nous avoir aidé à bientôt !!!

tinyflea · Answer

Oui je me doute qu'il y aura des petites choses à faire, en tout cas c'est super sympa de l'attendre !!! Merci merci merci !!!!
(De toute façon, commentçamarche est le meilleur forum pour les problèmes informatiques)

tinyflea · Answer

Alors petit souci : a la fin du scan, mon pote me dit que certains fichiers ne peuvent pas être supprimés et qu'il doit redémarrer son pc pour finir la procédure. Que doit-il faire ?

buginformatik · Answer

De toute façon, oui il doit redémarrer puisqu'il est en mode sans échec ! Le principal étant de supprimer les menaces, en étant en mode sans échec ! pas en normal.

Si certaines menaces ne peuvent pas être éradiquées, on va s'en occuper !

Donc dis lui de supprimer tout ce qu'il peut, puis de redémarrer et enfin de poster le rapport

A+

tinyflea · Answer

D'accord, super. Merci de ta réponse, il va pas tarder à t'envoyer son rapport !

tinyflea · Answer

Quand il redémarre, c'est en mode sans échec ou normal ?

buginformatik · Answer

normal !

Pas d'internet en mode sans échec

buginformatik · Answer

Je m'absente pendant deux heures voire plus, je serai de retour aux alentours de 16h...

De toute façon :
- Tu/il poste le rapport de malwarebyte anti malware sur le forum (voir dans le tuto commet retrouver le log)

Ensuite :

Il doit Télécharger hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.zip

et voici un gif pour bien l'installer : http://pageperso.aol.fr/balltrap34/Hijenr.gif

- Une fois téléchargé, renommer l'éxécutable en HJT.exe pour contrer une éventuelle infection vundo
- Double-clic dessus
- Clic sur "Do a system scan and save the log"
- Copies le rapport, le coller dans la réponse

tinyflea · Answer

Lorsqu'il redémarre, un nouveau message apparaît : 550 can't change directory to /download/mbam-setup.exe/: not a directory (c'est une alerte)

tinyflea · Answer

Voilà le rapport avant redémarrage

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1052
Windows 5.1.2600 Service Pack 2

13:16:09 14/08/2008
mbam-log-8-14-2008 (13-16-09).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|O:\|)
Eléments examinés: 261607
Temps écoulé: 57 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\awtutrsP.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32qRJArOg.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3b2f507f-9c55-4e52-8273-012763d23978} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{3b2f507f-9c55-4e52-8273-012763d23978} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4820d23-1b7f-4c23-b824-0be6b2c198b0} (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{f4820d23-1b7f-4c23-b824-0be6b2c198b0} (Trojan.BHO) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notifyqrjarog (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f4820d23-1b7f-4c23-b824-0be6b2c198b0} (Trojan.Vundo) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\awtutrsp -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awtutrsp  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\awtutrsP.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\Psrtutwa.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Psrtutwa.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\MOI\Local Settings\Application Data\qcgggmg_navps.dat (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\Documents and Settings\MOI\Local Settings\Application Data\qcgggmg_nav.dat (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\Documents and Settings\MOI\Local Settings\Application Data\qcgggmg.dat (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\Documents and Settings\MOI\Local Settings\Application Data\qcgggmg.exe (Adware.Navipromo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32qRJArOg.dll (Trojan.BHO) -> Delete on reboot.
C:\Documents and Settings\MOI\Local Settings\Temporary Internet Files\Content.IE5\BYGJ7SY8\ico[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
D:\Sauvegarde système\Codecs Divx + player\Divers codecs rares\MyVideoConverter.v1.26.Incl.Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Sauvegarde système\Codecs Divx + player\sony vegas 7.0 a hii121\Vegas7.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Sauvegarde système\Cyberlink.PowerDVD.Ultra.Deluxe.v7.3.3304.Multilingual.Incl.Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkJcBtt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32qRLdAQG.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmnmnMcB.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\urqOFVoM.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUolJaB.dll (Trojan.vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
vs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

tinyflea · Answer

Voici le rapport HJT : 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:31, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\Firefox 3.0\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\MOI\Bureau\Download\Msn\HJT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\wga.exe"
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,"C:\WINDOWS\wga.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0DD37279-EC4A-461F-A9E6-F0586E47FD92} - C:\WINDOWS\system32\awtutrsP.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {F4820D23-1B7F-4C23-B824-0BE6B2C198B0} - C:\WINDOWS\system32qRJArOg.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\WINDOWS\wga.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: rqRJArOg - C:\WINDOWS\SYSTEM32qRJArOg.dll
O21 - SSODL: system32 - {A23149EC-9DC7-4250-A497-77C019C5CFF4} - sysprinters.dll (file missing)
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

tinyflea · Answer

Il n'y a pas de problème, tu reviens quand tu peux !

