Sujet Précédent Sujet Suivant

Trojan-gen (other)

vivou -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
encore une victime du trojan-gen!
voila un log hijackthis
si vs pouvez m'aider c cool

Logfile of HijackThis v1.99.1
Scan saved at 11:51:01, on 28/02/2007
Platform: Unknown Windows (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\lphc537j0e7ag.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Users\bobby.PC-de-gobby\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lphc537j0e7ag] C:\Windows\system32\lphc537j0e7ag.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll
O11 - Options group: [INTERNATIONAL] International*
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: aplsmart - {532C41DF-267F-1A1F-C527-034A43CF16B4} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
A voir également:

32 réponses

  • 1
  • 2
Réponse 1 / 32
vivou
 
jcrgnyfi.exe

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.25.0 2008.09.26 -
AntiVir 7.8.1.34 2008.09.28 TR/Downloader.Gen
Authentium 5.1.0.4 2008.09.28 -
Avast 4.8.1195.0 2008.09.27 Win32:PureMorph
AVG 8.0.0.161 2008.09.28 Generic11.YJD
BitDefender 7.2 2008.09.28 -
CAT-QuickHeal 9.50 2008.09.27 Win32.Trojan.Obfuscated.gx.3
ClamAV 0.93.1 2008.09.28 -
DrWeb 4.44.0.09170 2008.09.28 -
eSafe 7.0.17.0 2008.09.28 Win32.Obfuscated.gx
eTrust-Vet 31.6.6110 2008.09.26 -
Ewido 4.0 2008.09.28 -
F-Prot 4.4.4.56 2008.09.27 -
F-Secure 8.0.14332.0 2008.09.28 Trojan.Win32.Obfuscated.gx
Fortinet 3.113.0.0 2008.09.28 W32/PolySmall.BP!tr
GData 19 2008.09.28 Win32:PureMorph
Ikarus T3.1.1.34.0 2008.09.28 Trojan.Win32.Obfuscated.gx
K7AntiVirus 7.10.476 2008.09.27 -
Kaspersky 7.0.0.125 2008.09.28 Trojan.Win32.Obfuscated.gx
McAfee 5393 2008.09.27 FakeAlert-BD
Microsoft 1.3903 2008.09.28 Trojan:Win32/Busky.EH
NOD32 3478 2008.09.28 -
Norman 5.80.02 2008.09.26 -
Panda 9.0.0.4 2008.09.28 Adware/Lop
PCTools 4.4.2.0 2008.09.26 -
Prevx1 V2 2008.09.28 Adware
Rising 20.63.62.00 2008.09.28 -
SecureWeb-Gateway 6.7.6 2008.09.28 Trojan.Downloader.Gen
Sophos 4.34.0 2008.09.28 -
Sunbelt 3.1.1675.1 2008.09.27 Trojan.Win32.Obfuscated.gx
Symantec 10 2008.09.28 Packed.Generic.182
TheHacker 6.3.0.9.095 2008.09.27 -
TrendMicro 8.700.0.1004 2008.09.26 -
VBA32 3.12.8.6 2008.09.27 Trojan.Win32.Obfuscated.gx
ViRobot 2008.9.26.1394 2008.09.26 -
VirusBuster 4.5.11.0 2008.09.28 -
Information additionnelle
File size: 73728 bytes
MD5...: 6f4335aecf336388ac267b62fc23c67b
SHA1..: 1aa0eef2d20ce79794b7ad636c0d2105e6965015
SHA256: 393a92df1d15ecba29344d4da491c9ce8f005a7fc2da88ea9f20c9f49fddca72
SHA512: e92ebfff6067f8923012a361081a184d2e35d86d0752e7abe47e3174886daacd
f1b5374b20fc356db626a4d6785f7eb72193652c17a30475d247b3f500ad8f49
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4083c6
timedatestamp.....: 0x48cd722e (Sun Sep 14 20:21:02 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe52c 0xf000 6.78 15fb3c6b0aeded60eaf238c3d13efb4f
.rdata 0x10000 0x5f4 0x1000 2.54 b8aa6d97ccc323731803ba58c28c0214
.data 0x11000 0x414 0x1000 0.28 ed63e6e30b561d1eb7e4bf0e011af1e4

