un virus autorun

Question

Bonjour,
bjr 
voila mon pc est infecté il as des fichier dans mes partition autoruns.exe et autorun.inf 
et msvbvm60.dll et vb6fr.dll qui s'affiche et quand je supprime sa réapparaître  automatiquement même  dans mes flashe disque 
j'étulise un antivirus f-secure 7.00 qui me donne a chaque foi le message que il as un virus autorun mai il fait rien 
j'ai un rapport la de hijackthis



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:09:18, on 24-09-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\Autoruns.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\oracle\ora81\bin\vppdc.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\oracle\ora81\BIN\TNSLSNR.exe
c:\oracle\ora81\bin\ORACLE.EXE
C:\WINDOWS\system32\slserv.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SysDir] C:\WINDOWS\system32\Autoruns.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
O4 - HKLM\..\Policies\Explorer\Run: [CNCJ] .vbe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: OracleOraHome81Agent - Oracle Corporation - C:\oracle\ora81\bin\dbsnmp.exe
O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\oracle\ora81\BIN\ONRSD.EXE
O23 - Service: OracleOraHome81CMAdmin - Unknown owner - C:\oracle\ora81\BIN\CMADMIN.EXE
O23 - Service: OracleOraHome81CMan - Unknown owner - C:\oracle\ora81\BIN\CMGW.EXE
O23 - Service: OracleOraHome81DataGatherer - Oracle Corporation - C:\oracle\ora81\bin\vppdc.exe
O23 - Service: OracleOraHome81PagingServer - Unknown owner - C:\oracle\ora81/bin/pagntsrv.exe
O23 - Service: OracleOraHome81TNSListener - Unknown owner - C:\oracle\ora81\BIN\TNSLSNR.exe
O23 - Service: OracleOraHome8ClientCache80 - Unknown owner - D:\dev6i\BIN\ONRSD80.EXE
O23 - Service: OracleServiceBASE - Oracle Corporation - c:\oracle\ora81\bin\ORACLE.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

Destrio5 · Answer

Salut,

- Télécharge RavAntivirus d'Evosla sur ton bureau : 
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

- Branche tes disques amovibles à ton PC (clefs USB, disque dur externe, etc...) sans les ouvrir avant de lancer le fix

- Clique droit sur le fichier rav.zip, puis "Extraire Ici".

- Doucle-clique sur "rav.exe" pour lancer le fix.

- Laisse le programme agir : il scanne automatiquement tous les lecteurs (disques fixes et amovibles)

- Quitte le programme quand il affiche : Votre ordinateur est sain.

- Ensuite : retire tes disques amovibles et redémarre le PC.

lili1602 · Answer

merci je sui entraine de scanné mon pc on va voire se que il va donné thinque

lili1602 · Answer

sa marche pas tu sai se que j'ai remarqué que il le supprime pui le régénérai une 2 foi pour que il le suprime une 2fois sa boucle et sa s'arrête pas que dois je faire slvp

Destrio5 · Answer

Laisse tes disques amovibles brancher et fais ceci :

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

lili1602 · Answer

il as affiché comme si la zone de travail est arrête et il ma pas donné pour la langue j'espère ke c pas grave je te donne le rapport dans 2min le pc infecté n'est pas branché a internet maintenant il as redémarré

lili1602 · Answer

il affiche pas mon bureau de trvail et il afiche une autre page

Destrio5 · Answer

Ok, laisse faire.

lili1602 · Answer

il m'afiche un message comme si je touche a rien juska ou il fini son travail

Destrio5 · Answer

La fenêtre te marque quoi ?