jacques.gache · Answer

bonjour à vous, la version de windows de ton copain est elle une version officiel ?  j'ai un doute si c'est pas une version 100% légal il faut pas être surpris des infections

tinyflea · Answer

Effectivement c'est une version piratée mais bon avant d'avoir vista j'avais moi aussi la même version que lui (piratée) et j'ai jamais eu de problèmes. Ca fait 3 ans qu'il n'a pas eu d'ennuis, c'est juste ce matin. Mais bon on va trouver une solution, dès que notre ami Buginformatik sera revenu. Merci à bientôt !

buginformatik · Answer

Télécharge Look2me destroyer : http://www.atribune.org/ccount/click.php?id=7
# Double-cliquez Look2Me-Destroyer.exe afin de lancer l'outil.
# Cochez Run this program as a task
# Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 10 seconds". Cliquez sur OK
# Le programme va se relancer après 10 secondes, puis cliquez sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
# Lorsque le scan termine, cliquez sur le bouton Remove L2M
# Un message Done Scanning apparaîtra, clique OK.


Si un message runtime error '339' s'affiche au lancement du programme dit le moi.

Ensuite on passera à combofix

tinyflea · Answer

Nous procédons à l'opération, je ne sais pas combien de temps ça va prendre..... à tout de suite

tinyflea · Answer

Alors il a bien suivi tes étapes et voici le résultat :

done removing infected files! Look2Me-Destroyer will now shutdown your computer

buginformatik · Answer

Très bien, il va redémarrer.

Bon les instructions suivantes sont à respecter à la lettre

 Vous devez télécharger ComboFix depuis l'une des adresses suivantes:

* http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* ForoSpyware.com

Cliquez sur le bouton Enregistrer, puis lorsqu'il vous est demandé à quel emplacement l'enregistrer, assurez-vous de l'enregistrer directement sur votre Bureau

Fermez toutes vos fenêtres en cours (y compris celle-ci)

Fermez ou désactivez temporairement tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

Après avoir suivi les deux étapes précédentes, faites un double clic sur l'icône de ComboFix située sur le Bureau. Notez bien que, une fois que vous avez lancé ComboFix, vous ne devez pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme. En fait, lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur ; reposez-vous pendant qu'il travaille, cela pourrait prendre un certain temps avant qu'il ait fini.

Windows affiche un avertissement au lancement car ComboFix n'a pas de signature numérique. Ceci est parfaitement normal et sans danger, et vous pouvez cliquer sur le bouton Exécuter pour continuer.

Pour continuer, appuyez sur la touche du chiffre 1 puis sur la touche Entrée (http://img.bleepingcomputer.com/combofix/en/disclaimer.jpg)­. Si vous avez décidé de continuer, ComboFix va maintenant créer un Point de Restauration Système pour que vous puissiez revenir à votre configuration précédente si des problèmes devaient survenir pendant l'utilisation du programme. Lorsque ComboFix a fini de créer le point de restauration, il va ensuite créer une sauvegarde de votre Registre Windows

Après la fin de la sauvegarde du Registre Windows, ComboFix va déconnecter votre ordinateur d'Internet. Par conséquent, ne soyez pas surpris ni inquiet si vous recevez des avertissements vous prévenant que vous n'êtes plus connecté à Internet, car votre connexion sera totalement rétablie dans une étape ultérieure du programme.

