keylogger.aa/greenscreen ... help svp Résolu

Question

Bonjour a tous

comme pas mal de monde j ai eu a me battre contre quelques spyware en ce moment
je pense avoir reussi a en supprimer pas mal avec MBAM mais j ai l impression qu il en reste
notamment un message windows (windows security alert : trojan-clicker.win32.tiny.h)

si vous pourriez me donner un coup de main pour finir de tout evacuer ca serait cool merci
ci joint un rapport hijack (je ne sais pas les dechiffrer) apres les dernieres tentatives avec spybotSD et MBAM


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:13:10, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\qnsnercd.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: karna.dat
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

InfernO.vir · Accepted Answer

Combofix est un outil tres dangereux si on ne respecte pas certaines regles, il peut par exemple bouffer ta connexion internet ou des driver de ton pc !!!


-Désactive les logiciels de protection (Antivirus, Antispywares) puis :

-Télécharge Combofix sUBs : combofix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

-Double-clic sur combofix, Il va te poser une question(pas obligé), réponds par la touche 1 et entrée pour valider.

-Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

-Copie/colle un nouveau rapport HiJackThis avec.

Utilisateur anonyme · Answer

Bonjour,
- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix

InfernO.vir · Answer

Juste pour suivre la discussion ca te derange pas Loicdem ? :-)

Utilisateur anonyme · Answer

Non et de toute façon, je ne pense pas que SmitFraudFix fera l'affaire !

InfernO.vir · Answer

Peut-etre que si a mon avis il y a un dossier suspect que Smit trouvera --> C:\WINDOWS\System32\Akl

Utilisateur anonyme · Answer

Je pensais fait un toolbarSD après parce que akl est aussi une barre d'outils non ?

InfernO.vir · Answer

Toolbar ne fera pas grand chose vu que la seule qu'il a d'installé cest celle de norton donc rien a craindre !

Ensuite Akl n'est pas une toolbar ce dossier Akl contient un ou plusieurs fichiers qui ont pour objectifs de faire apparaitre ds le systray une bulle de securité ou une croix blanche sur fond rouge...principalement ds le systray !

Je serais toi je passerais quand meme smitfraudfix !

Utilisateur anonyme · Answer

Je n'ai pas le contraire (pour ta dernière phrase)

InfernO.vir · Answer

Passe-le de toute facon il es infecté par un rogue regarde: O20 - AppInit_DLLs: karna.dat <--infection !

Utilisateur anonyme · Answer

J'ai vu !

Lempicko · Answer

tout d abord merci de votre aide

ensuite 2 petite precision :
j ai supprimer le dossier akl manuellement hier avant de passer MBAM
je n ai jamais installer quoi que soit de norton (mais c l ordi de mes parents alors on sait jamais)

voici ensuite le rapport smitfraudfix :



SmitFraudFix v2.359

Rapport fait à 10:26:52,42, 12/10/2008
Executé à partir de C:\Documents and Settings\Famille\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\qnsnercd.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\Famille\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Famille\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Famille\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 #2 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

InfernO.vir · Answer

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"

Combofix peut faire du menage !

Utilisateur anonyme · Answer

C'est a toi de le faire !

InfernO.vir · Answer

Ah bah! c'est pas moi qui l'a pris en charge pourquoi tu ne veux pas le faire ?

Utilisateur anonyme · Answer

Télécharge combofix de sUBs ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe lance le et poste le rapport

InfernO.vir · Answer

NON STOPPPPPPPPPPPP NE LE FAIS PAS   laisse moi faire !!!!

Utilisateur anonyme · Answer

Tout le monde me le dit^^

Lyonnais92 · Answer

Salut,

2 références utiles :

https://securelist.com/?virusid=108900

http://www.sophos.com/security/analyses/viruses-and-spyware/trojdwnldrhiw.html?_log_from=rss

InfernO.vir · Answer

En attendant la victime est un peu pommée, s'il te plaît suis les instructions sur combofix et poste moi le rapport.