( 3 imports )
> KERNEL32.dll: WideCharToMultiByte, GetProcAddress, ResumeThread, CancelWaitableTimer, FindResourceExW, SetEndOfFile, GetFileSize, GetSystemTime, WaitForSingleObject, SetFilePointer, MulDiv, GetLocalTime, FindFirstChangeNotificationW, FileTimeToSystemTime, LoadResource, GetLogicalDrives, SetCurrentDirectoryW, GetPrivateProfileStringW, LoadLibraryA, SetThreadPriority, GetUserDefaultLangID, FindNextChangeNotification
> USER32.dll: RegisterClassExW, EnableWindow, GetMessageW, EndDialog, RedrawWindow, LoadImageW, SetCursor, GetWindowDC, SetWindowTextW, DefWindowProcW, SendMessageW, CreateWindowExW, DispatchMessageW, UpdateWindow, RegisterHotKey, GetCursorPos, GetParent, OffsetRect, SystemParametersInfoW, ReleaseCapture
> GDI32.dll: CreateRoundRectRgn, CreateCompatibleBitmap, GetObjectW, SetDIBits, CreateICW, SetBkColor, StretchBlt, CreateBitmap, SetMapMode, MoveToEx, DeleteDC, GetDeviceCaps

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E0E8A8730008F8DD2027013B4625F300BD600522
1
Réponse 2 / 32
ep44 Messages postés 7432 Statut Contributeur 3
 
Bonjour sKe69

je me retire et te laisse la main ;)

@+
0
Réponse 3 / 32
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

protocole à suivre pour Windows Vista :

*Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
Puis redémarrer le PC quand il le vous saura demandé ...

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fait toujours ainsi :
cliques DROIT ( sur le setup d'installe ou l'outil )-> choisis " Exécuter entant qu'administrateur " .
Fais ce-ci systématiquement ! ...

*********************************************************
une fois ceci fais et pris en compte , fais ce qui suit :

1- Supprimes ton hijackthis , cette version est obselette et mal installé ...

ensuite :

Télécharges et installes le logiciel HijackThis :

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

2-Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installes le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php

Utilisation ---> option 1 / Recherche :
Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)
0
Réponse 4 / 32
vivou
 
SmitFraudFix v2.354

Scan done at 13:34:33,78, 28/02/2007
Run from C:\Users\bobby.PC-de-gobby\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\svchost.exe
C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\lphc537j0e7ag.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\bobby.PC-de-gobby

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\bobby.PC-de-gobby\Application Data

C:\Users\bobby.PC-de-gobby\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\BOBBY~1.PC-\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000000

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6132981F-30A1-4C06-809E-EB1AD15D3E90}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6132981F-30A1-4C06-809E-EB1AD15D3E90}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6132981F-30A1-4C06-809E-EB1AD15D3E90}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

pour un fichier AntiXPVSTFix une fenetre s'ouvre et ca me dit que le processus a cessé de fonctionner
je clique fermer et ca repart. C'est normal?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 32
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Ok ...

continuons :

Suite de la manipe ( nettoyage ), fais exactement ce qui suit :

* Impératif : Redémarrer l'ordinateur en mode sans échec .
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

*Double click sur SmitfraudFix.exe

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

-> Si besion :
* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

( Le correctif déterminera si le fichier wininet.dll est infecté.)

* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
pour remplacer le fichier corrompu.

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement )

Le rapport se trouve à la racine de C\:
(dans le fichier "rapport.txt")

Postes moi ce dernier rapport ... mais attention, ne me postes pas la listes entière du chapitre " hosts " ( c'est trop long pour le forum ;), justes le début et la fin... ) .

