Sujet Précédent Sujet Suivant

Trojans + rookit

gaelle93 -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
j'ai des virus trojans sur mon ordinateur et je n'arrive pas à les supprimer il revienne à chaque fois, j'ai aussi un programme inconnu qui se charge au démarrage, j'ai a-squared free pour scanner spybot hijackthis et ad aware mais ça suffit pas
merci de m'aider svp

103 réponses

Précédent
Réponse 41 / 103
gaelle93
 
non au démarrage du pc,j'ai vu sur ccleaner dans démarrage et il revient a chaque fois quand je supprime l'entrée

bonne nuit

@+
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Tu me referas un scan RSIT et posteras le nouveau rapport " log.txt " obtenu ...
0
Réponse 42 / 103
gaelle93
 
Logfile of random's system information tool 1.04 (written by random/random)
Run by ARGENTINA at 2008-11-01 04:45:19
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 24 GB (66%) free of 36 GB
Total RAM: 1022 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:45:40, on 01/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Program Files\Google\Web Accelerator\googlewebaccclient.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\ARGENTINA\Bureau\RSIT.exe
C:\Documents and Settings\ARGENTINA\Bureau\ARGENTINA.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5392B545-31A5-4724-BEF3-4FED1D56FDAC} (CPlayFirstDinerDash2_frControl Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/diner_dash_2/DinerDash2_fr.1.0.0.70.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/diner_dash_flo_on_the_go/ddfotg.1.0.0.33.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
0
Réponse 43 / 103
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ... c'est cette salté de ver " Toy.exe" qui fout encore ça merde ... :-/

fait ceci dans l'ordre :

1- ! Déconnectes toi et fermes toute tes applications en cours !

Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous, 

:Processes
explorer.exe

:Services

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f58a268-242c-11db-bdd5-0013ce7e1398}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d475cae8-a9d8-11dc-817e-0013ce7e1398}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=-

:Files

:Commands
[emptytemp]
[start explorer]
[Reboot]


et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

une fois ce rapport posté , fais la suite :

2- Supprimes proprement UsbFix ainsi ( cette version n'est plus à jours ):

* Vas sur " démarrer " / "tous les programmes" / "UsbFix" --> cliques sur "Uninstal Usbfix" .

* Ou bien rends toi dans ce dossier > C:\Program Files\UsbFix .
là tu double-cliques sur le fichier " Uninstal.exe " pour désinstaller proprement l'outil ...

3- refais un coup de CCleaner ( registre compris ).

4- On va utilisé UsbFix à jour ( cela devrai marcher maintenant ) .

Télécharges UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

--> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil et laisses le travailler .

--> Le pc va redémarrer .

--> Une fois de retour à ton bureau , le rapport "UsbFix.txt" s'affiche .
Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .

0
Réponse 44 / 103
gaelle93
 
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1f58a268-242c-11db-bdd5-0013ce7e1398}\\ deleted successfully.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d475cae8-a9d8-11dc-817e-0013ce7e1398}\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon.exe not found.
========== FILES ==========
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\ARGENT~1\LOCALS~1\Temp\GoogleWebAccWarden.exe.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\ARGENT~1\LOCALS~1\Temp\GoogleWebAccelerator.pac scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\ARGENT~1\LOCALS~1\Temp\googlewebaccclient.exe.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\ARGENT~1\LOCALS~1\Temp\GoogleWebAcceleratorCache scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_1f4.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11012008_180839
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 103
gaelle93
 
par contre usbfix ca marche tjrs pas il me demande d'appuyer une touche pr continuer et ca reste comme ca
0
Réponse 46 / 103
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Alors fais ceci stp :

1-Télécharges Flash_Disinfector de sUBs ici :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistres le sur ton bureau.

Double cliques sur Flash_Disinfector.exe pour le lancer ...

Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
->connectes toutes tes clés USB et périphériques USB externes susceptibles d'avoir été infectés .

Puis clique sur Ok .

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: " Done!! "

Appuye sur "Ok", pour faire réapparaitre le bureau ...

2- Redémarre ton PC .