Lempicko · Answer

oula je ne pensais pas creer de tels debats .... juste une precision sur mon post precedent, j ai supprimer manuellement (hier soir) le dossier akl qui etait present dans program files voici ensuite le rapport combo fix (et hijack dans un prochain post pour faciliter la tache) ComboFix 08-10-11.02 - Famille 2008-10-12 10:39:35.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.739 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Famille\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Famille\Cookies\byberi.bat C:\Documents and Settings\Famille\Cookies\dociwegysy.sys C:\Documents and Settings\Famille\Cookies\enezo.lib C:\Documents and Settings\Famille\Cookies\jygofuw.com C:\Documents and Settings\Famille\Cookies\obobaha.dat C:\Documents and Settings\Famille\Cookies evepykypo.pif C:\Documents and Settings\Famille\Cookies\ugikukape.reg C:\Documents and Settings\Famille\Cookies\ybedin.bat C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ananuhavu.bat C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ariguf.bin C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ewokysehar.vbs C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ijys.ban C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\liny.scr C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files yhizuh.vbs C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\pifef.dll C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\uzaqur.scr C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\vutuzali.dat C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\ylomepef.lib C:\Documents and Settings\Famille\Local Settings\Temporary Internet Files\yzawoc.dll C:\WINDOWS\IE4 Error Log.txt C:\WINDOWS\system32\Microsoft\backup.ftp C:\WINDOWS\system32\Microsoft\backup.tftp . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-12 au 2008-10-12 )))))))))))))))))))))))))))))))))))) . 2008-10-12 10:26 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-10-12 10:22 . 2008-10-12 10:26 1,208 --a------ C:\WINDOWS\system32 mp.reg 2008-10-12 02:12 . 2008-10-12 02:12 d-------- C:\Program Files\Trend Micro 2008-10-12 00:47 . 2008-10-12 00:47 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-12 00:47 . 2008-10-12 00:47 d-------- C:\Documents and Settings\Famille\Application Data\Malwarebytes 2008-10-12 00:47 . 2008-10-12 00:47 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-12 00:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-12 00:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-12 00:29 . 2008-10-12 00:29 19,671 --a------ C:\WINDOWS\ikek.sys 2008-10-12 00:29 . 2008-10-12 00:29 19,300 --a------ C:\WINDOWS\system32\apapurajad.dll 2008-10-12 00:29 . 2008-10-12 00:29 16,406 --a------ C:\WINDOWS\gepa._sy 2008-10-12 00:29 . 2008-10-12 00:29 14,979 --a------ C:\Program Files\Fichiers communs epugy.dat 2008-10-12 00:29 . 2008-10-12 00:29 14,341 --a------ C:\WINDOWS\oguz.lib 2008-10-12 00:29 . 2008-10-12 00:29 14,297 --a------ C:\Documents and Settings\All Users\Application Data\vyweqexyl.bin 2008-10-12 00:29 . 2008-10-12 00:29 14,180 --a------ C:\WINDOWS\system32\mipysojeki.sys 2008-10-12 00:29 . 2008-10-12 00:29 14,087 --a------ C:\Documents and Settings\Famille\Application Data\cekuda.sys 2008-10-12 00:29 . 2008-10-12 00:29 13,486 --a------ C:\Documents and Settings\All Users\Application Data\afygujek.com 2008-10-12 00:29 . 2008-10-12 00:29 12,815 --a------ C:\WINDOWS\bilev.dll 2008-10-12 00:29 . 2008-10-12 00:29 12,402 --a------ C:\WINDOWS\lyvow.inf 2008-10-12 00:29 . 2008-10-12 00:29 12,356 --a------ C:\Documents and Settings\Famille\Application Data\ohunuh.dat 2008-10-12 00:29 . 2008-10-12 00:29 12,185 --a------ C:\WINDOWS\vywy.dll 2008-10-12 00:29 . 2008-10-12 00:29 12,082 --a------ C:\Documents and Settings\All Users\Application Data exicaxi.reg 2008-10-12 00:29 . 2008-10-12 00:29 11,915 --a------ C:\WINDOWS\system32\eburixyva._dl 2008-10-12 00:29 . 2008-10-12 00:29 11,612 --a------ C:\Documents and Settings\All Users\Application Data\lyloko.sys 2008-10-12 00:29 . 2008-10-12 00:29 10,917 --a------ C:\WINDOWS\hafyravyge.db 2008-10-11 23:59 . 2008-10-11 23:59 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys 2008-10-11 23:58 . 2008-10-12 00:36 d-------- C:\Program Files\The Cleaner Demo 2008-10-11 23:42 . 2008-10-12 01:19 d-------- C:\Program Files\Spybot - Search & Destroy 2008-10-11 23:34 . 2008-10-11 23:34 19,482 --a------ C:\Program Files\Fichiers communs\jiwy.dll 2008-10-11 23:34 . 2008-10-11 23:34 18,780 --a------ C:\WINDOWS\lemucebo.vbs 2008-10-11 23:34 . 2008-10-11 23:34 17,254 --a------ C:\WINDOWS\system32\emoxyzudeb.lib 2008-10-11 23:34 . 2008-10-11 23:34 16,321 --a------ C:\Documents and Settings\All Users\Application Data\lyga.reg 2008-10-11 23:34 . 2008-10-11 23:34 15,647 --a------ C:\WINDOWS\lubemufe.lib 2008-10-11 23:34 . 2008-10-11 23:34 15,601 --a------ C:\Documents and Settings\All Users\Application Data\jofyp.dll 2008-10-11 23:34 . 2008-10-11 23:34 15,034 --a------ C:\WINDOWS\gulotyxe.dat 2008-10-11 23:34 . 