comment etre sur malware - gen est disparue Résolu

Question

Bonjour,j ai un gros probleme un ver s est introduit dans mon ordinateur. avast m en a averti et voici la fiche concernant  ce virus
nom de fichier:http://fr.antispywareexpert.com/2009/3/2-a=swrast&l=5993f=pp-
nom:vps:malware-gen
type:virus/ver
versionvps:080824_0,24/08/2008
Par la suite mon fond d ecran a change et des que je cliquais dessus avast me prevenait que le virus avait ete detecte et je devais fermer la connexion. ce site etait le virus. ensuite j ai pu remarque en haut de mon ecran ferme et le fond d ecran du site virus avait disparue mais je ne sais pas le ver est encore present dans l ordinateur et si comment le faire disparaitre .
merci d avance pour votre reponse et si vous voulez des informations complementaires pour resoudre mon probleme n hesitez pas.
merci

meléopoldine · Answer

^Prépares toi à déguenner un HiJack je pense^^

poheysee · Answer

Contact "Le sioux" sur ce site !!!

Le sioux · Answer

Bonsoir tout le monde

Commence par m’envoyer un rapport HijackThis, fais ce qui suit :

Télécharge  hijackthis sur ton Bureau.

Ferme toutes les autres fenêtres, tous les autres programmes. Pas de connexion Internet.

Double-clique dessus pour lancer l’installation . Accepte la licence qui va apparaître  par " I agree" .

Puis clique sur "Do a system scan and save a logfile"

Ferme HijackThis et fais un copier-coller du rapport en entier et poste le ici en réponse.

Note : le rapport HijackThis.txt se trouve dans C:\Program Files\Trend Micro\HijackThis  

Tuto : "Générer un rapport" http://pageperso.aol.fr/balltrap34/demohijack.htm

 ou https://forum.pcastuces.com/tutoriel_hijackthis_v_2002___tutoriel-f31s8.htm

@ suivre.

booma · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:47:23, on 25/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\RaUI.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {74CE56FF-3469-47C0-93E1-D0CB8B203EA9} - C:\WINDOWS\system32\awtqoolm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: qalkfxor - {18C388BB-5014-4906-AE38-E62BA5AA7387} - C:\WINDOWS\qalkfxor.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\WINDOWS\RaUI.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: awtqoolm - C:\WINDOWS\SYSTEM32\awtqoolm.dll
O21 - SSODL: pdoskegl - {7974E33B-CB11-4921-B556-220563A87B9E} - C:\WINDOWS\pdoskegl.dll (file missing)
O21 - SSODL: rqbmvpso - {DE8A8803-A432-4C5D-AFC1-9AEF4D748B83} - C:\WINDOWSqbmvpso.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

booma · Answer

quelqu un peut m aider svp

Le sioux · Answer

Re Booma

Télécharge  ComboFix.exe de sUBs sur ton Bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte toi du net et désactive ton antivirus  pour que ComboFix puisse s'exécuter normalement. /!\ 

Double clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
Accepte en cliquant sur "Oui"
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\ Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

@ suivre

booma · Answer

j ai besoin d aide svp

Le sioux · Answer

Re

Tout est expliqué ici  http://www.commentcamarche.net/forum/affich 8064858 comment etre sur malware gen est disparue#14

Désactive protection résidente d'avast!  - Clic droit sur l'icône -> Sélectionner : Arrêter la protection résidente

https://forum.pcastuces.com/default.asp

@+

booma · Answer

le sioux j ai reussi a desactiver l antivirus et comment je fais pour me deconnecter du net.