lili1602 · Answer

dsl pour la panique mai j'ai compris  que je vai le formaté et j' avait des donné 
voila le raport 
ComboFix 08-09-22.06 - Administrateur 09/24/2008 12:48:56.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1256.1.1036.18.116 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
 * Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE R&#1577;CUP&#1577;RATION N'EST PAS INSTALL&#1577;E SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf
E:\Autorun.inf
G:\9yqusig.bat
G:\xk2n.bat
H:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers cr??s du 2008-08-24 au 2008-09-24  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr?? dans ce laps de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 09:01	---------	d-----w	C:\Program Files\F-Secure
2008-09-24 09:01	---------	d-----w	C:\Documents and Settings\All Users\Application Data\F-Secure
2008-09-07 09:42	---------	d-----w	C:\Program Files\Trend Micro
2008-07-12 14:52	25,859,650	----a-w	C:\Silverlight.exe
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ?l?ments vides & les ?l?ments initiaux l?gitimes ne sont pas list?s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [04/03/2003 02:22 PM 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [04/03/2003 02:41 PM 114688]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe" [03/24/2008 04:15 PM 180269]
"SysDir"="C:\WINDOWS\system32\Autoruns.exe" [12/22/2007 10:24 PM 11144]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [11/21/2007 11:25 AM 182936]
"F-Secure TNB"="C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" [11/21/2007 11:25 AM 895584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"C:\oracle\ora81\Apache\Apache\Apache.exe"=

R2 OracleOraHome81DataGatherer;OracleOraHome81DataGatherer;C:\oracle\ora81\bin\vppdc.exe [11/11/2000 11:48 PM 170724]
R2 OracleOraHome81TNSListener;OracleOraHome81TNSListener;C:\oracle\ora81\BIN\TNSLSNR  [ ]
R2 OracleServiceBASE;OracleServiceBASE;c:\oracle\ora81\bin\ORACLE.EXE BASE [ ]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys [11/21/2007 11:24 AM 62048]
R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\system32\drivers\stac97na.sys [09/20/2002 06:42 PM 296179]
R3 STAC97NH;STAC97NH;C:\WINDOWS\system32\drivers\stac97nh.sys [09/20/2002 06:43 PM 231983]
S2 OracleOraHome81Agent;OracleOraHome81Agent;C:\oracle\ora81\bin\dbsnmp.exe [11/11/2000 11:48 PM 246332]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;C:\oracle\ora81\BIN\ONRSD.EXE [10/19/2000 11:55 AM 411244]
S3 OracleOraHome81CMAdmin;OracleOraHome81CMAdmin;C:\oracle\ora81\BIN\CMADMIN.EXE [10/19/2000 11:17 AM 172680]
S3 OracleOraHome81CMan;OracleOraHome81CMan;C:\oracle\ora81\BIN\CMGW.EXE [10/19/2000 11:18 AM 179836]
S3 OracleOraHome81PagingServer;OracleOraHome81PagingServer;C:\oracle\ora81/bin/pagntsrv.exe [03/15/2008 12:04 PM 52224]
S3 OracleOraHome8ClientCache80;OracleOraHome8ClientCache80;D:\dev6i\BIN\ONRSD80.EXE [02/27/2004 04:51 PM 101136]
S4 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [11/21/2007 11:25 AM 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [11/21/2007 11:25 AM 25184]
S4 OracleOraHome81HTTPServer;OracleOraHome81HTTPServer;C:\oracle\ora81\Apache\Apache\Apache.exe [11/09/2000 09:12 AM 3584]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{748d0153-0085-11dd-aed4-000ae6028a8d}]
\Shell\AutoRun\command - G:\1u0o8bnq.cmd
\Shell\explore\Command - G:\1u0o8bnq.cmd
\Shell\open\Command - G:\1u0o8bnq.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77a4cddd-f28b-11dc-aebe-f0681c2a4824}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Autoruns.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe
HKLM-Explorer_Run-CNCJ - .vbe


.
------- Examen suppl?mentaire -------
.
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 12:58:42
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cach?s ...

Recherche d'?l?ments en d?marrage automatique cach?s ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  SysDir = C:\WINDOWS\system32\Autoruns.exe??3?2???????????????(???C?:?\?W 

Recherche de fichiers cach?s ...