2008-10-11 23:34 14,989 --a------ C:\WINDOWS\system32\inefebe.exe 2008-10-11 23:34 . 2008-10-11 23:34 13,642 --a------ C:\WINDOWS\system32\atuva.pif 2008-10-11 23:34 . 2008-10-11 23:34 13,608 --a------ C:\Program Files\Fichiers communs\ijyxyhos.scr 2008-10-11 23:34 . 2008-10-11 23:34 12,057 --a------ C:\WINDOWS\xodipek.vbs 2008-10-11 18:44 . 2008-10-11 18:44 19,425 --a------ C:\Documents and Settings\Famille\Application Data\odawedanon.exe 2008-10-11 18:44 . 2008-10-11 18:44 18,426 --a------ C:\WINDOWS\system32\byti.reg 2008-10-11 18:44 . 2008-10-11 18:44 17,499 --a------ C:\WINDOWS\system32\dipi.vbs 2008-10-11 18:44 . 2008-10-11 18:44 16,932 --a------ C:\Documents and Settings\Famille\Application Data\wodul.dat 2008-10-11 18:44 . 2008-10-11 18:44 16,176 --a------ C:\WINDOWS\ecupiguj.dl 2008-10-11 18:44 . 2008-10-11 18:44 14,593 --a------ C:\WINDOWS\imynilon.dl 2008-10-11 18:44 . 2008-10-11 18:44 14,525 --a------ C:\WINDOWS\lemohup.vbs 2008-10-11 18:44 . 2008-10-11 18:44 13,345 --a------ C:\WINDOWS\kociv.scr 2008-10-11 18:44 . 2008-10-11 18:44 12,431 --a------ C:\WINDOWS ipylibyd.db 2008-10-11 18:44 . 2008-10-11 18:44 11,673 --a------ C:\WINDOWS\system32\akerawe._dl 2008-10-11 18:44 . 2008-10-11 18:44 10,269 --a------ C:\WINDOWS\xosefoqiz._sy 2008-10-11 18:44 . 2008-10-11 18:44 10,052 --a------ C:\WINDOWS\system32\ozomozoj.scr 2008-10-11 18:38 . 2008-10-12 01:14 d-------- C:\Program Files\kvldqtb 2008-10-11 18:38 . 2008-10-11 18:38 d-------- C:\Documents and Settings\All Users\Application Data\zqlmtelm 2008-10-11 18:38 . 2008-10-11 18:38 77,824 --a------ C:\WINDOWS\system32\qnsnercd.exe 2008-09-23 10:54 . 2008-09-23 10:54 268 --ah----- C:\sqmdata01.sqm 2008-09-23 10:54 . 2008-09-23 10:54 244 --ah----- C:\sqmnoopt01.sqm 2008-09-17 22:38 . 2008-09-17 22:38 268 --ah----- C:\sqmdata00.sqm 2008-09-17 22:38 . 2008-09-17 22:38 244 --ah----- C:\sqmnoopt00.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-12 08:41 --------- d-----w C:\Documents and Settings\Famille\Application Data\OpenOffice.org2 2008-10-12 08:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee.com 2008-10-11 23:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-10-11 22:29 14,397 ----a-w C:\Program Files\Fichiers communs\zahyxuzure.dl 2008-10-11 16:44 15,869 ----a-w C:\Program Files\Fichiers communs\ipici.db 2008-10-11 15:06 --------- d-----w C:\Documents and Settings\Famille\Application Data\Azureus 2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe 2008-10-10 06:58 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe 2008-10-08 18:33 --------- d-----w C:\Program Files\eMule 2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe 2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe 2008-08-18 07:58 26,352 ----a-w C:\Documents and Settings\Famille\Application Data\GDIPFONTCACHEV1.DAT . ------- Sigcheck ------- 2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\user32.dll 2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\system32\dllcache\user32.dll 2007-11-26 20:34 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\dllcache cpip.sys 2007-11-26 20:34 359040 3bb4b08619c111c7be8bda07aa0de6a2 C:\WINDOWS\system32\drivers cpip.sys 2005-03-02 20:07 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\Driver Cache\i386 tkrnlpa.exe 2005-03-02 20:08 2017280 50b3a210b6fa8d3089a36a32e7d8b21f C:\WINDOWS\system32 tkrnlpa.exe 2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\Driver Cache\i386 toskrnl.exe 2005-03-02 20:07 2137600 e75f7aa5a33479f29c636fd0890f5762 C:\WINDOWS\system32 toskrnl.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360] "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-04 1667584] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 165784] "dbchk"="C:\WINDOWS\system32\qnsnercd.exe" [2008-10-11 77824] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360] C:\Documents and Settings\Famille\Menu D‚marrer\Programmes\D‚marrage\ OpenOffice.org 2.0.lnk - C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe [2006-01-25 61440] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader eader_sl.exe [2004-12-14 29696] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\Jeux\Battlefield 2\BF2.exe"= "C:\WINDOWS\system32\sessmgr.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Jeux\age of Kings\age2_x1\age2_x1.exe"= R1 LUMDriver;LUMDriver;C:\WINDOWS\system32\drivers\LUMDriver.sys [2003-07-11 14912] . . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\6hok9wou.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.orange.fr/ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-12 10:41:56 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\Program Files\RealVNC\VNC4\winvnc4.exe C:\Program Files\OpenOffice.org 2.0\program\soffice.exe C:\Program Files\OpenOffice.org 2.0\program\soffice.bin C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2008-10-12 10:45:51 - La machine a redémarré ComboFix-quarantined-files.txt 2008-10-12 08:45:48 Avant-CF: 10 524 631 040 octets libres Après-CF: 10,487,103,488 octets libres 185 --- E O F --- 2007-12-21 21:13:04