Postes aussi un nouveau rapport hijackthis ( fais en mode normal ) et attends les instructions ...
0
Réponse 6 / 32
vivou
 
je viens de faire la manip mais il est tjs la
rapport smitfraudfix

SmitFraudFix v2.354

Scan done at 17:43:56,81, 28/02/2007
Run from C:\Users\bobby.PC-de-gobby\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Users\bobby.PC-de-gobby\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6132981F-30A1-4C06-809E-EB1AD15D3E90}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6132981F-30A1-4C06-809E-EB1AD15D3E90}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6132981F-30A1-4C06-809E-EB1AD15D3E90}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End
0
Réponse 7 / 32
vivou
 
puis highjack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:52:11, on 28/02/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\lphc537j0e7ag.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lphc537j0e7ag] C:\Windows\system32\lphc537j0e7ag.exe
O4 - HKLM\..\Run: [AutorunReload] Autoload.exe D:\\autorun.EXE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [qCOHaNyWv4] C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: aplsmart - {532C41DF-267F-1A1F-C527-034A43CF16B4} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
0
Réponse 8 / 32
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
je viens de faire la manip mais il est tjs la

C'est normale ... ^^ Il y a encore pas mal de boulot ...

Il me faut un nouveau rapport hijackthis comme je te l'ai demander stp ...;)
0
Réponse 9 / 32
vivou
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:09, on 28/02/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\lphc537j0e7ag.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lphc537j0e7ag] C:\Windows\system32\lphc537j0e7ag.exe
O4 - HKLM\..\Run: [AutorunReload] Autoload.exe D:\\autorun.EXE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [qCOHaNyWv4] C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: aplsmart - {532C41DF-267F-1A1F-C527-034A43CF16B4} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
0
Réponse 10 / 32
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re, on c'est croisé ...:p

La suite dans l'ordre :

1- Désactives le " tea timer " de Spybot S&D avant de poursuivre .... tu le réactivera en toute fin de désinfection, pas avant ( en tu accepteras à ce moment là , toutes les modifs de registre qu'il te demandera ) .

2- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

3- Avant de poursuivre , on va faire quelques vérifes :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche :
C:\ProgramData\ruzkfyhm\jcrgnyfi.exe

Cliques sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copies le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

Fais de même pour :

D:\autorun.EXE

postes moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

0
Réponse 11 / 32
vivou
 
par contre qd je fais d: autorun ya mon lecteur dvd qui s'ouvre et il me de mande un cd
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Ok ... laisse courir pour D , fausse alerte ...


La suite :


1-Vas dans panneau de config ("affichage classique")/"Programmes et fonctionnalité" .
Regardes dans la liste si tu trouves un prg comme : " CID Help ", "Circle Developement" ou
"Adverts" --->si ils s'y trouvent , supprimes les .


2-Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Double cliques sur sur l'.exe que tu viens de télécharger pour lancer l'instale .

Déconnetes toi et fermes toutes tes applications en cours .

Une fois l'instalation faite, click droit sur le raccourci et choisis " exécuter entant qu' admin..." .

Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe
0
Réponse 12 / 32
vivou
 
--------------------\\ Lop S&D 4.2.4-4 XP/Vista

Microsoft® Windows Vista™ Édition Familiale Premium ( v6.0.6000 )
X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU 6600 @ 2.40GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : bobby ( Administrator )
BOOT : Normal boot
Antivirus : avast! antivirus 4.8.1229 [VPS 080814-0] 4.8.1229 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total : 74 Go Free : 30 Go
D:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-09-2008|22:20 )
Option : [1] ( 28/02/2007|18:37 )

[ UAC => 0 ]