ComboFix va ensuite commencer à balayer votre ordinateur à la recherche d'infections connues. Cette procédure peut prendre un certain temps, soyez patient

Pendant que le programme examine votre ordinateur, il va modifier le format de votre horloge, donc ne vous inquiétez pas lorsque cela se produira. Lorsque ComboFix aura terminé, il rétablira vos paramètres d'horloge à ce qu'ils étaient auparavant. (il y a au total 41 étapes)

Lorsque ComboFix a fini son examen, il annoncera qu'il est en train de préparer le fichier rapport (alias log)

Si vous voyez votre Bureau Windows disparaître, ne vous inquiétez pas. C'est normal, et ComboFix restaurera votre Bureau avant de se terminer. Finalement, vous verrez un nouvel affichage déclarant que le programme a presque fini et vous annonçant que le fichier rapport, ou log, se trouvera dans C:\ComboFix.txt.

Il affichera ensuite automatiquement le fichier log...

Réactivez vos défenses systèmes (pare feu, antivirus...)

Ensuite copiez entièrement le log et collez le sur le forum !


>>>>>>

Si internet ne vient pas :

# Cliquez sur le bouton Démarrer.
# Cliquez sur l'option de menu Paramètres.
# Cliquez sur l'option Panneau de configuration.
# Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
# Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.


Ou Sinon, si une icône de votre réseau apparaît aussi dans la barre des tâches Windows, vous pouvez la réparer en faisant un clic droit sur l'icône et en choisissant Réparer 


PS : C'est plus long que Look2me destroyer :p

tinyflea · Answer

d'accord à l'année prochaine ! lol

non je plaisante. nous allons suivre ça et dès que c'est fait je t'envoie le rapport.

buginformatik · Answer

J'oubliais... Tu postera le rapport combofix + un nouveau rapport hijackthis

A+

tinyflea · Answer

petit souci : en fait mon pote n'a plus d'icônes, en fait il navigue uniquement avec le gestionnaire des tâches depuis hier donc pas moyen de désactiver le pare-feu, l'antivirus.....

buginformatik · Answer

presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide

tinyflea · Answer

il a désactivé tout ce qu'il pouvait, mais ne sait pas si le pare-feu est désactivé . on peut suivre ton post quand même ou pas ?

tinyflea · Answer

comment désactiver le pare-feu sous xp : c'est sp2

buginformatik · Answer

C'est quoi son pare feu ?

tinyflea · Answer

c'est bon tou est désactivé !!!!!!!! enfin on y va !

buginformatik · Answer

Il doit couper internet aussi ;)

tinyflea · Answer

Ah il avait pas coupé internet et il n'a eu de déconnexion internet mais un redémarrage pc

buginformatik · Answer

un redémarrage PC ? Pendant le scan ??