Lempicko · Answer

au fait entre temps j ai desinstaller mafee il faisait trop chier pour executer smitfraudfix

et voila le rapport hijack



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:24, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\qnsnercd.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

InfernO.vir · Answer

Tu as deja Malwaresbyte's Antimalware ?

sinon:

-Telecharge MBAM--> http://www.malwarebytes.org/mbam/program/mbam-setup.exe

-Installe-le, ouvre-le et mets-le a jour,

-Execute un scan complet de ton pc en mode sans echec (Touche F8 a mitrailler au démarrage avant le logo windows !)

-Supprime tout ce qu'il te trouve (liste en rouge) (Coche devant le noms de chaque infection et clique sur "Supprimer la selection")

-Poste le rapport


NOTE : Le scan peut durer plusieurs heures selon l'espace occupé !

InfernO.vir · Answer

De tte facon pour l'AV on verra en fin de desinfection. Selon si il/elle a payé/payée pour cet AV ou pas on verra.

En attendant MBAM va faire un peu de menage regarde: 

O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe il va le trouver je pense !

Lempicko · Answer

ok merci je passe un coup de MBAM

mais je l ai deja fait en mode normal (pas sans echec et il ne trouvait rien)
par contre j ai deux process suspect

CDC11BA.EXE et qnsercd.exe

dans un ancien message il m avait ete demande de le tuer
ce que je n ai pas eu le tps de faire (3h du mat')

pis pour l AV il etait de toute facon pas a jour donc a changer

okidor · Answer

bonjour marie,pourriez vous allez voir ce topic,

http://www.commentcamarche.net/forum/affich 8843525 virus win 32 a infeste mon ordi help?#9

la personne a l'air d'être bien infecté et je ne suis pas en mesure de l'aider, merci d'avance pour lui et désolé pour le dérangement.

Lempicko · Answer

et voila le rapport MBAM


Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1259
Windows 5.1.2600 Service Pack 2

12/10/2008 13:48:24
mbam-log-2008-10-12 (13-48-24).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 91115
Temps écoulé: 2 hour(s), 33 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

InfernO.vir · Answer

Es-ce que tu as tjrs cette bulle d'alerte windows ?

Lempicko · Answer

c pas vraiment une bulle d alerte dans la barre des tache

mais une fenetre windows qui s ouvre qui me dit (a l'instant d ailleurs)
windows security alert a detecte une menace et qui me donne un nom de spyware qui change de tps en tps
genre keylogger ou click-tiny.h ou ou green screen ou j sais plus quoi d autre etc

mais je ne suis pas sur que ce soit de vrais alertes windows
enfin j en sais rien mais pas d autres comportement suspect

sinon qu en est il des process CDAC11BA.EXE et qnsercd.exe qu un post precedent me disait de tuer (ce que je sais faire) et d annuler la valeur de demarrage (ce que je ne sais pas faire) ???

sinon pour le detail de l histoire j ai deja passer MBAM hier (pas en mode sans echec) et il avait trouver pas mal de truc
j ai aussi supprimer le dossier program files\akl manuellement
il me reste un dossier suspect : program files\kvldqtb\

merci

InfernO.vir · Answer

-Télécharge OTMoveIt de OldTimer.

-Sauvegarde le sur ton Bureau.

-Double-Clique sur OTMoveIt.exe pour le lancer.

-Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :

C:\Program Files\Fichiers communs\zahyxuzure.dl 
C:\Program Files\Fichiers communs\ipici.db 
C:\Documents and Settings\Famille\Application Data\GDIPFONTCACHEV1.DAT
C:\WINDOWS\system32\qnsnercd.exe


-Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.

-Clique sur le bouton rouge Moveit!.

-Ferme OTMoveIt.


Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

Lempicko · Answer

fait et rapport


C:\Program Files\Fichiers communs\zahyxuzure.dl moved successfully.
C:\Program Files\Fichiers communs\ipici.db moved successfully.
C:\Documents and Settings\Famille\Application Data\GDIPFONTCACHEV1.DAT moved successfully.
C:\WINDOWS\system32\qnsnercd.exe moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10122008_141706

InfernO.vir · Answer

OK maintenant poste moi un rapport Hijackthis stp

Lempicko · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:00, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\qnsnercd.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

InfernO.vir · Answer

qnsnercd.exe <-- il s'accroche celui-la 

-Ouvre HiJackThis -> Open the misc tools section -> Open Process Manager 

Sélectionne dans la liste : C:\WINDOWS\system32\qnsnercd.exe puis clic sur le bouton  Kill Process en bas à gauche.

Lempicko · Answer

ok c fait tu veux un autre rapport hijack
je redemarre le pc avant ou pas ??

InfernO.vir · Answer

Oui reboot et poste un rapport mais avant de redemarrer regarde si il est encore ds le gestionnaire des taches onglet processus !