Scan termin? avec succ?s
Fichiers cach?s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81PagingServer]
"ImagePath"="C:\oracle\ora81/bin/pagntsrv.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81TNSListener]
"ImagePath"="C:\oracle\ora81\BIN\TNSLSNR "
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\common\FSMB32.EXE
C:\oracle\ora81\bin\TNSLSNR.EXE
C:\oracle\ora81\bin\oracle.exe
C:\Program Files\F-Secure\common\FCH32.EXE
C:\Program Files\F-Secure\common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\common\FNRB32.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\common\FIH32.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
.
**************************************************************************
.
Heure de fin: 09/24/2008 13:03:41 - La machine a red?marr?
ComboFix-quarantined-files.txt  2008-09-24 12:03:22

Avant-CF: 6,080,299,008 octets libres
Après-CF: 6,600,749,056 octets libres

117
merci...................

Destrio5 · Answer

Laisse toujours tes disques amovibles brancher. Je vais te faire un script.

Pourquoi tu parles de formatage ?

lili1602 · Answer

ok merci je peut les branché les flashe a nouveau 
non j'ai paniqué quand j'ai pas vu mon bureau s'affiche dsl encore

Destrio5 · Answer

Laisse ComboFix de côté pour l'instant.

---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

lili1602 · Answer

ok je te fatigue avec moi merci encore je vai le faire

lili1602 · Answer

le lien ma  téléchargé se nom c sa sdsetup.exe.part
et je laisse tjr mes flashe disque branché

Destrio5 · Answer

Ce n'est pas le bon fichier.

Retente avec ce lien :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware

lili1602 · Answer

il me demande internet je té dit que le pc n'est pas branché a internet 
je fait un scane s'imple

Destrio5 · Answer

Ok.

lili1602 · Answer

il m'affiche que il yas aucun fichier indisirable

Destrio5 · Answer

/!\ Seul lili1602 peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
G:\1u0o8bnq.cmd 
C:\WINDOWS\system32\Autoruns.exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"TkBellExe"=-
"SysDir"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{748d0153-0085-11dd-aed4-000ae6028a8d}] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77a4cddd-f28b-11dc-aebe-f0681c2a4824}] 





---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

lili1602 · Answer

ComboFix 08-09-22.06 - Administrateur 09/24/2008 14:17:42.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1256.1.1036.18.100 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\cfscript.txt
 * Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE R&#1577;CUP&#1577;RATION N'EST PAS INSTALL&#1577;E SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\Autoruns.exe
G:\1u0o8bnq.cmd
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Autoruns.exe
D:\Autorun.inf
E:\Autorun.inf
H:\Autorun.inf

.
(((((((((((((((((((((((((((((   Fichiers cr??s du 2008-08-24 au 2008-09-24  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr?? dans ce laps de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 12:39	---------	d-----w	C:\Program Files\Malwarebytes' Anti-Malware
2008-09-24 12:39	---------	d-----w	C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-24 12:39	---------	d-----w	C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-09-24 09:01	---------	d-----w	C:\Program Files\F-Secure
2008-09-24 09:01	---------	d-----w	C:\Documents and Settings\All Users\Application Data\F-Secure
2008-09-09 23:04	38,528	----a-w	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 23:03	17,200	----a-w	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-07 09:42	---------	d-----w	C:\Program Files\Trend Micro
2008-07-12 14:52	25,859,650	----a-w	C:\Silverlight.exe
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ?l?ments vides & les ?l?ments initiaux l?gitimes ne sont pas list?s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [04/03/2003 02:22 PM 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [04/03/2003 02:41 PM 114688]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [11/21/2007 11:25 AM 182936]
"F-Secure TNB"="C:\Program Files\F-Secure\FSGUI\TNBUtil.exe" [11/21/2007 11:25 AM 895584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [08/04/2004 05:54 AM 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"C:\oracle\ora81\Apache\Apache\Apache.exe"=