tinyflea · Answer

Alors, depuis que le pc a redémarré après combofix, déjà le pc refonctionne normalement. Voici le rapport combofix (avec internet pas fermé) ComboFix 08-08-13.05 - MOI 2008-08-14 16:41:28.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1548 [GMT 2:00] Endroit: C:\Documents and Settings\MOI\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com\played_list.sol C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com\video_queue.sol C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol C:\Documents and Settings\MOI\Cookies.\moi@rad.msn[2].txt C:\Documents and Settings\MOI\Cookies.\moi@serving-sys[1].txt C:\WINDOWS\system32\awtutrsP.dll C:\WINDOWS\system32\Psrtutwa.ini C:\WINDOWS\system32\Psrtutwa.ini2 C:\WINDOWS\system32\rqRJArOg.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-14 to 2008-08-14 )))))))))))))))))))))))))))))))))))) . 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Documents and Settings\MOI\Application Data\Malwarebytes 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-14 12:10 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-14 12:10 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-13 15:23 . 2008-08-14 04:29 d--h----- C:\$AVG8.VAULT$ 2008-08-08 08:17 . 2008-08-14 01:32 d-------- C:\WINDOWS\system32\drivers\Avg 2008-08-08 08:17 . 2008-08-08 08:17 d-------- C:\Program Files\AVG 2008-08-08 08:17 . 2008-08-08 08:17 d-------- C:\Documents and Settings\All Users\Application Data\avg8 2008-08-08 08:17 . 2008-08-08 08:17 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys 2008-08-08 08:17 . 2008-08-08 08:17 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll 2008-07-30 01:13 . 2008-07-30 17:12 d-------- C:\Documents and Settings\MOI\Application Data\LimeWire . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-14 14:23 --------- d-----w C:\Documents and Settings\MOI\Application Data\uTorrent 2008-08-07 22:52 --------- d-----w C:\Program Files\eMule 2008-08-05 22:54 --------- d-----w C:\Program Files\Winamp 2008-07-15 23:29 --------- d-----w C:\Documents and Settings\MOI\Application Data\Winamp 2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-09 00:14 3,532 ----a-w C:\drmHeader.bin 2008-02-25 17:25 23,192 ----a-w C:\Documents and Settings\MOI\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "D-Link AirPlus G"="C:\Program Files\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 10:42 1519616] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 18:14 81920] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-08 08:17 1232152] "SoundMan"="SOUNDMAN.EXE" [2005-06-20 21:42 77824 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoStrCmpLogical"= 0 (0x0) "NoInstrumentation"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2007-11-15 11:10 72208 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LUMIX Simple Viewer.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\LUMIX Simple Viewer.lnk backup=C:\WINDOWS\pss\LUMIX Simple Viewer.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ANIWZCS2Service] --a------ 2004-12-16 17:49 49152 C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-19 19:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 12:48 157592 C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM] --a------ 2006-03-20 18:34 213936 C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] --a------ 2007-04-02 01:02 190024 C:\Program Files\MessengerPlus! 3\MsgPlus.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-10-04 18:14 8491008 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-10-04 18:14 81920 C:\WINDOWS\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE] --a------ 2007-01-20 09:09 200704 C:\Program Files\PowerISO\PWRISOVM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 16:57 282624 C:\Program Files\QuickTime Alternative\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2005-01-12 04:01 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-11-10 13:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TapiSrv"=3 (0x3) "Spooler"=2 (0x2) "SENS"=2 (0x2) "RDSessMgr"=3 (0x3) "RasMan"=3 (0x3) "RasAuto"=3 (0x3) "helpsvc"=3 (0x3) "FastUserSwitchingCompatibility"=3 (0x3) "EventSystem"=3 (0x3) "CryptSvc"=3 (0x3) "TermService"=3 (0x3) "WLSetupSvc"=3 (0x3) "MDM"=2 (0x2) "IviRegMgr"=2 (0x2) "ANIWZCSdService"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime "nwiz"=nwiz.exe /install "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "DisablePagingExecutive"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\uTorrent\utorrent.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\AVG\AVG8\avgupd.exe"= R0 SI3114;SiI-3114 SATALink Controller;C:\WINDOWS\system32\DRIVERS\SI3114.sys [2003-09-03 13:05] R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-08 08:17] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-09-24 22:42] R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0[/u]00.fcl [2006-05-04 11:21] R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-08 08:17] R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-30 00:53] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{16DSS638-XU5I-ODY0-G15P-KEYDU74G64X2}] "C:\WINDOWS\wga.exe" . - - - - ORPHANS REMOVED - - - - MSConfigStartUp-msnmsgr - C:\Program Files\MSN Messenger\msnmsgr.exe MSConfigStartUp-qcgggmg - c:\documents and settings\moi\local settings\application data\qcgggmg.exe . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\MOI\Application Data\Mozilla\Firefox\Profiles\r40wmtys.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://mail.google.com/mail/?shva=1#inbox FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava11.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava12.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava13.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava14.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava32.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPOJI610.dll FF -: plugin - C:\Program Files\Mozilla Firefox\Firefox 3.0\plugins\npnul32.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-14 16:45:44 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] "ImagePath"="\??\C:\DOCUME~1\MOI\LOCALS~1\Temp\mc21.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\[u]0[/u]00.fcl" . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\RALINK\Common\RaUI.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-14 16:47:39 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-14 14:47:34 Pre-Run: 17,135,468,544 octets libres Post-Run: 18,551,054,336 octets libres 211 --- E O F --- 2008-07-15 18:06:08

