Un virus autorun
lili1602
Messages postés
131
Statut
Membre
-
Destrio5 Messages postés 99820 Statut Modérateur -
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,
bjr
voila mon pc est infecté il as des fichier dans mes partition autoruns.exe et autorun.inf
et msvbvm60.dll et vb6fr.dll qui s'affiche et quand je supprime sa réapparaître automatiquement même dans mes flashe disque
j'étulise un antivirus f-secure 7.00 qui me donne a chaque foi le message que il as un virus autorun mai il fait rien
j'ai un rapport la de hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:09:18, on 24-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\Autoruns.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\oracle\ora81\bin\vppdc.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\oracle\ora81\BIN\TNSLSNR.exe
c:\oracle\ora81\bin\ORACLE.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysDir] C:\WINDOWS\system32\Autoruns.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKLM\..\Policies\Explorer\Run: [CNCJ] .vbe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: OracleOraHome81Agent - Oracle Corporation - C:\oracle\ora81\bin\dbsnmp.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE
O23 - Service: OracleOraHome81CMAdmin - Unknown owner - C:\oracle\ora81\BIN\CMADMIN.EXE
O23 - Service: OracleOraHome81CMan - Unknown owner - C:\oracle\ora81\BIN\CMGW.EXE
O23 - Service: OracleOraHome81DataGatherer - Oracle Corporation - C:\oracle\ora81\bin\vppdc.exe
O23 - Service: OracleOraHome81PagingServer - Unknown owner - C:\oracle\ora81/bin/pagntsrv.exe
O23 - Service: OracleOraHome81TNSListener - Unknown owner - C:\oracle\ora81\BIN\TNSLSNR.exe
O23 - Service: OracleOraHome8ClientCache80 - Unknown owner - D:\dev6i\BIN\ONRSD80.EXE
O23 - Service: OracleServiceBASE - Oracle Corporation - c:\oracle\ora81\bin\ORACLE.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
bjr
voila mon pc est infecté il as des fichier dans mes partition autoruns.exe et autorun.inf
et msvbvm60.dll et vb6fr.dll qui s'affiche et quand je supprime sa réapparaître automatiquement même dans mes flashe disque
j'étulise un antivirus f-secure 7.00 qui me donne a chaque foi le message que il as un virus autorun mai il fait rien
j'ai un rapport la de hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:09:18, on 24-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\Autoruns.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\oracle\ora81\bin\vppdc.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\oracle\ora81\BIN\TNSLSNR.exe
c:\oracle\ora81\bin\ORACLE.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysDir] C:\WINDOWS\system32\Autoruns.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKLM\..\Policies\Explorer\Run: [CNCJ] .vbe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: OracleOraHome81Agent - Oracle Corporation - C:\oracle\ora81\bin\dbsnmp.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE
O23 - Service: OracleOraHome81CMAdmin - Unknown owner - C:\oracle\ora81\BIN\CMADMIN.EXE
O23 - Service: OracleOraHome81CMan - Unknown owner - C:\oracle\ora81\BIN\CMGW.EXE
O23 - Service: OracleOraHome81DataGatherer - Oracle Corporation - C:\oracle\ora81\bin\vppdc.exe
O23 - Service: OracleOraHome81PagingServer - Unknown owner - C:\oracle\ora81/bin/pagntsrv.exe
O23 - Service: OracleOraHome81TNSListener - Unknown owner - C:\oracle\ora81\BIN\TNSLSNR.exe
O23 - Service: OracleOraHome8ClientCache80 - Unknown owner - D:\dev6i\BIN\ONRSD80.EXE
O23 - Service: OracleServiceBASE - Oracle Corporation - c:\oracle\ora81\bin\ORACLE.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
A voir également:
- Un virus autorun
- Autorun - Télécharger - Optimisation
- Virus mcafee - Accueil - Piratage
- Autorun usb - Télécharger - Divers Utilitaires
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
26 réponses
Salut,
- Télécharge RavAntivirus d'Evosla sur ton bureau :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
- Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir avant de lancer le fix
- Clique droit sur le fichier rav.zip, puis "Extraire Ici".
- Doucle-clique sur "rav.exe" pour lancer le fix.
- Laisse le programme agir : il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
- Quitte le programme quand il affiche : Votre ordinateur est sain.