3 - refais un scan RSIT et postes moi le nouveau rapport " log.txt " obtenu ....

0
Réponse 47 / 103
gaelle93
 
dsl du retard j'ai reussi a le faire en mode sans echec
mais j'ai toujours du mal à ecrire sur le clavier

Logfile of random's system information tool 1.04 (written by random/random)
Run by ARGENTINA at 2008-11-06 00:37:23
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 8 GB (22%) free of 36 GB
Total RAM: 1022 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:38:24, on 06/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\ARGENTINA\Bureau\RSIT.exe
C:\Program Files\trend micro\ARGENTINA.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {5392B545-31A5-4724-BEF3-4FED1D56FDAC} (CPlayFirstDinerDash2_frControl Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/diner_dash_2/DinerDash2_fr.1.0.0.70.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/diner_dash_flo_on_the_go/ddfotg.1.0.0.33.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
0
Réponse 48 / 103
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

ce " Toy.exe " est du genre coriace .... :-/

Toujours tes unités externes branché au PC et fais ceci :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix pour analyse ...
0
Réponse 49 / 103
gaelle93
 
ComboFix 08-11-05.02 - ARGENTINA 2008-11-07 0:25:25.8 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.606 [GMT 1:00]
Lancé depuis: c:\documents and settings\ARGENTINA\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-06 au 2008-11-06 ))))))))))))))))))))))))))))))))))))
.

2008-11-06 17:32 . 2008-11-06 17:32 <REP> d--hs---- C:\FOUND.003
2008-11-06 00:33 . 2008-11-06 00:33 <REP> d--hs---- C:\FOUND.002
2008-11-05 23:50 . 2008-11-05 23:50 <REP> d-------- c:\documents and settings\ARGENTINA\Application Data\Grisoft
2008-11-05 23:50 . 2008-11-05 23:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-11-05 23:50 . 2007-05-30 13:10 10,872 --a------ c:\windows\system32\drivers\AvgAsCln.sys
2008-11-05 22:40 . 2008-11-05 22:40 <REP> d-------- C:\VundoFix Backups
2008-11-05 18:32 . 2008-11-05 18:32 <REP> d--hs---- C:\FOUND.001
2008-11-05 18:10 . 2008-11-05 18:10 <REP> d--hs---- C:\FOUND.000
2008-11-04 16:09 . 2008-11-04 16:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2008-11-03 19:15 . 2008-11-03 19:15 <REP> d-------- c:\program files\FindyKill
2008-11-02 16:58 . 2008-11-02 16:58 0 --a------ c:\windows\nsreg.dat
2008-11-01 23:59 . 2008-11-01 23:59 <REP> d-------- c:\program files\UsbFix
2008-11-01 21:00 . 2008-11-01 21:00 <REP> d-------- C:\incoming
2008-11-01 04:45 . 2008-11-01 04:45 <REP> d-------- C:\rsit
2008-11-01 01:38 . 2008-11-01 01:38 <REP> d-------- C:\_OTMoveIt
2008-10-30 01:09 . 2008-10-30 01:09 <REP> d-------- c:\windows\system32\Kaspersky Lab
2008-10-29 22:12 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-10-29 22:11 . 2008-10-29 22:11 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-10-29 22:11 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-24 12:09 . 2008-10-15 18:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2008-10-23 18:17 . 2008-10-23 18:17 <REP> d-------- c:\documents and settings\ARGENTINA\Application Data\Yahoo!
2008-10-19 22:32 . 2008-10-19 22:32 <REP> d-------- c:\documents and settings\ARGENTINA\Application Data\Zylom
2008-10-19 22:32 . 2008-10-19 22:32 <REP> d-------- c:\documents and settings\All Users\Application Data\PlayFirst
2008-10-15 13:50 . 2008-08-14 15:23 2,191,232 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 13:50 . 2008-08-14 15:23 2,147,328 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 13:50 . 2008-08-14 15:23 2,068,096 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 13:50 . 2008-08-14 15:23 2,025,984 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 13:42 . 2008-09-15 17:26 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2008-10-15 13:23 . 2008-09-08 12:41 333,824 --------- c:\windows\system32\dllcache\srv.sys
2008-10-08 20:41 . 2008-10-08 20:41 <REP> d-------- c:\program files\iPod
2008-10-08 20:41 . 2008-10-08 20:41 <REP> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-07 18:29 . 2008-10-07 18:29 <REP> d-------- c:\documents and settings\ARGENTINA\Application Data\Hewlett-Packard
2008-10-06 18:34 . 2008-10-06 18:34 <REP> d-------- c:\program files\Fichiers communs\Hewlett-Packard
2008-10-06 18:32 . 2008-10-06 18:32 <REP> d-------- c:\program files\Hewlett-Packard
2008-10-06 18:31 . 2008-10-06 18:33 19,540 --a------ c:\windows\hpoins01.dat
2008-10-06 18:31 . 2003-04-22 19:01 16,606 --------- c:\windows\hpomdl01.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 19:16 900 ----a-w c:\documents and settings\ARGENTINA\Application Data\wklnhst.dat
2008-10-03 18:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-09-25 19:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-09-25 19:09 --------- d-----w c:\documents and settings\ARGENTINA\Application Data\Malwarebytes
2008-09-25 19:09 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-09-24 18:56 --------- d-----w c:\program files\Bonjour
2008-09-24 18:55 --------- d-----w c:\program files\QuickTime
2008-09-24 15:34 --------- d-----w c:\program files\Zylom Games
2008-09-24 15:34 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
2008-09-22 17:46 --------- d-----w c:\program files\trend micro
2008-09-15 16:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 18:15 --------- d-----w c:\program files\Free
2008-09-08 11:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-29 09:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-08-29 08:53 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-08-27 10:11 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
2008-08-25 09:39 70,656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe
2008-08-25 09:38 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-08-23 06:56 635,848 ----a-w c:\windows\system32\dllcache\iexplore.exe
2008-08-23 06:54 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
2008-08-14 14:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 14:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-08-14 11:04 138,496 ------w c:\windows\system32\dllcache\afd.sys
2007-11-27 11:36 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Run Google Web Accelerator.lnk - c:\program files\Google\Web Accelerator\GoogleWebAccWarden.exe [2008-06-06 1134592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\svchost.exe"=
"c:\\Program Files\\Messenger\\Msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7247:TCP"= 7247:TCP:BitComet 7247 TCP
"7247:UDP"= 7247:UDP:BitComet 7247 UDP