tinyflea · Answer

Voilà le rapport HJT. ComboFix 08-08-13.05 - MOI 2008-08-14 16:41:28.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1548 [GMT 2:00] Endroit: C:\Documents and Settings\MOI\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com\played_list.sol C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com\video_queue.sol C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol C:\Documents and Settings\MOI\Cookies.\moi@rad.msn[2].txt C:\Documents and Settings\MOI\Cookies.\moi@serving-sys[1].txt C:\WINDOWS\system32\awtutrsP.dll C:\WINDOWS\system32\Psrtutwa.ini C:\WINDOWS\system32\Psrtutwa.ini2 C:\WINDOWS\system32\rqRJArOg.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-14 to 2008-08-14 )))))))))))))))))))))))))))))))))))) . 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Documents and Settings\MOI\Application Data\Malwarebytes 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-14 12:10 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-14 12:10 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-13 15:23 . 2008-08-14 04:29 d--h----- C:\$AVG8.VAULT$ 2008-08-08 08:17 . 2008-08-14 01:32 d-------- C:\WINDOWS\system32\drivers\Avg 2008-08-08 08:17 . 2008-08-08 08:17 d-------- C:\Program Files\AVG 2008-08-08 08:17 . 2008-08-08 08:17 d-------- C:\Documents and Settings\All Users\Application Data\avg8 2008-08-08 08:17 . 2008-08-08 08:17 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys 2008-08-08 08:17 . 2008-08-08 08:17 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll 2008-07-30 01:13 . 2008-07-30 17:12 d-------- C:\Documents and Settings\MOI\Application Data\LimeWire . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-14 14:23 --------- d-----w C:\Documents and Settings\MOI\Application Data\uTorrent 2008-08-07 22:52 --------- d-----w C:\Program Files\eMule 2008-08-05 22:54 --------- d-----w C:\Program Files\Winamp 2008-07-15 23:29 --------- d-----w C:\Documents and Settings\MOI\Application Data\Winamp 2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-09 00:14 3,532 ----a-w C:\drmHeader.bin 2008-02-25 17:25 23,192 ----a-w C:\Documents and Settings\MOI\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "D-Link AirPlus G"="C:\Program Files\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 10:42 1519616] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 18:14 81920] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-08 08:17 1232152] "SoundMan"="SOUNDMAN.EXE" [2005-06-20 21:42 77824 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoStrCmpLogical"= 0 (0x0) "NoInstrumentation"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2007-11-15 11:10 72208 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LUMIX Simple Viewer.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\LUMIX Simple Viewer.lnk backup=C:\WINDOWS\pss\LUMIX Simple Viewer.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ANIWZCS2Service] --a------ 2004-12-16 17:49 49152 C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-19 19:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 12:48 157592 C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM] --a------ 2006-03-20 18:34 213936 C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] --a------ 2007-04-02 01:02 190024 C:\Program Files\MessengerPlus! 3\MsgPlus.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-10-04 18:14 8491008 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-10-04 18:14 81920 C:\WINDOWS\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE] --a------ 2007-01-20 09:09 200704 C:\Program Files\PowerISO\PWRISOVM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 16:57 282624 C:\Program Files\QuickTime Alternative\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2005-01-12 04:01 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-11-10 13:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TapiSrv"=3 (0x3) "Spooler"=2 (0x2) "SENS"=2 (0x2) "RDSessMgr"=3 (0x3) "RasMan"=3 (0x3) "RasAuto"=3 (0x3) "helpsvc"=3 (0x3) "FastUserSwitchingCompatibility"=3 (0x3) "EventSystem"=3 (0x3) "CryptSvc"=3 (0x3) "TermService"=3 (0x3) "WLSetupSvc"=3 (0x3) "MDM"=2 (0x2) "IviRegMgr"=2 (0x2) "ANIWZCSdService"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime "nwiz"=nwiz.exe /install "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "DisablePagingExecutive"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\uTorrent\utorrent.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\AVG\AVG8\avgupd.exe"= R0 SI3114;SiI-3114 SATALink Controller;C:\WINDOWS\system32\DRIVERS\SI3114.sys [2003-09-03 13:05] R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-08 08:17] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-09-24 22:42] R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0[/u]00.fcl [2006-05-04 11:21] R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-08 08:17] R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-30 00:53] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{16DSS638-XU5I-ODY0-G15P-KEYDU74G64X2}] "C:\WINDOWS\wga.exe" . - - - - ORPHANS REMOVED - - - - MSConfigStartUp-msnmsgr - C:\Program Files\MSN Messenger\msnmsgr.exe MSConfigStartUp-qcgggmg - c:\documents and settings\moi\local settings\application data\qcgggmg.exe . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\MOI\Application Data\Mozilla\Firefox\Profiles\r40wmtys.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://mail.google.com/mail/?shva=1#inbox FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava11.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava12.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava13.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava14.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava32.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPOJI610.dll FF -: plugin - C:\Program Files\Mozilla Firefox\Firefox 3.0\plugins\npnul32.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-14 16:45:44 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] "ImagePath"="\??\C:\DOCUME~1\MOI\LOCALS~1\Temp\mc21.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\[u]0[/u]00.fcl" . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\RALINK\Common\RaUI.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-14 16:47:39 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-14 14:47:34 Pre-Run: 17,135,468,544 octets libres Post-Run: 18,551,054,336 octets libres 211 --- E O F --- 2008-07-15 18:06:08

buginformatik · Answer

Ouf tu m'as fait peur !