--------------------\\ Listing des dossiers dans Local

[10/08/2008|16:36] C:\Users\BOBBY~1.PC-\AppData\Local\Adobe
[10/08/2008|14:13] C:\Users\BOBBY~1.PC-\AppData\Local\Application Data
[16/01/2007|13:01] C:\Users\BOBBY~1.PC-\AppData\Local\ApplicationHistory
[10/08/2008|14:22] C:\Users\BOBBY~1.PC-\AppData\Local\d3d8caps.dat
[10/08/2008|15:10] C:\Users\BOBBY~1.PC-\AppData\Local\d3d9caps.dat
[28/02/2007|10:54] C:\Users\BOBBY~1.PC-\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[10/08/2008|17:30] C:\Users\BOBBY~1.PC-\AppData\Local\eMule
[15/01/2007|13:12] C:\Users\BOBBY~1.PC-\AppData\Local\fusioncache.dat
[11/08/2008|08:56] C:\Users\BOBBY~1.PC-\AppData\Local\GDIPFONTCACHEV1.DAT
[28/01/2007|22:55] C:\Users\BOBBY~1.PC-\AppData\Local\Google
[10/08/2008|14:13] C:\Users\BOBBY~1.PC-\AppData\Local\Historique
[25/01/2007|20:04] C:\Users\BOBBY~1.PC-\AppData\Local\Microsoft
[09/02/2007|23:46] C:\Users\BOBBY~1.PC-\AppData\Local\Microsoft Games
[10/08/2008|15:00] C:\Users\BOBBY~1.PC-\AppData\Local\Mozilla
[10/08/2008|23:43] C:\Users\BOBBY~1.PC-\AppData\Local\PunkBuster
[28/02/2007|18:37] C:\Users\BOBBY~1.PC-\AppData\Local\Temp
[10/08/2008|14:13] C:\Users\BOBBY~1.PC-\AppData\Local\Temporary Internet Files
[10/08/2008|14:13] C:\Users\BOBBY~1.PC-\AppData\Local\VirtualStore

--------------------\\ Tâches planifiées dans C:\Windows\tasks

[28/02/2007 17:49][--ah-----] C:\Windows\tasks\SA.DAT
[28/02/2007 17:40][--a------] C:\Windows\tasks\SCHEDLGU.TXT

--------------------\\ Listing des dossiers dans C:\ProgramData

[10/08/2008|16:01] C:\ProgramData\Adobe
[02/11/2006|14:02] C:\ProgramData\Application Data
[10/08/2008|12:08] C:\ProgramData\Bureau
[02/11/2006|14:02] C:\ProgramData\Desktop
[02/11/2006|14:02] C:\ProgramData\Documents
[10/08/2008|17:31] C:\ProgramData\eMule
[10/08/2008|12:08] C:\ProgramData\Favoris
[02/11/2006|14:02] C:\ProgramData\Favorites
[10/08/2008|12:08] C:\ProgramData\Menu D‚marrer
[12/08/2008|08:49] C:\ProgramData\Microsoft
[10/08/2008|12:08] C:\ProgramData\ModŠles
[15/08/2008|00:08] C:\ProgramData\NVIDIA
[14/02/2007|22:12] C:\ProgramData\ruzkfyhm
[28/02/2007|18:14] C:\ProgramData\Spybot - Search & Destroy
[02/11/2006|14:02] C:\ProgramData\Start Menu
[21/02/2007|19:37] C:\ProgramData\TEMP
[02/11/2006|14:02] C:\ProgramData\Templates
[13/08/2008|20:04] C:\ProgramData\WLInstaller