Lempicko · Answer

il est plus la dans le gestionnaire des tache je reboot

InfernO.vir · Answer

ok vas y reboot et reposte moi un hijackthis

Lempicko · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:40, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

InfernO.vir · Answer

Bon il est mort mais il reste quand meme accroché au demarrage de ton pc--> 

O4 - HKCU\..\Run: [dbchk] C:\WINDOWS\system32\qnsnercd.exe

- Menu Démarrer puis executer
- Tape msconfig dans le champs et clic sur OK
- Dans la nouvelle fenetre clique sur l'onglet démarrage en haut à droite
- Décoche qnsnercd.exe 
- Clique sur OK

Lempicko · Answer

a priori ca devrait etre ok non ??
en tout cas plus d alerte depuis tout a l heure

sinon que dois je faire des fichiers dans C:\_OTMoveIt\MovedFiles
je peux les supprimer ??

InfernO.vir · Answer

Attends avant de supprimer on fera ca a la fin il ya un outil fait pour faire ca proprement, fait le msconfig ce que je t'ai dit!

Lempicko · Answer

c fait
tu veux un autre rapport hijack ??

en tout cas a priori plus d alert windows

InfernO.vir · Answer

Maintenant reboot ton pc et fait un hijackthis

Lempicko · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:11, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

InfernO.vir · Answer

Ok, ca ma l'air d'etre bon,

Pour verification avant de tout remballer et de t'installer un nouvel antivirus,

-Fait un scan en ligne avec bitdefender,suis tout ce qu'il y a de marqué et poste moi le rapport:

https://forum.pcastuces.com/default.asp

Lyonnais92 · Answer

Salut, Ok, ca ma l'air d'etre bon, et tous ceux là, tu en fais quoi ? 2008-10-12 00:29 . 2008-10-12 00:29 19,671 --a------ C:\WINDOWS\ikek.sys 2008-10-12 00:29 . 2008-10-12 00:29 19,300 --a------ C:\WINDOWS\system32\apapurajad.dll 2008-10-12 00:29 . 2008-10-12 00:29 16,406 --a------ C:\WINDOWS\gepa._sy 2008-10-12 00:29 . 2008-10-12 00:29 14,979 --a------ C:\Program Files\Fichiers communs epugy.dat 2008-10-12 00:29 . 2008-10-12 00:29 14,341 --a------ C:\WINDOWS\oguz.lib 2008-10-12 00:29 . 2008-10-12 00:29 14,297 --a------ C:\Documents and Settings\All Users\Application Data\vyweqexyl.bin 2008-10-12 00:29 . 2008-10-12 00:29 14,180 --a------ C:\WINDOWS\system32\mipysojeki.sys 2008-10-12 00:29 . 2008-10-12 00:29 14,087 --a------ C:\Documents and Settings\Famille\Application Data\cekuda.sys 2008-10-12 00:29 . 2008-10-12 00:29 13,486 --a------ C:\Documents and Settings\All Users\Application Data\afygujek.com 2008-10-12 00:29 . 2008-10-12 00:29 12,815 --a------ C:\WINDOWS\bilev.dll 2008-10-12 00:29 . 2008-10-12 00:29 12,402 --a------ C:\WINDOWS\lyvow.inf 2008-10-12 00:29 . 2008-10-12 00:29 12,356 --a------ C:\Documents and Settings\Famille\Application Data\ohunuh.dat 2008-10-12 00:29 . 2008-10-12 00:29 12,185 --a------ C:\WINDOWS\vywy.dll 2008-10-12 00:29 . 2008-10-12 00:29 12,082 --a------ C:\Documents and Settings\All Users\Application Data exicaxi.reg 2008-10-12 00:29 . 2008-10-12 00:29 11,915 --a------ C:\WINDOWS\system32\eburixyva._dl 2008-10-12 00:29 . 2008-10-12 00:29 11,612 --a------ C:\Documents and Settings\All Users\Application Data\lyloko.sys 2008-10-12 00:29 . 2008-10-12 00:29 10,917 --a------ C:\WINDOWS\hafyravyge.db 2008-10-11 23:59 . 2008-10-11 23:59 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys 2008-10-11 23:34 . 2008-10-11 23:34 19,482 --a------ C:\Program Files\Fichiers communs\jiwy.dll 2008-10-11 23:34 . 2008-10-11 23:34 18,780 --a------ C:\WINDOWS\lemucebo.vbs 2008-10-11 23:34 . 2008-10-11 23:34 17,254 --a------ C:\WINDOWS\system32\emoxyzudeb.lib 2008-10-11 23:34 . 2008-10-11 23:34 16,321 --a------ C:\Documents and Settings\All Users\Application Data\lyga.reg 2008-10-11 23:34 . 2008-10-11 23:34 15,647 --a------ C:\WINDOWS\lubemufe.lib 2008-10-11 23:34 . 2008-10-11 23:34 15,601 --a------ C:\Documents and Settings\All Users\Application Data\jofyp.dll 2008-10-11 23:34 . 2008-10-11 23:34 15,034 --a------ C:\WINDOWS\gulotyxe.dat 2008-10-11 23:34 . 2008-10-11 23:34 14,989 --a------ C:\WINDOWS\system32\inefebe.exe 2008-10-11 23:34 . 2008-10-11 23:34 13,642 --a------ C:\WINDOWS\system32\atuva.pif 2008-10-11 23:34 . 2008-10-11 23:34 13,608 --a------ C:\Program Files\Fichiers communs\ijyxyhos.scr 2008-10-11 23:34 . 2008-10-11 23:34 12,057 --a------ C:\WINDOWS\xodipek.vbs 2008-10-11 18:44 . 2008-10-11 18:44 19,425 --a------ C:\Documents and Settings\Famille\Application Data\odawedanon.exe 2008-10-11 18:44 . 2008-10-11 18:44 18,426 --a------ C:\WINDOWS\system32\byti.reg 2008-10-11 18:44 . 2008-10-11 18:44 17,499 --a------ C:\WINDOWS\system32\dipi.vbs 2008-10-11 18:44 . 2008-10-11 18:44 16,932 --a------ C:\Documents and Settings\Famille\Application Data\wodul.dat 2008-10-11 18:44 . 2008-10-11 18:44 16,176 --a------ C:\WINDOWS\ecupiguj.dl 2008-10-11 18:44 . 2008-10-11 18:44 14,593 --a------ C:\WINDOWS\imynilon.dl 2008-10-11 18:44 . 2008-10-11 18:44 14,525 --a------ C:\WINDOWS\lemohup.vbs 2008-10-11 18:44 . 2008-10-11 18:44 13,345 --a------ C:\WINDOWS\kociv.scr 2008-10-11 18:44 . 2008-10-11 18:44 12,431 --a------ C:\WINDOWS ipylibyd.db 2008-10-11 18:44 . 2008-10-11 18:44 11,673 --a------ C:\WINDOWS\system32\akerawe._dl 2008-10-11 18:44 . 2008-10-11 18:44 10,269 --a------ C:\WINDOWS\xosefoqiz._sy 2008-10-11 18:44 . 2008-10-11 18:44 10,052 --a------ C:\WINDOWS\system32\ozomozoj.scr 2008-10-11 18:38 . 2008-10-12 01:14 d-------- C:\Program Files\kvldqtb 2008-10-11 18:38 . 2008-10-11 18:38 d-------- C:\Documents and Settings\All Users\Application Data\zqlmtelm