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2004-07-19 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2005-03-24 78208]
R2 int15.sys;int15.sys;c:\program files\Acer\eRecovery\int15.sys [2005-01-13 69632]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2008-10-22 38496]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\DRIVERS\LV532AV.SYS [2003-09-04 152576]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2006-03-16 167808]
S3 V0260VID;Live! Cam Vista IM;c:\windows\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8a8bf7e-2634-11db-bdd8-0013ce7e1398}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe
.
Contenu du dossier 'Tâches planifiées'

2008-11-06 c:\windows\Tasks\8C921B5B9389B12B.job
- c:\docume~1\argent~1\applic~1\elsepl~1\Thunkdeafgreat.exe []

2008-11-06 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

2008-11-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\ARGENTINA\Application Data\Mozilla\Firefox\Profiles\zlrcudaz.default\
FF -: plugin - c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - c:\program files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll
FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 00:28:47
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\vsdatant]
"ImagePath"=""
.
Heure de fin: 2008-11-07 0:30:29
ComboFix-quarantined-files.txt 2008-11-06 23:30:22

Avant-CF: 10 238 558 208 octets libres
Après-CF: 10,239,705,088 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

162 --- E O F --- 2008-10-24 13:03:38
0
Réponse 50 / 103
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

voilà la suite du programme :

! désactives Avast ( tu le réactiveras après la manipe ) !

Puis fais ceci :

Télécharge OAD ( par !aur3n7) : http://sosvirus.changelog.fr/OAD.exe
----> Enregistre le sur ton bureau .