--------------------\\ Listing des dossiers dans C:\Program Files

[10/08/2008|15:58] C:\Program Files\Adobe
[10/08/2008|15:29] C:\Program Files\Alwil Software
[21/02/2007|19:34] C:\Program Files\CCleaner
[10/08/2008|15:58] C:\Program Files\Common Files
[10/08/2008|20:33] C:\Program Files\DivX
[10/08/2008|23:26] C:\Program Files\Electronic Arts
[10/08/2008|17:30] C:\Program Files\eMule
[10/08/2008|12:08] C:\Program Files\Fichiers communs [C:\Program Files\Common Files]
[28/01/2007|22:52] C:\Program Files\Google
[28/02/2007|13:30] C:\Program Files\HijackThis
[11/08/2008|19:08] C:\Program Files\Illustrate
[15/08/2008|11:08] C:\Program Files\Image-Line
[28/02/2007|14:44] C:\Program Files\InstallShield Installation Information
[15/01/2007|13:06] C:\Program Files\Internet Explorer
[02/11/2006|13:37] C:\Program Files\Microsoft Games
[02/11/2006|13:42] C:\Program Files\Movie Maker
[28/02/2007|18:18] C:\Program Files\Mozilla Firefox
[02/11/2006|13:37] C:\Program Files\MSBuild
[02/11/2006|13:37] C:\Program Files\MSN
[02/11/2006|13:37] C:\Program Files\Reference Assemblies
[15/08/2008|00:16] C:\Program Files\Rockstar Games
[27/02/2007|10:51] C:\Program Files\rzdwcm
[14/08/2008|23:55] C:\Program Files\SoundSpectrum
[21/02/2007|19:41] C:\Program Files\Spybot - Search & Destroy
[10/08/2008|15:14] C:\Program Files\SystemRequirementsLab
[28/02/2007|13:30] C:\Program Files\Trend Micro
[02/11/2006|14:01] C:\Program Files\Uninstall Information
[10/08/2008|16:30] C:\Program Files\UxTheme Multipatcher Fr
[15/08/2008|11:08] C:\Program Files\VstPlugins
[10/08/2008|16:20] C:\Program Files\Windows Calendar
[02/11/2006|13:42] C:\Program Files\Windows Collaboration
[10/08/2008|16:20] C:\Program Files\Windows Defender
[02/11/2006|13:42] C:\Program Files\Windows Journal
[13/08/2008|20:07] C:\Program Files\Windows Live
[14/08/2008|02:29] C:\Program Files\Windows Mail
[10/08/2008|16:20] C:\Program Files\Windows Media Player
[10/08/2008|12:08] C:\Program Files\Windows NT
[02/11/2006|13:42] C:\Program Files\Windows Photo Gallery
[10/08/2008|16:20] C:\Program Files\Windows Sidebar
[10/08/2008|16:58] C:\Program Files\WinRAR
[26/02/2007|18:31] C:\Program Files\yugyvxc

--------------------\\ Listing des dossiers dans C:\Program Files\Common Files

[10/08/2008|15:59] C:\Program Files\Common Files\Adobe
[10/08/2008|17:09] C:\Program Files\Common Files\InstallShield
[13/08/2008|20:06] C:\Program Files\Common Files\microsoft shared
[02/11/2006|12:18] C:\Program Files\Common Files\Services
[02/11/2006|12:18] C:\Program Files\Common Files\SpeechEngines
[10/08/2008|16:20] C:\Program Files\Common Files\System
[13/08/2008|20:06] C:\Program Files\Common Files\WindowsLiveInstaller

--------------------\\ Process

( 49 Processes )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-02-28 18:37:52
Windows 6.0.6000 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ ROGUES ..

C:\PROGRA~2\MICROS~1\Windows\STARTM~1\Programs\Antivirus XP 2008.lnk

--------------------\\ Cracks & Keygens ..

C:\Users\BOBBY~1.PC-\Documents\downloads\Nero 8 Ultra Edition v.8.0.3.0 (Multilanguage) + Crack.rar
C:\Users\BOBBY~1.PC-\Documents\downloads\Nero 8 Ultra Edition v8.0.3.0 ITA + Crack.rar

[F:3][D:2]-> C:\Users\BOBBY~1.PC-\AppData\Local\Temp
[F:1][D:1]-> C:\Users\BOBBY~1.PC-\AppData\Roaming\MICROS~1\Windows\Cookies
[F:2][D:0]-> C:\Users\BOBBY~1.PC-\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5
[F:9][D:3]-> C:\$Recycle.Bin

1 - "C:\Lop SD\LopR_1.txt" - 28/02/2007|18:38 - Option : [1]

--------------------\\ Fin du rapport a 18:38:58
[ UAC => 1 ]
0
Réponse 13 / 32
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
mouais ...

des cracks infectés ...

1- Télécharges OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Déconnectes toi et fermes toute tes applications en cours .

cliques double sur OTMoveIt.exe pour le lancer.
copies ce qui se trouve en citation ci-dessous,

C:\Users\BOBBY~1.PC-\Documents\downloads\Nero 8 Ultra Edition v.8.0.3.0 (Multilanguage) + Crack.rar
C:\Users\BOBBY~1.PC-\Documents\downloads\Nero 8 Ultra Edition v8.0.3.0 ITA + Crack.rar

et colles le dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
--->postes le rapport situé dans le dossier " C:\OTMoveIt\MovedFiles." ( c'est un .log )

Note : il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes".