Dis lui de bien tout réactiver, puis de faire un nouveau scan avec hijackthis et de le poster

tinyflea · Answer

Voici le nouveau rapport : ComboFix 08-08-13.05 - MOI 2008-08-14 16:41:28.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1548 [GMT 2:00] Endroit: C:\Documents and Settings\MOI\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com\played_list.sol C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\#SharedObjects\VDZ4JNZQ\www.broadcaster.com\video_queue.sol C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com C:\Documents and Settings\MOI\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol C:\Documents and Settings\MOI\Cookies.\moi@rad.msn[2].txt C:\Documents and Settings\MOI\Cookies.\moi@serving-sys[1].txt C:\WINDOWS\system32\awtutrsP.dll C:\WINDOWS\system32\Psrtutwa.ini C:\WINDOWS\system32\Psrtutwa.ini2 C:\WINDOWS\system32\rqRJArOg.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-14 to 2008-08-14 )))))))))))))))))))))))))))))))))))) . 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Documents and Settings\MOI\Application Data\Malwarebytes 2008-08-14 12:10 . 2008-08-14 12:10 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-14 12:10 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-14 12:10 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-13 15:23 . 2008-08-14 04:29 d--h----- C:\$AVG8.VAULT$ 2008-08-08 08:17 . 2008-08-14 01:32 d-------- C:\WINDOWS\system32\drivers\Avg 2008-08-08 08:17 . 2008-08-08 08:17 d-------- C:\Program Files\AVG 2008-08-08 08:17 . 2008-08-08 08:17 d-------- C:\Documents and Settings\All Users\Application Data\avg8 2008-08-08 08:17 . 2008-08-08 08:17 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys 2008-08-08 08:17 . 2008-08-08 08:17 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll 2008-07-30 01:13 . 2008-07-30 17:12 d-------- C:\Documents and Settings\MOI\Application Data\LimeWire . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-14 14:23 --------- d-----w C:\Documents and Settings\MOI\Application Data\uTorrent 2008-08-07 22:52 --------- d-----w C:\Program Files\eMule 2008-08-05 22:54 --------- d-----w C:\Program Files\Winamp 2008-07-15 23:29 --------- d-----w C:\Documents and Settings\MOI\Application Data\Winamp 2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys 2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys 2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-09 00:14 3,532 ----a-w C:\drmHeader.bin 2008-02-25 17:25 23,192 ----a-w C:\Documents and Settings\MOI\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 18:45 1052672] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "D-Link AirPlus G"="C:\Program Files\D-Link\AirPlus G\AirGCFG.exe" [2005-07-22 10:42 1519616] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 18:14 81920] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 18:14 8491008] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-08 08:17 1232152] "SoundMan"="SOUNDMAN.EXE" [2005-06-20 21:42 77824 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) "NoStrCmpLogical"= 0 (0x0) "NoInstrumentation"= 0 (0x0) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoSMBalloonTip"= 1 (0x1) "NoDesktopCleanupWizard"= 1 (0x1) "NoWelcomeScreen"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2007-11-15 11:10 72208 c:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^LUMIX Simple Viewer.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\LUMIX Simple Viewer.lnk backup=C:\WINDOWS\pss\LUMIX Simple Viewer.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ANIWZCS2Service] --a------ 2004-12-16 17:49 49152 C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-19 19:09 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 12:48 157592 C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM] --a------ 2006-03-20 18:34 213936 C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3] --a------ 2007-04-02 01:02 190024 C:\Program Files\MessengerPlus! 