Double clique sur l'icone OAD pour le lancer

- nom du fichier à rechercher :
-->tapes ou fais un copier coller de : MSLOGON

- Type de recherche : sélectionne l'option 6 puis valide ["entrée"]

OAD va maintenant rechercher le fichier. Laisses le travailler jusqu'à ce qu'il en ait terminé.
Le rapport de recherche s'affichera automatiquement à l’écran dès qu'il aura terminé.

Note : suivant la taille des disques durs cette recherche peut prendre plusieurs minutes. Sois patient ...

->Sauvegardes ce rapport sur ton Bureau et fais un copier / coller de celui-ci dans ta prochaine réponse ...

Puis recommences avec :
SYSTEMNT

TOY

J'attends donc ces 3 rapports pour analyse ....
0
Réponse 51 / 103
Utilisateur anonyme
 
Salut

pour suivre merci
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut Chiqui .... =)


ce "Toy.exe" est coriace ! .... je comptais de faire remonter l'info une fois terminée ... ;)
0
Réponse 52 / 103
Utilisateur anonyme
 
-;)

je comptais de faire remonter l'info une fois terminée

j en doute pas

mechant toy mdr n plus on apprcoche de noel lol

A découvrir : Estopa, Rosario Flores, La Oreja De Van Gogh
                   Bonne écoute 
                   @ + T' Chiki.
0
Réponse 53 / 103
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

le fichier mslogon est certainement infecté (ainsi que systemnt.exe) :

http://www.sophos.com/security/analyses/viruses-and-spyware/w32usbtoya.html

Tu as un joli lop aussi.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut Vincent ,

où ça du Lop ?... je suis passé à côté ... -_-"
0
Réponse 54 / 103
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

pour lop, c'est un résidu :

Contenu du dossier 'Tâches planifiées'

2008-11-06 c:\windows\Tasks\8C921B5B9389B12B.job
- c:\docume~1\argent~1\applic~1\elsepl~1\Thunkdeafgreat.exe []
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Yes .... :)


merci ! ... on nettoyera cela au passage ...
0
gaelle93 > sKe69 Messages postés 21955 Statut Contributeur sécurité
 
voila




09/11/2008 ---- 23:50:03,18

----------------------------------
§§§§§§ [MSLOGON] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
"Logon"="WlDimsLogon"

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------







10/11/2008 ---- 0:06:41,28

----------------------------------
§§§§§§ [SYSTEMNT] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------







10/11/2008 ---- 0:09:09,98

----------------------------------
§§§§§§ [TOY] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete


********************
[Registre]
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67cf8cbd-e5c0-44f7-9de5-e1d599d626d8}]
@="Nettoyeur de disque pour désinstallation du système d'exploitation"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\OPCFile]
@="Fichier de l'Assistant Nettoyage Microsoft"

[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Search Assistant\ACMru\5603]
"001"="Toy.exe"

[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8a8bf7e-2634-11db-bdd8-0013ce7e1398}\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Toy.exe"

[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"@shell32.dll,-22026"="Nettoyage de disque"

[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\cleanmgr.exe"="Gestionnaire de nettoyage de disque pour Windows"

[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"F:\\Toy.exe"="Toy"

[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Patchou\Messenger Plus! Live\jerome_10_86@hotmail.fr\Contacts\YmobQtOymobI]

*******************
[Fichier]
*******************



*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------
0
Réponse 55 / 103
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...

la suite :

branches bien tes unités externes au PC !

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Search Assistant\ACMru\5603]
"001"=-
[HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"F:\\Toy.exe"=-
[-HKEY_USERS\S-1-5-21-1275522743-4264816443-170879772-1007\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c8a8bf7e-2634-11db-bdd8-0013ce7e1398}\Shell\AutoRun\command]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8a8bf7e-2634-11db-bdd8-0013ce7e1398}]

File::
C:\windows\Tasks\8C921B5B9389B12B.job
C:\windows\MSLOGON.EXE
C:\Documents and Settings\All Users\Start Menu\Programmes\Démarrage\SYSTEMNT.EXE
F:\Toy.exe

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 56 / 103
gaelle93
 
ComboFix 08-11-05.02 - ARGENTINA 2008-11-10 1:17:59.10 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.652 [GMT 1:00]
Lancé depuis: c:\documents and settings\ARGENTINA\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\ARGENTINA\Bureau\CFScript.txt

FILE ::
c:\documents and settings\All Users\Start Menu\Programmes\Démarrage\SYSTEMNT.EXE
c:\windows\MSLOGON.EXE
c:\windows\Tasks\8C921B5B9389B12B.job
F:\Toy.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Tasks\8C921B5B9389B12B.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-10 au 2008-11-10 ))))))))))))))))))))))))))))))))))))
.