Une fois ce rapport posté , fais ce qui suit :

2- Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ) et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" .
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...
0
Réponse 14 / 32
vivou
 
otmoveit

C:\Users\BOBBY~1.PC-\Documents\downloads\Nero 8 Ultra Edition v.8.0.3.0 (Multilanguage) + Crack.rar moved successfully.
C:\Users\BOBBY~1.PC-\Documents\downloads\Nero 8 Ultra Edition v8.0.3.0 ITA + Crack.rar moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 02282007_185515
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Oki ... la suite ...
0
Réponse 15 / 32
vivou
 
la voila

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1220
Windows 6.0.6000

28/02/2007 19:38:34
mbam-log-2007-02-28 (19-38-34).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 113766
Temps écoulé: 19 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 8
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 11
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\qcohanywv4 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc137j0e7ag (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc537j0e7ag (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Users\bobby.PC-de-gobby\AppData\Roaming\rhc137j0e7ag\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\ProgramData\ruzkfyhm\jcrgnyfi.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Windows\System32\blphc537j0e7ag.scr (Fake.BlueScreenError) -> Quarantined and deleted successfully.
C:\Windows\System32\lphc537j0e7ag.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\phc537j0e7ag.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\pphc537j0e7ag.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Antivirus XP 2008.lnk (Rogue.AntivirusXP) -> Quarantined and deleted successfully.

windows a bloqué certains prg c normal?
0
Réponse 16 / 32
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
windows a bloqué certains prg c normal?

--> ??? tu peux préciser un puex plus ...

Dans l'ordre :

1- Supprimes tout ce qui ce trouve dans la quarantaine de Malwarebytes .

2- refais un coup de CCleaner ( registre compris ) .

3- Fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
0
Réponse 17 / 32
vivou
 
ComboFix 08-09-27.05 - bobby 2008-09-28 20:34:24.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1443 [GMT 2:00]
Lancé depuis: C:\Users\bobby.PC-de-gobby\Desktop\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_sysrest.sys