3\MsgPlus.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 16:40 155648 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-10-04 18:14 8491008 C:\WINDOWS\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-10-04 18:14 81920 C:\WINDOWS\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE] --a------ 2007-01-20 09:09 200704 C:\Program Files\PowerISO\PWRISOVM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 16:57 282624 C:\Program Files\QuickTime Alternative\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2005-01-12 04:01 32768 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2005-11-10 13:03 36975 C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-10-04 18:14 1626112 C:\WINDOWS\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TapiSrv"=3 (0x3) "Spooler"=2 (0x2) "SENS"=2 (0x2) "RDSessMgr"=3 (0x3) "RasMan"=3 (0x3) "RasAuto"=3 (0x3) "helpsvc"=3 (0x3) "FastUserSwitchingCompatibility"=3 (0x3) "EventSystem"=3 (0x3) "CryptSvc"=3 (0x3) "TermService"=3 (0x3) "WLSetupSvc"=3 (0x3) "MDM"=2 (0x2) "IviRegMgr"=2 (0x2) "ANIWZCSdService"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot "QuickTime Task"="C:\Program Files\QuickTime Alternative\qttask.exe" -atboottime "nwiz"=nwiz.exe /install "NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup "Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "DisablePagingExecutive"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\uTorrent\utorrent.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\AVG\AVG8\avgupd.exe"= R0 SI3114;SiI-3114 SATALink Controller;C:\WINDOWS\system32\DRIVERS\SI3114.sys [2003-09-03 13:05] R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-08 08:17] R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2007-09-24 22:42] R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\[u]0[/u]00.fcl [2006-05-04 11:21] R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-08 08:17] R2 LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys [2006-06-30 00:53] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{16DSS638-XU5I-ODY0-G15P-KEYDU74G64X2}] "C:\WINDOWS\wga.exe" . - - - - ORPHANS REMOVED - - - - MSConfigStartUp-msnmsgr - C:\Program Files\MSN Messenger\msnmsgr.exe MSConfigStartUp-qcgggmg - c:\documents and settings\moi\local settings\application data\qcgggmg.exe . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\MOI\Application Data\Mozilla\Firefox\Profiles\r40wmtys.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://mail.google.com/mail/?shva=1#inbox FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava11.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava12.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava13.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava14.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJava32.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF -: plugin - C:\Program Files\Java\jre1.5.0_06\bin\NPOJI610.dll FF -: plugin - C:\Program Files\Mozilla Firefox\Firefox 3.0\plugins\npnul32.dll ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-14 16:45:44 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv] "ImagePath"="\??\C:\DOCUME~1\MOI\LOCALS~1\Temp\mc21.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\[u]0[/u]00.fcl" . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\RALINK\Common\RaUI.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-14 16:47:39 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-14 14:47:34 Pre-Run: 17,135,468,544 octets libres Post-Run: 18,551,054,336 octets libres 211 --- E O F --- 2008-07-15 18:06:08