poheysee · Answer

Débranche ta box ^^

poheysee · Answer

Bah oui mdr ^^ Débranche le cable qui relie te box à ton ordi

booma · Answer

et apres je n aurai pas de probleme por me reconnecter

poheysee · Answer

Ben quand tu la remettras tu l'éteindras d'abord,  la branchera puis la ralumera

booma · Answer

comment je dois faire pour telecharger ComboFix.exe de sUBs  .merci

poheysee · Answer

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Voila^^

booma · Answer

je dois l executer ou l enregistrer

poheysee · Answer

Exécute

poheysee · Answer

Exécute

booma · Answer

pour le telecharger il faut que je sois deconnecter du net et que mon antivirus soit desinstalle ?

poheysee · Answer

Si t'es déconecté tu peux pas télécharger ^^ Donc tu l'enregistre sur ton ordinateur d'abord puis tu l'éxecute après avoir débranché ton cable internet^^

booma · Answer

comment je fais pour poster son contenu ? APRES JE DOIS FAIRE UN NOUVEAU RAPPORT HIJACKTHIS NON?

poheysee · Answer

Pour ça, c'est à The Sioux qu'il faut demander

booma · Answer

TU PENSES QU IL EST CONNECTE. MERCI

booma · Answer

quelqu un pourrait me dire comment je dois faire pour poster le contenu apres avoir utilisrer 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
merci pour votre reponse

Le sioux · Answer

Re

Il me faut le rapport de ComboFi qui se trouve là : C:\ComboFix.txt   et un nouveau rapport HijackThis que tu colleras ici à la suite.

CTRL + A pour saisir le rapport dans son intégralité, CTRL + C pour le copier et ici dans un nouvelle réponse CTRL + V  pour le coller comme tu as fait avec le 1er rapport HijackThis... ou est le soucis ?

Voili, voila ;)