- Ensuite : retire tes disques amovibles et redémarre le PC.
- Télécharge RavAntivirus d'Evosla sur ton bureau :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
- Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir avant de lancer le fix
- Clique droit sur le fichier rav.zip, puis "Extraire Ici".
- Doucle-clique sur "rav.exe" pour lancer le fix.
- Laisse le programme agir : il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
- Quitte le programme quand il affiche : Votre ordinateur est sain.
- Ensuite : retire tes disques amovibles et redémarre le PC.
sa marche pas tu sai se que j'ai remarqué que il le supprime pui le régénérai une 2 foi pour que il le suprime une 2fois sa boucle et sa s'arrête pas que dois je faire slvp
Laisse tes disques amovibles brancher et fais ceci :
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
il as affiché comme si la zone de travail est arrête et il ma pas donné pour la langue j'espère ke c pas grave je te donne le rapport dans 2min le pc infecté n'est pas branché a internet maintenant il as redémarré
dsl pour la panique mai j'ai compris que je vai le formaté et j' avait des donné
voila le raport
ComboFix 08-09-22.06 - Administrateur 09/24/2008 12:48:56.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1256.1.1036.18.116 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RةCUPةRATION N'EST PAS INSTALLةE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\Autorun.inf
E:\Autorun.inf
G:\9yqusig.bat
G:\xk2n.bat
H:\Autorun.inf
.
((((((((((((((((((((((((((((( Fichiers cr??s du 2008-08-24 au 2008-09-24 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr?? dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 09:01 --------- d-----w C:\Program Files\F-Secure
2008-09-24 09:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\F-Secure
2008-09-07 09:42 --------- d-----w C:\Program Files\Trend Micro
2008-07-12 14:52 25,859,650 ----a-w C:\Silverlight.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ?l?ments vides & les ?l?ments initiaux l?gitimes ne sont pas list?s
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [04/03/2003 02:22 PM 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [04/03/2003 02:41 PM 114688]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [03/24/2008 04:15 PM 180269]
"SysDir"="C:\WINDOWS\system32\Autoruns.exe" [12/22/2007 10:24 PM 11144]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [11/21/2007 11:25 AM 182936]
"F-Secure TNB"="C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" [11/21/2007 11:25 AM 895584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\oracle\\ora81\\Apache\\Apache\\Apache.exe"=
R2 OracleOraHome81DataGatherer;OracleOraHome81DataGatherer;C:\oracle\ora81\bin\vppdc.exe [11/11/2000 11:48 PM 170724]
R2 OracleOraHome81TNSListener;OracleOraHome81TNSListener;C:\oracle\ora81\BIN\TNSLSNR [ ]
R2 OracleServiceBASE;OracleServiceBASE;c:\oracle\ora81\bin\ORACLE.EXE BASE [ ]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys [11/21/2007 11:24 AM 62048]
R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\system32\drivers\stac97na.sys [09/20/2002 06:42 PM 296179]
R3 STAC97NH;STAC97NH;C:\WINDOWS\system32\drivers\stac97nh.sys [09/20/2002 06:43 PM 231983]
S2 OracleOraHome81Agent;OracleOraHome81Agent;C:\oracle\ora81\bin\dbsnmp.exe [11/11/2000 11:48 PM 246332]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;C:\oracle\ora81\BIN\ONRSD.EXE [10/19/2000 11:55 AM 411244]
S3 OracleOraHome81CMAdmin;OracleOraHome81CMAdmin;C:\oracle\ora81\BIN\CMADMIN.EXE [10/19/2000 11:17 AM 172680]
S3 OracleOraHome81CMan;OracleOraHome81CMan;C:\oracle\ora81\BIN\CMGW.EXE [10/19/2000 11:18 AM 179836]
S3 OracleOraHome81PagingServer;OracleOraHome81PagingServer;C:\oracle\ora81/bin/pagntsrv.exe [03/15/2008 12:04 PM 52224]
S3 OracleOraHome8ClientCache80;OracleOraHome8ClientCache80;D:\dev6i\BIN\ONRSD80.EXE [02/27/2004 04:51 PM 101136]
S4 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [11/21/2007 11:25 AM 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [11/21/2007 11:25 AM 25184]
S4 OracleOraHome81HTTPServer;OracleOraHome81HTTPServer;C:\oracle\ora81\Apache\Apache\Apache.exe [11/09/2000 09:12 AM 3584]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{748d0153-0085-11dd-aed4-000ae6028a8d}]
\Shell\AutoRun\command - G:\1u0o8bnq.cmd
\Shell\explore\Command - G:\1u0o8bnq.cmd
\Shell\open\Command - G:\1u0o8bnq.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77a4cddd-f28b-11dc-aebe-f0681c2a4824}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Autoruns.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe
HKLM-Explorer_Run-CNCJ - .vbe
.