tinyflea · Answer

nouveau rapport pardon :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:00:05, on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32
otepad.exe
C:\Documents and Settings\MOI\Bureau\Download\Msn\HJT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://accounts.google.com/ServiceLogin?service=mail&passive=true&rm=false&continue=https://mail.google.com/mail/&ss=1&scc=1&ltmpl=default&ltmplcache=2&emr=1&osid=1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide1] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

tinyflea · Answer

J'ai l'impression que c'est plutot bon comme rapport t'en penses quoi ?

buginformatik · Answer

C'est pas finit !

Tu vas mettre java à jour : https://filehippo.com/download_jre_32/?ex=CORE-116.0


Ensuite, puis je te conseiller Firefox 3.0.1, pour une navigation plus sécurisée et une utilisation plus simple de ton navigateur internet ; mais là, c'est à toi de faire le choix, si tu es fan de Internet explorer, rien ne t'empêches de le garder...

Firefox : http://www.mozilla-europe.org/fr/firefox/3.0.1/releasenotes/


Je te conseille aussi de télécharger Spybot Search and Destroy, qui effectue un travail complémentaire à ton antivirus : https://www.safer-networking.org/download/

Fait un scans une fois par mois, n'oublie pas de le mettre à jour régulièrement, et surtout de vacciner ton ordinateur dès l'installation

Voici un tuto rapide pour une meilleure prise en main : https://www.malekal.com/spybot-search-destroy-proteger-desinfecter-pc-virus/


>>>>>>>>>>>>>

Voilà sur ce on va finir avec un petit logiciel qui s'apelle toolscleaner, qui va supprimer les applications liées à la désinfection : http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

Tu supprimes tout ce qu'il trouve (c'est parfois un peu long) et tu peux utiliser l'option facultative de nettoyage des fichiers temporaires (ferme internet avant)


Puis tu vas Poster le rapport (TCleaner.txt) qui se trouve à la racine du disque dur (C:\) 
(poste de travail ==> double clique sur C: et tu cherches le document TCleaner.txt, tu fais "édition", "sélectionner tout" ensuite tu cliques sur "édition" puis "copier"

Tu colles ce rapport sur le forum stp

tinyflea · Answer

d'accord on fait ça !!!!!!!!!!!!

jacques.gache · Answer

et tu fixes pas les lignes

tinyflea · Answer

Je vais le laisser poster son rapport, t'étonnes pas si tu vois un utilisateur anonyme !

Je ne comprends pas ton message Jacques.gache

Stitch · Answer

Donc voici le rapport de TollsCleaner !

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\MOI\Bureau\Look2Me-Destroyer.exe: trouvé !
C:\Documents and Settings\MOI\Bureau\ComboFix.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\MOI\Bureau\Look2Me-Destroyer.exe: supprimé !
C:\Documents and Settings\MOI\Bureau\ComboFix.exe: Erreur de suppression !
C:\Qoobox: supprimé !



Donc merci pour ton aide très précieuse "buginformatic" ! Le PC étant une bonne occupation je me vois mal m'en passer pour l'instant ! ;-)

Merci aussi à tinyflea qui m'a été d'un grand secours sur ce coup ! A charge de revanche tinyflea !

buginformatik · Answer

Assure toi que combofix.exe n'est plus présent sur ton bureau

Stitch · Answer

Et si il y est encore je le supprime manuellement ?

buginformatik · Answer

il est présent ?

Stitch · Answer

Oui. Il y a lui, malwarebytes, m-bam.exe, HJT.zip, Java et puis toolscleaner !

buginformatik · Answer

Malwarebyte anti malware tu peux le garder et l'utiliser de temps à autre (et supprimer m-bam.exe), supprimer hijakcthis.zip, java, si mis à jour, tu peux supprimer ce qui a été télécharger, et toolscleaner tu peux le désinstaller oui...

Et normalement si tu as installé spybot, tu peux supprimer le fichier .exe de l'installation !

J'aurai deux derniers conseils à te donner, le 1er étant de défragmenter si tu ne l'as pas fait depuis 3/4 mois :
Allez dans le menu Démarrer, puis Programmes, Accessoires et Outils système. Sélectionnez l'application Défragmenteur de disque dans la liste

Stitch · Answer

Oui c'est sur que ça fait un bon moment que j'y pense mais que je ne prends pas le temps de le faire...Et comme j'ai pas mal de place cela risque de pendre du temps...

jacques.gache · Answer

bonjour, perso je ferais un petit nettoyage avec ccleaner pour effacer toute traces des chose qui ont été supprimé ainsi que les clés de registre devenu obselète si tu veux le faire je te mets la procédure mais tu le fais avec ces réglage la et rien d'autre 

télécharge Ccleaner à partir de cette adresses

https://www.01net.com/outils/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/tele32599.html


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregitre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant  rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé  tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner

pour aider si besion tutoriel: https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

buginformatik · Answer

"coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la "

Je fais journal ISS perso chez moi aussi

tinyflea · Answer

Bonsoir, moi j'utilises CCleaner et j'en suis très contente, mais bon je trouve que ce n'est pas une obligation.... 

Merci pour votre aide en tout cas !!!!!!!!!!!!!!!!!!

Stitch · Answer

Et bien merci à tous pour toute cette aide qui m'a été bien précieuse ! Je n'ai plus qu'à faire une défrag' ! Et ce sera bon !

buginformatik · Answer

Dernier conseil : Va sur ton poste de travail, clique droit sur C:, puis propriétés, choisis l'onglet outils, puis fait une vérification des erreurs et coche les deux cases.
Tu devra redémarrer ton PC et te laisser guider lors du balayage (qui s'effectue avant d'entrer dans sa session, donc pas de panique) 

A+

Trojan qui empêche le scan de l'antivirus

62 réponses

Discussions similaires

Newsletters