InfernO.vir · Answer

Oh mer** oui grave erreur d'inattention de ma part merci lyonnais92

OTmoveIt fera l'affaire:

-Double-Clique sur OTMoveIt.exe pour le lancer. 

-Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) : 

C:\WINDOWS\ikek.sys 
C:\WINDOWS\system32\apapurajad.dll
C:\WINDOWS\gepa._sy 
C:\Program Files\Fichiers communsepugy.dat
C:\Documents and Settings\All Users\Application Data\vyweqexyl.bin 
C:\WINDOWS\system32\mipysojeki.sys 
C:\Documents and Settings\Famille\Application Data\cekuda.sys 
C:\Documents and Settings\All Users\Application Data\afygujek.com 
C:\WINDOWS\bilev.dll 
C:\WINDOWS\lyvow.inf 
C:\Documents and Settings\Famille\Application Data\ohunuh.dat
C:\WINDOWS\vywy.dll 
C:\Documents and Settings\All Users\Application Data	exicaxi.reg 
C:\WINDOWS\system32\eburixyva._dl 
C:\Documents and Settings\All Users\Application Data\lyloko.sys 
C:\WINDOWS\hafyravyge.db 
C:\WINDOWS\system32\drivers\MS1000.sys 
C:\Program Files\Fichiers communs\jiwy.dll 
C:\WINDOWS\lemucebo.vbs 
C:\WINDOWS\system32\emoxyzudeb.lib 
C:\Documents and Settings\All Users\Application Data\lyga.reg 
C:\WINDOWS\lubemufe.lib 
C:\Documents and Settings\All Users\Application Data\jofyp.dll 
C:\WINDOWS\gulotyxe.dat 
C:\WINDOWS\system32\inefebe.exe 
C:\WINDOWS\system32\atuva.pif 
C:\Program Files\Fichiers communs\ijyxyhos.scr 
C:\WINDOWS\xodipek.vbs 
C:\Documents and Settings\Famille\Application Data\odawedanon.exe 
C:\WINDOWS\system32\byti.reg 
C:\WINDOWS\system32\dipi.vbs 
C:\Documents and Settings\Famille\Application Data\wodul.dat 
C:\WINDOWS\ecupiguj.dl 
C:\WINDOWS\imynilon.dl 
C:\WINDOWS\lemohup.vbs 
C:\WINDOWS\kociv.scr 
C:\WINDOWS
ipylibyd.db 
C:\WINDOWS\system32\akerawe._dl 
C:\WINDOWS\xosefoqiz._sy 
C:\WINDOWS\system32\ozomozoj.scr 
C:\Program Files\kvldqtb 
C:\Documents and Settings\All Users\Application Data\zqlmtelm



-Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller. 

-Clique sur le bouton rouge Moveit!. 

-Ferme OTMoveIt. 


Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes. 

Poste nous le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

Lyonnais92 · Answer

Re,

tu as vérifié qu'ils sont tous illégitimes ?

Moi, je ne l'ai pas fait.

InfernO.vir · Answer

Oui c'est bon !