booma · Answer

ComboFix 08-08-23.03 - user 2008-08-25 8:01:01.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1686 [GMT 2:00] Endroit: C:\Documents and Settings\user\Mes documents\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\user\Cookies\user@a.playboy[2].txt C:\Documents and Settings\user\Cookies\user@ad.yieldmanager[1].txt C:\Documents and Settings\user\Cookies\user@bluestreak[1].txt C:\Documents and Settings\user\Cookies\user@regie.espace-plus[1].txt C:\Program Files\PCHealthCenter C:\Program Files\PCHealthCenter\[u]0[/u].gif C:\Program Files\PCHealthCenter\1.exe C:\Program Files\PCHealthCenter\1.gif C:\Program Files\PCHealthCenter\1.ico C:\Program Files\PCHealthCenter\2.exe C:\Program Files\PCHealthCenter\2.gif C:\Program Files\PCHealthCenter\2.ico C:\Program Files\PCHealthCenter\3.exe C:\Program Files\PCHealthCenter\3.gif C:\Program Files\PCHealthCenter\4.exe C:\Program Files\PCHealthCenter\5.exe C:\Program Files\PCHealthCenter\7.exe C:\WINDOWS\etbr.exe C:\WINDOWS\privacy_danger C:\WINDOWS\privacy_danger\images\capt.gif C:\WINDOWS\privacy_danger\images\danger.jpg C:\WINDOWS\privacy_danger\images\down.gif C:\WINDOWS\privacy_danger\images\spacer.gif C:\WINDOWS\privacy_danger\index.htm C:\WINDOWS\system32\awtqoolm.dll C:\WINDOWS\system32\tuvTnLfD.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-25 to 2008-08-25 )))))))))))))))))))))))))))))))))))) . 2008-08-25 08:02 . 2008-08-25 08:02 d-------- C:\WINDOWS\system32\xircom 2008-08-25 08:02 . 2008-08-25 08:02 d-------- C:\Program Files\microsoft frontpage 2008-08-25 03:40 . 2008-08-25 03:40 d-------- C:\Program Files\Trend Micro 2008-08-25 01:22 . 2008-08-24 12:45 188,416 --a------ C:\WINDOWS\rqbmvpso.dll 2008-08-25 01:22 . 2008-08-24 12:45 155,648 --a------ C:\WINDOWS\qalkfxor.dll 2008-08-25 01:22 . 2008-08-24 12:45 86,016 --a------ C:\WINDOWS\rvoelbxt.exe 2008-08-15 01:58 . 2008-05-01 16:36 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll 2008-08-15 01:56 . 2008-04-11 21:05 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll 2008-08-08 22:38 . 2001-08-23 17:47 8,704 --a------ C:\WINDOWS\system32\kbdjpn.dll 2008-08-08 22:38 . 2001-08-23 17:47 8,192 --a------ C:\WINDOWS\system32\kbdkor.dll 2008-08-08 22:38 . 2008-04-13 19:31 6,144 --a------ C:\WINDOWS\system32\kbd106.dll 2008-08-08 22:38 . 2001-08-17 22:55 6,144 --a------ C:\WINDOWS\system32\kbd101c.dll 2008-08-08 22:38 . 2001-08-17 22:55 6,144 --a------ C:\WINDOWS\system32\kbd101b.dll 2008-08-08 22:38 . 2001-08-17 22:55 5,632 --a------ C:\WINDOWS\system32\kbd103.dll 2008-08-07 20:40 . 2008-08-25 00:14 d-------- C:\Documents and Settings\user\Application Data\teamspeak2 2008-08-07 20:39 . 2008-08-07 20:40 d-------- C:\Program Files\Teamspeak2_RC2 2008-08-07 20:39 . 2008-08-07 20:39 34,064 --a------ C:\WINDOWS\system32\lhacm.acm 2008-08-07 19:48 . 2008-08-07 19:48 d-------- C:\Program Files\Windows Live Favorites 2008-08-07 19:42 . 2008-08-07 19:42 d-------- C:\Program Files\Microsoft SQL Server Compact Edition 2008-08-07 19:42 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2008-08-07 19:35 . 2008-08-08 09:14 d-------- C:\Program Files\Windows Live 2008-08-07 19:35 . 2008-08-07 19:36 d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller 2008-08-07 19:35 . 2008-08-07 19:35 d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-07 08:49 . 2008-08-07 08:49 244 --ah----- C:\sqmnoopt03.sqm 2008-08-07 08:49 . 2008-08-07 08:49 232 --ah----- C:\sqmdata03.sqm 2008-08-07 08:45 . 2008-08-07 08:45 244 --ah----- C:\sqmnoopt02.sqm 2008-08-07 08:45 . 2008-08-07 08:45 232 --ah----- C:\sqmdata02.sqm 2008-08-07 08:42 . 2008-08-07 08:42 244 --ah----- C:\sqmnoopt01.sqm 2008-08-07 08:42 . 2008-08-07 08:42 232 --ah----- C:\sqmdata01.sqm 2008-08-07 08:39 . 2008-08-07 08:39 244 --ah----- C:\sqmnoopt00.sqm 2008-08-07 08:39 . 