------- Examen suppl?mentaire -------
.
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 12:58:42
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cach?s ...
Recherche d'?l?ments en d?marrage automatique cach?s ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysDir = C:\WINDOWS\system32\Autoruns.exe??3?2???????????????(???C?:?\?W
Recherche de fichiers cach?s ...
Scan termin? avec succ?s
Fichiers cach?s: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81PagingServer]
"ImagePath"="C:\oracle\ora81/bin/pagntsrv.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81TNSListener]
"ImagePath"="C:\oracle\ora81\BIN\TNSLSNR "
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\common\FSMB32.EXE
C:\oracle\ora81\bin\TNSLSNR.EXE
C:\oracle\ora81\bin\oracle.exe
C:\Program Files\F-Secure\common\FCH32.EXE
C:\Program Files\F-Secure\common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\common\FNRB32.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\common\FIH32.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
**************************************************************************
.
Heure de fin: 09/24/2008 13:03:41 - La machine a red?marr?
ComboFix-quarantined-files.txt 2008-09-24 12:03:22
Avant-CF: 6,080,299,008 octets libres
Après-CF: 6,600,749,056 octets libres
117
merci...................
voila le raport
ComboFix 08-09-22.06 - Administrateur 09/24/2008 12:48:56.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1256.1.1036.18.116 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RةCUPةRATION N'EST PAS INSTALLةE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\Autorun.inf
E:\Autorun.inf
G:\9yqusig.bat
G:\xk2n.bat
H:\Autorun.inf
.
((((((((((((((((((((((((((((( Fichiers cr??s du 2008-08-24 au 2008-09-24 ))))))))))))))))))))))))))))))))))))
.
Pas de nouveau fichier cr?? dans ce laps de temps
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 09:01 --------- d-----w C:\Program Files\F-Secure
2008-09-24 09:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\F-Secure
2008-09-07 09:42 --------- d-----w C:\Program Files\Trend Micro
2008-07-12 14:52 25,859,650 ----a-w C:\Silverlight.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ?l?ments vides & les ?l?ments initiaux l?gitimes ne sont pas list?s
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [04/03/2003 02:22 PM 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [04/03/2003 02:41 PM 114688]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [03/24/2008 04:15 PM 180269]
"SysDir"="C:\WINDOWS\system32\Autoruns.exe" [12/22/2007 10:24 PM 11144]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [11/21/2007 11:25 AM 182936]
"F-Secure TNB"="C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" [11/21/2007 11:25 AM 895584]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\oracle\\ora81\\Apache\\Apache\\Apache.exe"=
R2 OracleOraHome81DataGatherer;OracleOraHome81DataGatherer;C:\oracle\ora81\bin\vppdc.exe [11/11/2000 11:48 PM 170724]
R2 OracleOraHome81TNSListener;OracleOraHome81TNSListener;C:\oracle\ora81\BIN\TNSLSNR [ ]
R2 OracleServiceBASE;OracleServiceBASE;c:\oracle\ora81\bin\ORACLE.EXE BASE [ ]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys [11/21/2007 11:24 AM 62048]
R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\system32\drivers\stac97na.sys [09/20/2002 06:42 PM 296179]
R3 STAC97NH;STAC97NH;C:\WINDOWS\system32\drivers\stac97nh.sys [09/20/2002 06:43 PM 231983]
S2 OracleOraHome81Agent;OracleOraHome81Agent;C:\oracle\ora81\bin\dbsnmp.exe [11/11/2000 11:48 PM 246332]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;C:\oracle\ora81\BIN\ONRSD.EXE [10/19/2000 11:55 AM 411244]
S3 OracleOraHome81CMAdmin;OracleOraHome81CMAdmin;C:\oracle\ora81\BIN\CMADMIN.EXE [10/19/2000 11:17 AM 172680]
S3 OracleOraHome81CMan;OracleOraHome81CMan;C:\oracle\ora81\BIN\CMGW.EXE [10/19/2000 11:18 AM 179836]
S3 OracleOraHome81PagingServer;OracleOraHome81PagingServer;C:\oracle\ora81/bin/pagntsrv.exe [03/15/2008 12:04 PM 52224]
S3 OracleOraHome8ClientCache80;OracleOraHome8ClientCache80;D:\dev6i\BIN\ONRSD80.EXE [02/27/2004 04:51 PM 101136]