Lempicko · Answer

je fais le truc avec moveit mais voila deja le rapport Bit Defender


BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Sun, Oct 12, 2008 - 15:32:32
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:12:18
 
Fichiers
 33647
 
Directoires
 3948
 
Secteurs de boot
 0
 
Archives
 576
 
Paquets programmes
 2589
 
  
  
 
Résultats
 
Virus identifiés
 3
 
Fichiers infectés
 6
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 6
 
  
  
 
Info sur les moteurs
 
Définition virus
 1867597
 
Version des moteurs
 AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
 
Analyse des plugins
 16
 
Archive des plugins
 43
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 4
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Jeux\age of Kings\empires2.EXE
 Infecté par: Trojan.Generic.464798
 
C:\Jeux\age of Kings\empires2.EXE
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037580.sys
 Infecté par: Generic.Malware.P!.A777F04B
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037580.sys
 Echec de la désinfection
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037580.sys
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037592.exe
 Infecté par: Trojan.FakeAV.CF
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037592.exe
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037593.exe
 Infecté par: Trojan.FakeAV.CF
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037593.exe
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP413\A0037770.sys
 Infecté par: Generic.Malware.P!.A777F04B
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP413\A0037770.sys
 Echec de la désinfection
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP413\A0037770.sys
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP414\A0038031.EXE
 Infecté par: Trojan.Generic.464798
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP414\A0038031.EXE
 Supprimé

Lempicko · Answer

et voila pour move it
mais il a mis plusieurs message d erreur comme quoi certain fichiers n etaient pas des image "je-sais-plus-quoi" valide


C:\WINDOWS\ikek.sys moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\apapurajad.dll
C:\WINDOWS\system32\apapurajad.dll NOT unregistered.
C:\WINDOWS\system32\apapurajad.dll moved successfully.
C:\WINDOWS\gepa._sy moved successfully.
C:\Program Files\Fichiers communsepugy.dat moved successfully.
C:\Documents and Settings\All Users\Application Data\vyweqexyl.bin moved successfully.
C:\WINDOWS\system32\mipysojeki.sys moved successfully.
C:\Documents and Settings\Famille\Application Data\cekuda.sys moved successfully.
C:\Documents and Settings\All Users\Application Data\afygujek.com moved successfully.
LoadLibrary failed for C:\WINDOWS\bilev.dll
C:\WINDOWS\bilev.dll NOT unregistered.
C:\WINDOWS\bilev.dll moved successfully.
C:\WINDOWS\lyvow.inf moved successfully.
C:\Documents and Settings\Famille\Application Data\ohunuh.dat moved successfully.
LoadLibrary failed for C:\WINDOWS\vywy.dll
C:\WINDOWS\vywy.dll NOT unregistered.
C:\WINDOWS\vywy.dll moved successfully.
C:\Documents and Settings\All Users\Application Data	exicaxi.reg moved successfully.
C:\WINDOWS\system32\eburixyva._dl moved successfully.
C:\Documents and Settings\All Users\Application Data\lyloko.sys moved successfully.
C:\WINDOWS\hafyravyge.db moved successfully.
C:\WINDOWS\system32\drivers\MS1000.sys moved successfully.
LoadLibrary failed for C:\Program Files\Fichiers communs\jiwy.dll
C:\Program Files\Fichiers communs\jiwy.dll NOT unregistered.
C:\Program Files\Fichiers communs\jiwy.dll moved successfully.
C:\WINDOWS\lemucebo.vbs moved successfully.
C:\WINDOWS\system32\emoxyzudeb.lib moved successfully.
C:\Documents and Settings\All Users\Application Data\lyga.reg moved successfully.
C:\WINDOWS\lubemufe.lib moved successfully.
LoadLibrary failed for C:\Documents and Settings\All Users\Application Data\jofyp.dll
C:\Documents and Settings\All Users\Application Data\jofyp.dll NOT unregistered.
C:\Documents and Settings\All Users\Application Data\jofyp.dll moved successfully.
C:\WINDOWS\gulotyxe.dat moved successfully.
C:\WINDOWS\system32\inefebe.exe moved successfully.
C:\WINDOWS\system32\atuva.pif moved successfully.
C:\Program Files\Fichiers communs\ijyxyhos.scr moved successfully.
C:\WINDOWS\xodipek.vbs moved successfully.
C:\Documents and Settings\Famille\Application Data\odawedanon.exe moved successfully.
C:\WINDOWS\system32\byti.reg moved successfully.
C:\WINDOWS\system32\dipi.vbs moved successfully.
C:\Documents and Settings\Famille\Application Data\wodul.dat moved successfully.
C:\WINDOWS\ecupiguj.dl moved successfully.
C:\WINDOWS\imynilon.dl moved successfully.
C:\WINDOWS\lemohup.vbs moved successfully.
C:\WINDOWS\kociv.scr moved successfully.
C:\WINDOWS
ipylibyd.db moved successfully.
C:\WINDOWS\system32\akerawe._dl moved successfully.
C:\WINDOWS\xosefoqiz._sy moved successfully.
C:\WINDOWS\system32\ozomozoj.scr moved successfully.
File/Folder C:\Program Files\kvldqtb not found.
C:\Documents and Settings\All Users\Application Data\zqlmtelm moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 10122008_154442

InfernO.vir · Answer

Un rapport hijackthis et le rapport du scan en ligne !