2008-08-07 08:39 232 --ah----- C:\sqmdata00.sqm 2008-08-05 16:03 . 2008-08-05 16:03 d-------- C:\WINDOWS\Sun 2008-08-05 14:49 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll 2008-08-05 14:49 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll 2008-08-05 14:49 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui 2008-08-01 07:19 . 2008-08-01 07:20 8,628 --ah----- C:\WINDOWS\RaConfigENG.GID 2008-07-31 19:08 . 2008-07-31 19:15 d-------- C:\Documents and Settings\user\Contacts 2008-07-31 18:56 . 2008-08-07 19:48 d-------- C:\Program Files\Windows Live Toolbar 2008-07-31 18:56 . 2008-07-31 18:56 d-------- C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar 2008-07-31 18:55 . 2008-08-07 19:39 d----c--- C:\WINDOWS\system32\DRVSTORE . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-06 16:08 --------- d-----w C:\Documents and Settings\user\Application Data\OpenOffice.org2 2008-08-05 12:52 --------- d-----w C:\Program Files\Google 2008-07-19 18:54 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-19 18:54 --------- d-----w C:\Program Files\Paradox Entertainment 2008-07-19 18:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR 2008-07-17 14:24 --------- d-----w C:\Program Files\Java 2008-07-17 13:57 --------- d-----w C:\Program Files\OpenOffice.org 2.4 2008-07-17 13:56 --------- d-----w C:\Program Files\Foxit Software 2008-07-17 13:56 --------- d-----w C:\Program Files\Fichiers communs\Java 2008-07-17 13:55 20,747 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys 2008-07-17 13:54 --------- d-----w C:\Program Files\RALINK 2008-07-17 13:49 --------- d-----w C:\Program Files\C-Media 6501 Sound 2008-07-17 13:42 --------- d-----w C:\Program Files\Alwil Software 2008-07-17 13:30 --------- d-----w C:\Program Files\Services en ligne . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{18C388BB-5014-4906-AE38-E62BA5AA7387}"= "C:\WINDOWS\qalkfxor.dll" [2008-08-24 12:45 155648] [HKEY_CLASSES_ROOT\clsid\{18c388bb-5014-4906-ae38-e62ba5aa7387}] [HKEY_CLASSES_ROOT\qalkfxor.1] [HKEY_CLASSES_ROOT\TypeLib\{2E94E090-6554-4076-97A0-BC0EBE5CD9B2}] [HKEY_CLASSES_ROOT\qalkfxor] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 19:34 15360] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-08-05 14:51 171448] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-16 14:01 13529088] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-16 14:01 86016] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "nwiz"="nwiz.exe" [2008-05-16 14:01 1630208 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 19:34 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "rqbmvpso"= {DE8A8803-A432-4C5D-AFC1-9AEF4D748B83} - C:\WINDOWS\rqbmvpso.dll [2008-08-24 12:45 188416] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= R0 nvgts;nvgts;C:\WINDOWS\system32\DRIVERS\nvgts.sys [2008-01-25 20:01] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 16:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37] R3 c65013264;C-Media CM6501 Like Sound UDAX Interface;C:\WINDOWS\system32\drivers\c6501.sys [2007-07-10 03:42] . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' . - - - - ORPHANS REMOVED - - - - HKLM-Run-C6501Sound - c6501.cpl SSODL-pdoskegl-{7974E33B-CB11-4921-B556-220563A87B9E} - C:\WINDOWS\pdoskegl.dll . ------- Supplementary Scan ------- . R1 -: HKCU-SearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR O8 -: &Windows Live Search - C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 -: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-25 08:03:08 Windows 5.1.2600 Service Pack 3 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-25 8:03:53 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-25 06:03:50 Pre-Run: 243,565,752,320 octets libres Post-Run: 243,635,539,968 octets libres 169 --- E O F --- 2008-08-15 01:01:14