2008-11-09 23:23 . 2008-11-09 23:23 <REP> d--hs---- C:\FOUND.000
2008-11-09 22:46 . 2008-11-09 22:46 <REP> d-------- c:\program files\LimeWire
2008-11-07 01:13 . 2008-11-07 01:13 <REP> d-------- c:\program files\WinAVI Video Converter
2008-11-05 23:50 . 2008-11-05 23:50 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-11-04 16:09 . 2008-11-04 16:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2008-11-03 19:15 . 2008-11-03 19:15 <REP> d-------- c:\program files\FindyKill
2008-11-02 16:58 . 2008-11-02 16:58 0 --a------ c:\windows\nsreg.dat
2008-11-01 23:59 . 2008-11-01 23:59 <REP> d-------- c:\program files\UsbFix
2008-11-01 21:00 . 2008-11-01 21:00 <REP> d-------- C:\incoming
2008-11-01 04:45 . 2008-11-01 04:45 <REP> d-------- C:\rsit
2008-11-01 01:38 . 2008-11-01 01:38 <REP> d-------- C:\_OTMoveIt
2008-10-30 01:09 . 2008-10-30 01:09 <REP> d-------- c:\windows\system32\Kaspersky Lab
2008-10-29 22:12 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-10-29 22:11 . 2008-10-29 22:11 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-10-29 22:11 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-24 12:09 . 2008-10-15 18:35 337,408 --------- c:\windows\system32\dllcache\netapi32.dll
2008-10-23 18:17 . 2008-10-23 18:17 <REP> d-------- c:\documents and settings\ARGENTINA\Application Data\Yahoo!
2008-10-19 22:32 . 2008-10-19 22:32 <REP> d-------- c:\documents and settings\ARGENTINA\Application Data\Zylom
2008-10-19 22:32 . 2008-10-19 22:32 <REP> d-------- c:\documents and settings\All Users\Application Data\PlayFirst
2008-10-15 13:50 . 2008-08-14 15:23 2,191,232 --------- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 13:50 . 2008-08-14 15:23 2,147,328 --------- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 13:50 . 2008-08-14 15:23 2,068,096 --------- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 13:50 . 2008-08-14 15:23 2,025,984 --------- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 13:42 . 2008-09-15 17:26 1,846,528 --------- c:\windows\system32\dllcache\win32k.sys
2008-10-15 13:23 . 2008-09-08 12:41 333,824 --------- c:\windows\system32\dllcache\srv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-31 19:16 900 ----a-w c:\documents and settings\ARGENTINA\Application Data\wklnhst.dat
2008-10-08 19:41 --------- d-----w c:\program files\iPod
2008-10-08 19:41 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-07 17:29 --------- d-----w c:\documents and settings\ARGENTINA\Application Data\Hewlett-Packard
2008-10-06 17:34 --------- d-----w c:\program files\Fichiers communs\Hewlett-Packard
2008-10-06 17:32 --------- d-----w c:\program files\Hewlett-Packard
2008-10-03 18:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-09-25 19:15 --------- d-----w c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-09-25 19:09 --------- d-----w c:\documents and settings\ARGENTINA\Application Data\Malwarebytes
2008-09-25 19:09 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-09-24 18:56 --------- d-----w c:\program files\Bonjour
2008-09-24 18:55 --------- d-----w c:\program files\QuickTime
2008-09-24 15:34 --------- d-----w c:\program files\Zylom Games
2008-09-24 15:34 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
2008-09-22 17:46 --------- d-----w c:\program files\trend micro
2008-09-15 16:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-10 18:15 --------- d-----w c:\program files\Free
2008-08-29 09:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-08-29 08:53 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-08-27 10:11 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
2008-08-25 09:39 70,656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe
2008-08-25 09:38 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-08-23 06:56 635,848 ----a-w c:\windows\system32\dllcache\iexplore.exe
2008-08-23 06:54 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
2008-08-14 14:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 14:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-08-14 11:04 138,496 ------w c:\windows\system32\dllcache\afd.sys
2007-11-27 11:36 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-11-07_ 0.29.21,76 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-09 22:33:56 16,384 ----a-w c:\windows\temp\Perflib_Perfdata_6a8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-10-15 2577632]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Run Google Web Accelerator.lnk - c:\program files\Google\Web Accelerator\GoogleWebAccWarden.exe [2008-06-06 1134592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\svchost.exe"=
"c:\\Program Files\\Messenger\\Msmsgs.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7247:TCP"= 7247:TCP:BitComet 7247 TCP
"7247:UDP"= 7247:UDP:BitComet 7247 UDP