Lempicko · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:46, on 12/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.exe
C:\Program Files\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7B549F2-3DFE-4B86-A8E0-337E983B88B4}: NameServer = 192.168.1.1
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

Lempicko · Answer

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Sun, Oct 12, 2008 - 15:32:32
 
 
  
  
 
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:12:18
 
Fichiers
 33647
 
Directoires
 3948
 
Secteurs de boot
 0
 
Archives
 576
 
Paquets programmes
 2589
 
  
  
 
Résultats
 
Virus identifiés
 3
 
Fichiers infectés
 6
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 6
 
  
  
 
Info sur les moteurs
 
Définition virus
 1867597
 
Version des moteurs
 AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
 
Analyse des plugins
 16
 
Archive des plugins
 43
 
Unpack des plugins
 7
 
E-mail plugins
 6
 
Système plugins
 4
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\Jeux\age of Kings\empires2.EXE
 Infecté par: Trojan.Generic.464798
 
C:\Jeux\age of Kings\empires2.EXE
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037580.sys
 Infecté par: Generic.Malware.P!.A777F04B
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037580.sys
 Echec de la désinfection
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037580.sys
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037592.exe
 Infecté par: Trojan.FakeAV.CF
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037592.exe
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037593.exe
 Infecté par: Trojan.FakeAV.CF
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP412\A0037593.exe
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP413\A0037770.sys
 Infecté par: Generic.Malware.P!.A777F04B
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP413\A0037770.sys
 Echec de la désinfection
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP413\A0037770.sys
 Supprimé
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP414\A0038031.EXE
 Infecté par: Trojan.Generic.464798
 
C:\System Volume Information\_restore{774B052A-CD7E-4FB9-8B0B-1D4F72CD46CF}\RP414\A0038031.EXE
 Supprimé

InfernO.vir · Answer

Ca me parait OK

Il te faut maintenant un anti-virus et un pare-feu garde MalwareBytes AntiMalware met-le regulierement a jour et fait souvent des scans !

Dis moi si tu es interressé pour avoir des lien de telechargements et de tutos pour un Anti-virus et pare-feu ?

Lempicko · Answer

bah ouais carrement pasque l ancien mcafee etait bien trop vieux

par contre si tu peux avoir des truc pas trop complique pasque c l ordi de mes parents
et je ne suis la que certains week end

il sont aussi connecte via une livebox
y a t il une config particuliere pour aider a proteger le pc

^^Marie^^ · Answer

Slt

Faudrait surtout créer un nouveau point de resto si le PC est réellement clean.

++

InfernO.vir · Answer

C'est vrai marie merci ^^

Lempicko · Answer

si je pouvais avoir aussi quelques infos sur les fichiers que je peux supprimer
notamment ceux deplacer par moveit ca serait hyper cool

en tout cas merci bcp infern0.vir pasque la ca a l air de marcher

InfernO.vir · Answer

Deja je te conseil Avira Antivir en franais et gratuit pas dur a configurer et efficace:

-lien de telechargement--> http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe

-Tuto qui va avec--> https://www.malekal.com/avira-free-security-antivirus-gratuit/

pare-feu:

-lien de telechargement-->

http://download.comodo.com/cfp/download/setups/CFP_Setup_3.0.25.378_XP_Vista_x32.exe

-Tuto qui va avec--> https://www.malekal.com/tutorial-comodo-firewall/

InfernO.vir · Answer

Avant d'installer le pare-feu et l'antivirus fait ceci:

-Toolscleaner2--> http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

-Clique sur Recherche et laisse le scan se terminer. 
-Clique sur Suppression pour finaliser. 
-Clique sur Quitter, pour que le rapport puisse se créer. 

Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)

Lempicko · Answer

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Famille\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Famille\Bureau\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\Famille\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Famille\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Famille\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Famille\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Famille\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Famille\Bureau\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\Famille\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Famille\Bureau\HJTInstall.exe: supprimé !
C:\Documents and Settings\Famille\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Famille\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

InfernO.vir · Answer

Ok tu peux telecharger et installer l'AV et le pare-feu

Lempicko · Answer

merci beaucoup c trop cool d avoir pris aussi longtemps pour m aider
merci

InfernO.vir · Answer

Je suis ici pour ca met ton sujet en resolu si tu pense que ca l'ai

Lyonnais92 · Answer

Re,

franchement :

C:\Documents and Settings\Famille\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !! 

en plus, Toolscleaner est toujours sur le Bureau et C:\TCleaner.txt est aussi à supprimer.

Dans le même ordre d'idée, dans Smitfraudfix on trouve (post 12)  :

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat" 

Mais personne n'a songé à relancer pour traiter !

dernière remarque, comment tu vérifies que l'antivirus et le parefeu sont en place ?

Keylogger.aa/greenscreen ... help svp

66 réponses

Votre réponse

Discussions similaires

Newsletters