Le sioux · Answer

Re

Je vais regarder ton rapport ComboFix .

Tache de bien lire ce que je t'écris, j'essaye d'être précis autant que possible :

J'aurai souhaité un nouveau rapport HijackThis comme demandé ...

@ suivre

Le sioux · Answer

Re

On continu le ménage :

ComboFix avec CFScript : 

*  Sélectionne le texte suivant (en gras)  dans son intégralité :

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{18C388BB-5014-4906-AE38-E62BA5AA7387}"=-
[-HKEY_CLASSES_ROOT\clsid\{18c388bb-5014-4906-ae38-e62ba5aa7387}] 
[-HKEY_CLASSES_ROOT\qalkfxor.1] 
[-HKEY_CLASSES_ROOT\TypeLib\{2E94E090-6554-4076-97A0-BC0EBE5CD9B2}] 
[-HKEY_CLASSES_ROOT\qalkfxor]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]       
"rqbmvpso"=-

File::
C:\WINDOWS\rqbmvpso.dll
C:\WINDOWS\qalkfxor.dll
C:\WINDOWS\rvoelbxt.exe
C:\WINDOWS\privacy_danger\index.htm 

* Copie le texte sélectionné (CTRL+C).
* Ouvre le Bloc-notes (Démarrer / Tous les Programmes>Accessoires >bloc-notes).
* Colle le texte copié dans ce Bloc-notes (CTRL+V).
* Sauvegarde sur ton Bureau ce fichier sous le nom de CFScript.txt 

/!\ Déconnecte toi du net et désactive ton antivirus  pour que ComboFix puisse s'exécuter normalement. /!\

Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe ( sur ton Bureau)

Comme ici  http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif

* Une fenêtre bleue va apparaître: au message qui apparaît  Type 1 to continue, or 2 to abort , tape 1 puis valide.

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

/!\Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\.

(Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt )

@ suivre

/ !\Avis aux lecteurs : Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil. Ne pas utiliser en dehors de ce cas de figure : dangereux! / !\

booma · Answer

salut voici le rapport du scan avec le glissé/déposé du fichier CFScript.text sur fichier ComboFix.exe 
a présent le nouveau rapport hijackthis

Le sioux · Answer

Bonsoir Booma Bien joué. Peux tu te rendre à C:\Qoobox et faire un clic droit et zipper puis envoyer ce zip par mails à cette adresse stp : https://www.bleepingcomputer.com/submit-malware.php?channel=4 C'est pour le developpeur de l'outil, merci. Puis, on continu le ménage : Afin de suivre la procédure correctement, je te conseille d'enregistrer la page en sélectionnant toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC pour pouvoir appliquer la procédure correctement. Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous. Si un élément te paraît obscure, demande des explications avant de commencer la désinfection. 1) Télécharge et installe -- CCleaner https://www.ccleaner.com/ccleaner/download Choisis de préférence la version SLIM-No Toolbar. Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour. Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Pour les autres paramètres, laisse-le avec ses réglages par défaut. -- Malwarebyte's Anti-Malware http://www.malwarebytes.org/mbam/program/mbam-setup.exe Tuto: https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK. S'il ne s'est pas lancé tout seul, double-clique sur l'icône de Malwarebyte's Anti-Malware sur ton Bureau. Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK Laisse les Mises à jour se télécharger. 2) Scan avec Malwarebyte's Anti-Malware (Relance Malwarebyte’s Anti-Malware si celui-ci s’est refermé ) Onglet "Recherche" >>> coche Exécuter un examen complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen A la fin du scan >>> clique sur Afficher les résultats Suppression des éléments détectés >>>> clique sur Supprimer la sélection ou supprimer tout S'il t'es demandé de redémarrer >>> clique sur "Yes" --> Un rapport de scan s'ouvre, enregistre sur ton Bureau. Puis ferme Malwarebyte's Anti-Malware 3) Suppression de fichiers inutiles avec CCleaner Lance CCleaner en double-cliquant sur son raccourci sur ton Bureau. Puis dans le menu Nettoyeur Clique sur Analyse (laisse travailler cela peut durer longtemps la 1ere fois) Clique sur le bouton Lancer le nettoyage. Clique une seconde fois sur le bouton Lancer le nettoyage puis ferme CCleaner. 4) Rapports Poste en réponse le rapport de Malwarebyte's Anti-Malware que tu as sauvegardé sur ton Bureau. Bon courage, @ plus.

booma · Answer

Bonsoir le sioux,

Je suis vraiment un novice en informatique pourrais-tu m'indiquer la procédure pour zipper car je ne connais pas ce terme.
Merci d'avance et bonne soirée.

Booma

Le sioux · Answer

Bonjour booma

OK, oublie et passe au nettoyage stp.

@ plus

PS : Un oubli, merci à poheysee pour ces interventions entre mes apparitions, afin d'aider booma.

Comment etre sur malware - gen est disparue

32 réponses

Discussions similaires

Newsletters