R2 OracleOraHome81DataGatherer;OracleOraHome81DataGatherer;C:\oracle\ora81\bin\vppdc.exe [11/11/2000 11:48 PM 170724]
R2 OracleOraHome81TNSListener;OracleOraHome81TNSListener;C:\oracle\ora81\BIN\TNSLSNR  [ ]
R2 OracleServiceBASE;OracleServiceBASE;c:\oracle\ora81\bin\ORACLE.EXE BASE [ ]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\minifilter\fsgk.sys [11/21/2007 11:24 AM 62048]
R3 STAC97NA;SigmaTel 3D Environmental Audio;C:\WINDOWS\system32\drivers\stac97na.sys [09/20/2002 06:42 PM 296179]
R3 STAC97NH;STAC97NH;C:\WINDOWS\system32\drivers\stac97nh.sys [09/20/2002 06:43 PM 231983]
S2 OracleOraHome81Agent;OracleOraHome81Agent;C:\oracle\ora81\bin\dbsnmp.exe [11/11/2000 11:48 PM 246332]
S3 OracleOraHome81ClientCache;OracleOraHome81ClientCache;C:\oracle\ora81\BIN\ONRSD.EXE [10/19/2000 11:55 AM 411244]
S3 OracleOraHome81CMAdmin;OracleOraHome81CMAdmin;C:\oracle\ora81\BIN\CMADMIN.EXE [10/19/2000 11:17 AM 172680]
S3 OracleOraHome81CMan;OracleOraHome81CMan;C:\oracle\ora81\BIN\CMGW.EXE [10/19/2000 11:18 AM 179836]
S3 OracleOraHome81PagingServer;OracleOraHome81PagingServer;C:\oracle\ora81/bin/pagntsrv.exe [03/15/2008 12:04 PM 52224]
S3 OracleOraHome8ClientCache80;OracleOraHome8ClientCache80;D:\dev6i\BIN\ONRSD80.EXE [02/27/2004 04:51 PM 101136]
S4 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [11/21/2007 11:25 AM 39776]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [11/21/2007 11:25 AM 25184]
S4 OracleOraHome81HTTPServer;OracleOraHome81HTTPServer;C:\oracle\ora81\Apache\Apache\Apache.exe [11/09/2000 09:12 AM 3584]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 14:25:35
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cach?s ...

Recherche d'?l?ments en d?marrage automatique cach?s ...

Recherche de fichiers cach?s ...

Scan termin? avec succ?s
Fichiers cach?s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81PagingServer]
"ImagePath"="C:\oracle\ora81/bin/pagntsrv.exe"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OracleOraHome81TNSListener]
"ImagePath"="C:\oracle\ora81\BIN\TNSLSNR "
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\common\FSMB32.EXE
C:\oracle\ora81\bin\TNSLSNR.EXE
C:\oracle\ora81\bin\oracle.exe
C:\Program Files\F-Secure\common\FCH32.EXE
C:\Program Files\F-Secure\common\FAMEH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
C:\Program Files\F-Secure\common\FNRB32.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\FSAUA\program\fsaua.exe
C:\Program Files\F-Secure\common\FIH32.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSGUI\fsguidll.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
.
**************************************************************************
.
Heure de fin: 09/24/2008 14:30:12 - La machine a red?marr?
ComboFix-quarantined-files.txt  2008-09-24 13:29:50
ComboFix2.txt  2008-09-24 12:03:43

Avant-CF: 6,584,340,480 octets libres
Après-CF: 6,575,976,448 octets libres

108
 voila le raport je peut avoir une solution maintent

Destrio5 · Answer

Il date de quelle année l'antivirus F-Secure ?

lili1602 · Answer

2007

Destrio5 · Answer

C'est quoi le logiciel Oracle ?

lili1602 · Answer

oracle c un environnement de développement il gère les grand base de donné 
et autre chose la je quitte le travail par se que le pc infecté si selui de bureau mai si tu m'indique un autre anti virus
je te dit 10000 fois merci
se f-secur c la version 7.00 de 2007 
merci encore et dsl pour le dérangement 
peut etre  la nuit je connecte de la maison et tu me dit la bonne solution merci encore

Destrio5 · Answer

Tu me pourras si tu as encore des problèmes.

Un virus autorun

26 réponses

Votre réponse

Discussions similaires

Newsletters