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-28 au 2008-09-28 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier créé dans ce laps de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 23:04 38,528 ----a-w C:\Windows\system32\drivers\mbamswissarmy.sys
2008-09-09 23:03 17,200 ----a-w C:\Windows\system32\drivers\mbam.sys
2008-08-15 10:08 --------- d-----w C:\Program Files\VstPlugins
2008-08-15 10:08 --------- d-----w C:\Program Files\Image-Line
2008-08-14 23:16 --------- d-----w C:\Program Files\Rockstar Games
2008-08-14 23:08 --------- d-----w C:\ProgramData\NVIDIA
2008-08-14 22:55 --------- d-----w C:\Users\bobby.PC-de-gobby\AppData\Roaming\SoundSpectrum
2008-08-14 22:55 --------- d-----w C:\Program Files\SoundSpectrum
2008-08-14 01:29 --------- d-----w C:\Program Files\Windows Mail
2008-08-13 19:07 --------- d-----w C:\Program Files\Windows Live
2008-08-13 19:06 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-08-13 19:04 --------- d-----w C:\ProgramData\WLInstaller
2008-08-11 18:08 --------- d-----w C:\Program Files\Illustrate
2008-08-10 22:26 --------- d-----w C:\Program Files\Electronic Arts
2008-08-10 19:34 --------- d-----w C:\Users\bobby.PC-de-gobby\AppData\Roaming\DivX
2008-08-10 19:33 --------- d-----w C:\Program Files\DivX
2008-08-10 16:31 --------- d-----w C:\ProgramData\eMule
2008-08-10 16:30 --------- d-----w C:\Program Files\eMule
2008-08-10 16:09 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-08-10 15:30 --------- d-----w C:\Program Files\UxTheme Multipatcher Fr
2008-08-10 15:26 174 --sha-w C:\Program Files\desktop.ini
2008-08-10 15:20 --------- d-----w C:\Program Files\Windows Sidebar
2008-08-10 15:20 --------- d-----w C:\Program Files\Windows Defender
2008-08-10 15:20 --------- d-----w C:\Program Files\Windows Calendar
2008-08-10 15:18 70,144 ----a-w C:\Windows\system32\drivers\pacer.sys
2008-08-10 15:18 619,008 ----a-w C:\Windows\system32\drivers\dxgkrnl.sys
2008-08-10 15:18 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-08-10 15:18 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-08-10 15:18 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-08-10 15:16 258,232 ----a-w C:\Windows\system32\drivers\acpi.sys
2008-08-10 15:16 2,923,520 ----a-w C:\Windows\explorer.exe
2008-08-10 15:16 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-08-10 15:12 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-08-10 15:12 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-08-10 15:10 63,488 ----a-w C:\Windows\system32\drivers\mpsdrv.sys
2008-08-10 15:10 23,040 ----a-w C:\Windows\system32\drivers\tunnel.sys
2008-08-10 15:10 15,360 ----a-w C:\Windows\system32\drivers\TUNMP.SYS
2008-08-10 15:09 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys
2008-08-10 15:09 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys
2008-08-10 15:09 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys
2008-08-10 15:09 17,464 ----a-w C:\Windows\system32\drivers\intelide.sys
2008-08-10 15:09 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys
2008-08-10 15:09 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys
2008-08-10 15:08 73,216 ----a-w C:\Windows\system32\drivers\usbccgp.sys
2008-08-10 15:08 5,888 ----a-w C:\Windows\system32\drivers\usbd.sys
2008-08-10 15:08 38,400 ----a-w C:\Windows\system32\drivers\usbehci.sys
2008-08-10 15:08 23,040 ----a-w C:\Windows\system32\drivers\usbuhci.sys
2008-08-10 15:08 224,768 ----a-w C:\Windows\system32\drivers\usbport.sys
2008-08-10 15:08 192,000 ----a-w C:\Windows\system32\drivers\usbhub.sys
2008-08-10 15:07 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-08-10 15:07 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-08-10 15:02 54,784 ----a-w C:\Windows\system32\drivers\i8042prt.sys
2008-08-10 15:02 495,160 ----a-w C:\Windows\system32\drivers\Wdf01000.sys
2008-08-10 15:02 35,384 ----a-w C:\Windows\system32\drivers\WdfLdr.sys
2008-08-10 15:02 35,384 ----a-w C:\Windows\system32\drivers\kbdclass.sys
2008-08-10 15:02 34,360 ----a-w C:\Windows\system32\drivers\mouclass.sys
2008-08-10 15:02 19,968 ----a-w C:\Windows\system32\drivers\sermouse.sys
2008-08-10 15:02 15,872 ----a-w C:\Windows\system32\drivers\mouhid.sys
2008-08-10 15:02 15,872 ----a-w C:\Windows\system32\drivers\kbdhid.sys
2008-08-10 14:59 --------- d-----w C:\Program Files\Common Files\Adobe
2008-08-10 14:54 113,664 ----a-w C:\Windows\system32\drivers\rmcast.sys
2008-08-10 14:53 53,760 ----a-w C:\Windows\system32\drivers\hdaudbus.sys
2008-08-10 14:52 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2008-08-10 14:52 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2008-08-10 14:52 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys
2008-08-10 14:52 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2008-08-10 14:51 12,800 ----a-w C:\Windows\system32\drivers\fs_rec.sys
2008-08-10 14:29 --------- d-----w C:\Program Files\Alwil Software
2008-08-10 14:14 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-08-10 11:47 --------- d-----w C:\Users\bobby\AppData\Roaming\Talkback
2008-08-10 11:08 --------- d-sh--w C:\ProgramData\Modèles
2008-08-10 11:08 --------- d-sh--w C:\ProgramData\Menu Démarrer
2008-08-10 11:08 --------- d-sh--w C:\ProgramData\Favoris
2008-08-10 11:08 --------- d-sh--w C:\ProgramData\Bureau
2008-08-10 11:08 --------- d-sh--w C:\Program Files\Fichiers communs
2007-02-28 16:44 691 ----a-w C:\Users\bobby.PC-de-gobby\AppData\Roaming\GetValue.vbs
2007-02-28 16:44 35 ----a-w C:\Users\bobby.PC-de-gobby\AppData\Roaming\SetValue.bat
2007-02-28 18:40 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
2007-02-28 18:40 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
2007-02-28 18:40 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-05-16 13535776]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2008-05-16 92704]
"Malwarebytes Anti-Malware (reboot)"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" [2008-09-10 1253040]
"AutorunReload"="Autoload.exe" [2007-02-28 C:\Windows\autoload.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"FilterAdministratorToken"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{657AAF3E-E356-4DF5-92FC-1FAAB1E1B53F}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{D1A163E3-1C3A-4891-B4EB-5EA9AA45544C}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{CE78C7B8-FCD2-49FA-A2F9-2CBCFE60DB50}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{DC892D53-CF22-4822-A708-924FB5B45D2A}"= UDP:C:\Users\bobby.PC-de-gobby\AppData\Local\Temp\.ttACE8.tmp:enable
"{0F31C959-65BC-4480-B41B-79C39CC5AC81}"= TCP:C:\Users\bobby.PC-de-gobby\AppData\Local\Temp\.ttACE8.tmp:enable
"{C3D25C3B-E11D-4360-84C0-DCD3CD9CCA78}"= UDP:C:\Windows\System32\sysrest32.exe:enable
"{479ECE61-7679-401D-9CE6-D3B2879EA0BD}"= TCP:C:\Windows\System32\sysrest32.exe:enable