S4 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [11/21/2007 11:25 AM 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [11/21/2007 11:25 AM 25184]
S4 OracleOraHome81HTTPServer;OracleOraHome81HTTPServer;C:\oracle\ora81\Apache\Apache\Apache.exe [11/09/2000 09:12 AM 3584]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{748d0153-0085-11dd-aed4-000ae6028a8d}]
\Shell\AutoRun\command - G:\1u0o8bnq.cmd
\Shell\explore\Command - G:\1u0o8bnq.cmd
\Shell\open\Command - G:\1u0o8bnq.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77a4cddd-f28b-11dc-aebe-f0681c2a4824}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Autoruns.exe
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe
HKLM-Explorer_Run-CNCJ - .vbe
.
------- Examen suppl?mentaire -------
.
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 12:58:42
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cach?s ...
Recherche d'?l?ments en d?marrage automatique cach?s ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysDir = C:\WINDOWS\system32\Autoruns.exe??3?2???????????????(???C?:?\?W
Recherche de fichiers cach?s ...
Scan termin? avec succ?s
Fichiers cach?s: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81PagingServer]
"ImagePath"="C:\oracle\ora81/bin/pagntsrv.exe"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81TNSListener]
"ImagePath"="C:\oracle\ora81\BIN\TNSLSNR "
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\common\FSMB32.EXE
C:\oracle\ora81\bin\TNSLSNR.EXE
C:\oracle\ora81\bin\oracle.exe
C:\Program Files\F-Secure\common\FCH32.EXE
C:\Program Files\F-Secure\common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\common\FNRB32.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\common\FIH32.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
**************************************************************************
.
Heure de fin: 09/24/2008 13:03:41 - La machine a red?marr?
ComboFix-quarantined-files.txt 2008-09-24 12:03:22
Avant-CF: 6,080,299,008 octets libres
Après-CF: 6,600,749,056 octets libres
117
merci...................
Laisse toujours tes disques amovibles brancher. Je vais te faire un script.
Pourquoi tu parles de formatage ?
Pourquoi tu parles de formatage ?
ok merci je peut les branché les flashe a nouveau
non j'ai paniqué quand j'ai pas vu mon bureau s'affiche dsl encore
non j'ai paniqué quand j'ai pas vu mon bureau s'affiche dsl encore
Laisse ComboFix de côté pour l'instant.
---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm
---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm
Ce n'est pas le bon fichier.
Retente avec ce lien :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware
Retente avec ce lien :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware
/!\ Seul lili1602 peut suivre cette procédure /!\
1/
---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
File::
G:\1u0o8bnq.cmd
C:\WINDOWS\system32\Autoruns.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-
"SysDir"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{748d0153-0085-11dd-aed4-000ae6028a8d}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77a4cddd-f28b-11dc-aebe-f0681c2a4824}]
---> Colle la sélection dans le bloc-notes
---> Enregistre ce fichier sur le bureau (Impératif)
---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes
2/
---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
[*] Une fois le scan achevé, un rapport va s'afficher : poste-le
[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt
1/
---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
File::
G:\1u0o8bnq.cmd
C:\WINDOWS\system32\Autoruns.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-
"SysDir"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{748d0153-0085-11dd-aed4-000ae6028a8d}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77a4cddd-f28b-11dc-aebe-f0681c2a4824}]
---> Colle la sélection dans le bloc-notes
---> Enregistre ce fichier sur le bureau (Impératif)
---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes
2/
---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
[*] Une fois le scan achevé, un rapport va s'afficher : poste-le
[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt