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\DRIVERS\EAPPkt.sys [2005-04-01 66048]
R2 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2004-07-19 4096]
R2 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2005-03-24 78208]
R2 int15.sys;int15.sys;c:\program files\Acer\eRecovery\int15.sys [2005-01-13 69632]
R2 osaio;osaio;c:\windows\system32\drivers\osaio.sys [2005-06-30 7296]
R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2008-10-22 38496]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\DRIVERS\LV532AV.SYS [2003-09-04 152576]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\DRIVERS\wg111v2.sys [2006-03-16 167808]
S3 V0260VID;Live! Cam Vista IM;c:\windows\system32\DRIVERS\V0260Vid.sys [2006-11-04 178913]
.
Contenu du dossier 'Tâches planifiées'

2008-11-09 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

2008-11-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-10 01:21:05
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\vsdatant]
"ImagePath"=""
.
--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: c:\windows\Explorer.EXE
-> c:\program files\WinRAR\rarext.dll
.
Heure de fin: 2008-11-10 1:22:16
ComboFix-quarantined-files.txt 2008-11-10 00:22:12
ComboFix3.txt 2008-11-06 23:30:34
ComboFix2.txt 2008-11-08 05:10:32

Avant-CF: 10 128 392 192 octets libres
Après-CF: 10,111,614,976 octets libres

153 --- E O F --- 2008-10-24 13:03:38
0
Réponse 57 / 103
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...

1- Si tu as encore UsbFix sur ton PC , supprimes le ainsi :

* Vas sur " démarrer " / "tous les programmes" / "UsbFix" --> cliques sur "Uninstal Usbfix" .

* Ou bien rends toi dans ce dossier > C:\Program Files\UsbFix .
là tu double-cliques sur le fichier " Uninstal.exe " pour désinstaller proprement l'outil ...

Car on va utiliser la dernière version sortie pour une ultime vérif ...

2- refais un coup de CCleaner (registre compris ) .

3- Télécharges UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

! Déconnectes toi d'internet et fermes toutes applications en cours !

--> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

Impératif :
Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

--> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil et laisses le travailler .

--> Le pc va redémarrer .

--> Une fois de retour à ton bureau , le rapport "UsbFix.txt" s'affiche .
Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )

PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
tapes explorer.exe et valides .
0
Réponse 58 / 103
waterlily_@live.fr
 
je crois que mon pc est foutu, j'arrive pas à avoir le log de usbfix quand je redemarre
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
????

t'es qui toi ??? tu t'es trompé de topic non ?
0
Réponse 59 / 103
gaelle93
 
non trompé de case j'ai mis mon mail à la place de mon pseudo :s
0
Réponse 60 / 103
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
oki ... :)
Si il ne s'affiche pas :
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt
0

Discussions similaires

PARTIZAN-ROOKIT KILLER
michel62 -
michel62 -

38 réponses
des spywares et Trojans envahissent mon pc
titite_baby -
titite_baby -

37 réponses
Worm WIN32, trojans SillyDL DIC,Rolepi GM
vinoth91 -
vinoth91 -

5 réponses