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 51280]
S3 yukonwlh;Pilote miniport NDIS6.0 pour contrôleur Ethernet Marvell Yukon;C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-02 194048]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\shell\AutoRun\command - E:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3c30ad5e-66ca-11dd-afc5-00301b4522f2}]
\shell\AutoRun\command - E:\wd_windows_tools\setup.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

SSODL-aplsmart-{532C41DF-267F-1A1F-C527-034A43CF16B4} - (no file)

.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Users\bobby.PC-de-gobby\AppData\Roaming\Mozilla\Firefox\Profiles\3buryu3v.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-28 20:38:48
Windows 6.0.6000 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\Windows\System32\nvvsvc.exe
C:\Windows\System32\audiodg.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\System32\dllhost.exe
.
**************************************************************************
.
Heure de fin: 2008-09-28 20:41:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-09-28 18:41:39

Avant-CF: Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.
Après-CF: 35,907,592,192 octets libres

180 --- E O F --- 2007-02-28 08:59:46
0
Réponse 18 / 32
vivou
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:59:09, on 28/02/2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\lphc537j0e7ag.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [lphc537j0e7ag] C:\Windows\system32\lphc537j0e7ag.exe
O4 - HKLM\..\Run: [AutorunReload] Autoload.exe D:\\autorun.EXE
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [qCOHaNyWv4] C:\ProgramData\ruzkfyhm\jcrgnyfi.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix:
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: aplsmart - {532C41DF-267F-1A1F-C527-034A43CF16B4} - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
0
Réponse 19 / 32
vivou
 
par contre je peux tjs pas personnaliser mon bureau
0
Réponse 20 / 32
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Re,

On recommences ...^^

1-Refais ceci car l'outil Lop S&D l'a réactivé :

Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

Aller dans "démarrer" puis "panneau de configuration" :
--->Sur la droite de la fenêtre , cliques sur " affichage classique "
--->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
--->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
--->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
Puis redémarrer le PC quand il le vous saura demandé ...

Tuto : https://forum.malekal.com/viewtopic.php?f=59&t=6517

2- Ensuite reprends la manipe avec Combofix stp ...

postes moi le rapport obtenu ...

Puis refais un nouveau scan hijackthis et postes le nouveau rapport pour analyse ...
0

Discussions similaires

Transporteur
sylvie -
in -

4 réponses
Win64 malware gen
jules555 -
bazfile -

1 réponse
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Mon antivirus detecte un Trojan Gen.2
Utilisateur anonyme -
Fish66 -

25 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses