Sujet Précédent Sujet Suivant

Virus

Résolu
lanalto Messages postés 103 Statut Membre -  
Sloubi76 Messages postés 1410 Statut Membre -
Bonjour,je crois que j'ai coppé un virus!
mon antivirus nod32 ne fonctionne plus,j'ai essayé d'installer d'autre antivirus sans succés,
le mode sans échec ne fonctionne plus,ni le parefeu windows.
est ce que quelqu'un peut m'aider?
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
Utilisateur anonyme
 
Salut,

Telecharge FindyKill sur ton bureau :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Lance l installation avec les parametres par default

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
2
lanalto Messages postés 103 Statut Membre
 
voilà!
----------------- FindyKill V4.105 ------------------

* User : fabien - FAB-XHZGBHXFDI8
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/11/08 par Chiquitine29
* Recherche effectuée à 9:51:26 le 10/11/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drivers\downld\100671.exe

--------------- [ Processus infectieux stoppés ] ----------------
0
feelgood
 
Salut Chiquitine29, je te laisse faire puisque je ne suis pas encore membre ( donc plus facile pour toi...), je crois que je vais aller m'inscrire avant tout...
0
Réponse 2 / 22
lanalto Messages postés 103 Statut Membre
 
ok merci,c'est en cours!
0
Réponse 3 / 22
Utilisateur anonyme
 
le rapport est incomplet
0
Réponse 4 / 22
lanalto Messages postés 103 Statut Membre
 
il n'y a que ça
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Utilisateur anonyme
 
refais le scan option 1 stp et post le rapport en entié
0
lanalto Messages postés 103 Statut Membre
 
----------------- FindyKill V4.105 ------------------

* User : fabien - FAB-XHZGBHXFDI8
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/11/08 par Chiquitine29
* Recherche effectuée à 10:00:41 le 10/11/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drivers\downld\100671.exe

--------------- [ Processus infectieux stoppés ] ----------------
0
Réponse 6 / 22
Utilisateur anonyme
 
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 2 (Suppression)

/!\ le pc va redémarrer , laisse travailler l outils jusqu a l apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal !

-------> ensuite post le rapport FindyKill.txt
0
lanalto Messages postés 103 Statut Membre
 
ok!
0
lanalto Messages postés 103 Statut Membre
 
tu es là?
0
Réponse 7 / 22
Utilisateur anonyme
 
oui ...
0
lanalto Messages postés 103 Statut Membre
 
----------------- FindyKill V4.105 ------------------

* User : fabien - FAB-XHZGBHXFDI8
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 10/11/08 par Chiquitine29
* Recherche effectuée à 11:46:12 le 10/11/2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

Présent ! [10/11/2008 10:47] - "C:\WINDOWS\system32\drivers\downld"

»»»» Presence des fichiers dans C:\Documents and Settings\fabien\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\fabien\LOCALS~1\Temp


»»»» Presence des fichiers dans C:\Documents and Settings\fabien\Local Settings\Temporary Internet Files\Content.IE5
0
lanalto Messages postés 103 Statut Membre
 
j'ai réussi à remettre nod32,j'arrive à démarrer en mode sans échec et le pere feu remarche c'est nickel!
mais j'ai interrompu l'analyse findykill
0
Réponse 8 / 22
Utilisateur anonyme
 
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique sur combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
0
lanalto Messages postés 103 Statut Membre
 
il me dit que je ne peux pas renommer
0
lanalto Messages postés 103 Statut Membre
 
USHD "C:\32788R22FWJFW\"

IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT

VER 1>OsVer

"C:\WINDOWS\system32\Find.exe" "Microsoft Windows [Version 5.2.3790]" OsVer

---------- OSVER

IF 1 == 0 GOTO Not_NT

"C:\WINDOWS\system32\Find.exe" "Windows XP" OsVer

---------- OSVER
Microsoft Windows XP [version 5.1.2600]

IF 0 == 0 GOTO NT

=============================================

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\fabien\Application Data
CFLDR=32788R22FWJFW
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=FAB-XHZGBHXFDI8
ComSpec=C:\WINDOWS\system32\cmd.execf
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\fabien
KMD=CF18952.exe
LOGONSERVER=\\FAB-XHZGBHXFDI8
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\32788R22FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\Internet Explorer;;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\ATI Technologies\ATI Control Panel;C:\Program Files\Fichiers communs\GIS\Tools;C:\Program Files\Samsung\Samsung PC Studio 3\
PATHEXT=.CFEXE;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0a00
ProgramFiles=C:\Program Files
PROMPT=$
SESSIONNAME=Console
sfxcmd="C:\Documents and Settings\fabien\Local Settings\Temporary Internet Files\Content.IE5\1O9GV0QG\ComboFix[1].exe"
sfxname=C:\Documents and Settings\fabien\Local Settings\Temporary Internet Files\Content.IE5\1O9GV0QG\ComboFix[1].exe
SYSTEM=C:\WINDOWS\system32
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\fabien\LOCALS~1\Temp
TMP=C:\DOCUME~1\fabien\LOCALS~1\Temp
USERDOMAIN=FAB-XHZGBHXFDI8
USERNAME=fabien
USERPROFILE=C:\Documents and Settings\fabien
windir=C:\WINDOWS

=============================================


IF NOT DEFINED sfxname GOTO END

CALL sfx.cmd

IF EXIST OsVer00 CALL :Vista

IF /I "C:\32788R22FWJFW" NEQ "C:\32788R22FWJFW" GOTO Abort

IF EXIST "C:\DOCUME~1\fabien\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL "C:\DOCUME~1\fabien\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log"

(
SET "FileName=ComboFix[1]"
SET "FilePath=C:\Documents and Settings\fabien\Local Settings\Temporary Internet Files\Content.IE5\1O9GV0QG\"
)

SET FileName 1>FileName

GREP -isqx "FileName=[-[:alnum:]@.]*" FileName || (
CALL NIRCMD infobox "Vous ne pouvez pas renommer ComboFix en %FileName%~n~nVeuillez choisir un autre nom, de préférence composé de caractères alphanumériques" ""
GOTO END
)

IF EXIST "C:\WINDOWS\system32\cmd.execf" MOVE /Y "C:\WINDOWS\system32\cmd.execf" "C:\DOCUME~1\fabien\LOCALS~1\Temp"

CD ..

IF DEFINED cfldr RD /S/Q "32788R22FWJFW"
0
Réponse 9 / 22
Utilisateur anonyme
 
retelecharge le et renome en killbagle
0
Réponse 10 / 22
Utilisateur anonyme
 
je dois sortir

@+ tard
0
lanalto Messages postés 103 Statut Membre
 
ComboFix 08-11-09.03 - fabien 2008-11-10 12:08:38.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.657 [GMT 1:00]
Lancé depuis: c:\documents and settings\fabien\Mes documents\killbagle.exe
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\fabien\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\program files\Messenger\MSMSGS.exe
c:\windows\system32\drivers\downld

----- BITS: Il y a peut-être des sites infectés -----

hxxp://premium.virginmega.fr
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-10 au 2008-11-10 ))))))))))))))))))))))))))))))))))))
.

2008-11-10 11:06 . 2008-11-10 11:06 <REP> d-------- c:\program files\ESET
2008-11-10 11:04 . 2008-11-10 11:04 <REP> d-------- c:\program files\Marsu-Fix
2008-11-10 09:46 . 2008-11-10 11:46 <REP> d-------- c:\program files\FindyKill
2008-11-09 09:02 . 2008-11-09 09:07 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-09 09:02 . 2008-11-09 09:02 <REP> d-------- c:\documents and settings\fabien\Application Data\Malwarebytes
2008-11-09 09:02 . 2008-11-09 09:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-09 09:02 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-09 09:02 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-09 08:54 . 2008-11-09 08:54 <REP> d-------- c:\program files\Lavasoft
2008-11-09 08:24 . 2008-11-10 11:17 <REP> d-------- c:\documents and settings\All Users\Application Data\avg7
2008-11-08 21:35 . 2008-11-08 21:35 <REP> d-------- c:\windows\system32\msmq
2008-11-08 17:06 . 2008-11-08 17:06 <REP> d-------- c:\windows\system32\Kaspersky Lab
2008-11-08 16:36 . 2008-11-08 16:36 <REP> d-------- c:\documents and settings\All Users\Application Data\SITEguard
2008-11-08 16:35 . 2008-11-08 16:35 <REP> d-------- c:\program files\Fichiers communs\iS3
2008-11-08 16:35 . 2008-11-08 21:31 <REP> d-------- c:\documents and settings\All Users\Application Data\STOPzilla!
2008-11-08 16:07 . 2008-11-08 16:07 <REP> d-------- c:\program files\Alwil Software
2008-11-08 15:54 . 2008-11-08 15:54 <REP> d-------- c:\program files\micronet-soft
2008-11-08 15:54 . 2008-11-08 15:54 20,700 --a------ c:\windows\system32\prvagntOvrLy.dll
2008-11-08 13:51 . 2008-11-08 13:51 362 --a------ c:\windows\Raccourci vers WINDOWS.lnk
2008-11-08 12:42 . 2008-11-08 12:42 <REP> d-------- c:\documents and settings\fabien\Application Data\AVGTOOLBAR
2008-11-02 12:52 . 2008-02-28 12:26 1,414,440 --a------ c:\windows\system32\ShellManager310E2D762.dll
2008-11-02 12:52 . 2008-02-28 12:01 774,144 --a------ c:\windows\system32\NEROINSTAEC43759.DB
2008-11-02 12:31 . 2008-11-07 10:19 29 --a------ c:\windows\Irremote.ini
2008-10-25 18:03 . 2008-10-25 18:03 <REP> d-------- c:\windows\system32\fr
2008-10-25 18:03 . 2008-10-25 18:03 <REP> d-------- c:\windows\l2schemas
2008-10-25 09:24 . 2008-04-14 03:33 712,704 --------- c:\windows\system32\windowscodecs.dll
2008-10-25 09:24 . 2008-04-14 03:33 346,112 --------- c:\windows\system32\windowscodecsext.dll
2008-10-25 09:24 . 2008-04-14 03:33 276,992 --------- c:\windows\system32\wmphoto.dll
2008-10-25 09:24 . 2008-04-14 03:33 69,120 --------- c:\windows\system32\wlanapi.dll
2008-10-25 09:24 . 2008-04-14 03:33 53,248 --------- c:\windows\system32\tsgqec.dll
2008-10-25 09:24 . 2008-04-14 03:33 50,688 --------- c:\windows\system32\tspkg.dll
2008-10-25 09:24 . 2008-04-14 03:34 32,768 --------- c:\windows\system32\setupn.exe
2008-10-25 09:24 . 2008-04-13 19:40 10,240 --------- c:\windows\system32\drivers\sffp_mmc.sys
2008-10-25 09:22 . 2008-04-14 03:33 651,264 --------- c:\windows\system32\dot3ui.dll
2008-10-24 12:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-15 16:55 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 16:55 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 16:55 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-10 11:06 --------- d-----w c:\program files\SuperCopier2
2008-11-10 10:04 159,843 ----a-w c:\windows\Marsu-Fix Uninstaller.exe
2008-11-09 08:01 --------- d-----w c:\program files\Common Files
2008-11-09 07:55 --------- d-----w c:\documents and settings\fabien\Application Data\Lavasoft
2008-11-09 07:47 --------- d-----w c:\program files\eMule
2008-11-07 09:55 --------- d-----w c:\program files\Fichiers communs\Nero
2008-11-07 09:21 --------- d-----w c:\program files\Nero
2008-11-06 22:54 --------- d-----w c:\documents and settings\All Users\Application Data\ESET
2008-11-02 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Nero
2008-11-02 11:47 --------- d-----w c:\documents and settings\fabien\Application Data\Nero
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 12:10 116,992 ----a-w c:\windows\system32\atl7.dll
2008-09-27 07:48 --------- d-----w c:\documents and settings\fabien\Application Data\Samsung
2008-09-27 07:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-27 07:28 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-27 07:28 --------- d-----w c:\program files\Samsung
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-14 17:27 --------- d-----w c:\program files\VirginMega
2008-09-14 17:27 --------- d-----w c:\documents and settings\All Users\Application Data\Downloaded Installations
2008-09-14 17:20 --------- d-----w c:\program files\lecteur windows media 11
2008-09-14 10:33 --------- d-----w c:\program files\MSECache
2008-09-14 08:00 --------- d-----w c:\program files\Lavalys
2008-09-14 07:35 --------- d-----w c:\documents and settings\fabien\Application Data\ESET
2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
2008-04-14 02:33 65,024 --sha-w c:\windows\system32\asycfilt.dll
2008-04-14 02:33 617,472 --sha-w c:\windows\system32\comctl32.dll
2008-04-14 02:33 1,028,096 --sha-w c:\windows\system32\mfc42.dll
2004-04-13 13:18 57,344 --sha-w c:\windows\system32\mfc42loc.dll
2008-04-14 02:33 413,696 --sha-w c:\windows\system32\msvcp60.dll
2008-04-14 02:33 343,040 --sha-w c:\windows\system32\msvcrt.dll
2004-04-13 13:18 253,952 --sha-w c:\windows\system32\msvcrt20.dll
2008-04-14 02:33 551,936 --sha-w c:\windows\system32\oleaut32.dll
2008-04-14 02:33 84,992 --sha-w c:\windows\system32\olepro32.dll
2008-04-14 02:33 30,749 --sha-w c:\windows\system32\vbajet32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2CBEAC38-FF5E-4B2D-B04E-2A487506CC3C}]
2008-10-03 13:10 116992 --a------ c:\windows\system32\atl7.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2008-07-24 243072]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-11 68856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 1443072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-03-14 2756608]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-08-15 57344]
VIA RAID TOOL.lnk - c:\program files\VIA\RAID\raid_tool.exe [2008-06-06 565248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53470:UDP"= 53470:UDP:port client
"41890:TCP"= 41890:TCP:port client

R0 viasraid;viasraid;c:\windows\system32\DRIVERS\viasraid.sys [2003-10-31 77312]
R0 yhbalegv;yhbalegv;c:\windows\system32\drivers\yhbalegv.sys [2004-04-13 23424]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2004-04-13 3584]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [2008-09-04 23152]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'

2008-11-10 c:\windows\Tasks\HPpromotions psc 1600 series.job
- c:\program files\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe [2005-01-28 12:26]
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-SITEguard - (no file)
HKCU-Run-MSMSGS - c:\program files\Messenger\MSMSGS.EXE
HKLM-Run-Cmaudio - cmicnfg.cpl
Notify-WgaLogon - (no file)


.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8
O8 -: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-10 12:10:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\EverestDriver]
"ImagePath"="\??\c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\fabien\LOCALS~1\Temp\mc21.tmp"
.
Heure de fin: 2008-11-10 12:11:46
ComboFix-quarantined-files.txt 2008-11-10 11:11:03

Avant-CF: 41 623 187 456 octets libres
Après-CF: 41,675,137,024 octets libres

190 --- E O F --- 2008-10-26 10:54:59
0
lanalto Messages postés 103 Statut Membre
 
pourras tu me dire si le problème est réglé?merci d'avance!
0
lanalto Messages postés 103 Statut Membre
 
tu es là?
0
nini > lanalto Messages postés 103 Statut Membre
 
coucou chéri!!
0
Réponse 11 / 22
Utilisateur anonyme
 
Telecharge malwarebytes

Tu l´instale; le programme va se mettre automatiquement a jour.

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des elements on ete trouvés > click sur supprimer la selection.

si il t´es demandé de redemarrer > click sur "yes".

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log
0
lanalto Messages postés 103 Statut Membre
 
voilà,mMalwarebytes' Anti-Malware 1.30
Version de la base de données: 1375
Windows 5.1.2600 Service Pack 3

11/11/2008 09:48:11
mbam-log-2008-11-11 (09-48-11).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)
Eléments examinés: 109668
Temps écoulé: 52 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
ais pendant l'analyse nod32 a arrété une soixantaine de bagle?
0
Réponse 12 / 22
Utilisateur anonyme
 
réouvre malewarebyte
va sur quarantaine
supprime tout

Télécharge ToolsCleaner sur ton bureau.
-->
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Désactive et réactive ta restauration system :

(1) Désactiver la Restauration du système

cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Coches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.

(2) Activer la Restauration du système

cliques sur Démarrer
Cliques droit sur Poste de travail
cliques sur Propriétés
Cliques sur l'onglet Restauration du système
Décoches Désactiver la Restauration du système sur tous les lecteurs
Cliques sur Appliquer, Lorsque le message de confirmation apparaît,
cliques sur Oui.
Cliques sur OK.

Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

ensuite met a jours nod32 fais un scan et post son rapport stp

0
lanalto Messages postés 103 Statut Membre
 
[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\FindyKill.txt: trouvé !
C:\Documents and Settings\fabien\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Program Files\FindyKill: trouvé !

---------------------------------
-->- Suppression:

C:\Combofix.txt: supprimé !
C:\FindyKill.txt: supprimé !
C:\Documents and Settings\fabien\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Program Files\FindyKill: supprimé !
0
lanalto Messages postés 103 Statut Membre
 
C:\WINDOWS\system32\atl7.dll - une variante de Win32/Rootkit.Podnuha cheval de troie - erreur pendant la suppression (Accès refusé)
j'ai récupéré l'infiltration que j'avais au départ et que je n'arrive pas à supprimer
0
Réponse 13 / 22
Utilisateur anonyme
 
---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
C:\WINDOWS\system32\atl7.dll

:commands
[emptytemp]
[start explorer]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
lanalto Messages postés 103 Statut Membre
 
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\system32\atl7.dll unregistered successfully.
File move failed. C:\WINDOWS\system32\atl7.dll scheduled to be moved on reboot.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\fabien\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\fabien\LOCALS~1\Temp\ojamofft.dat scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.0 log created on 11112008_104104

Files moved on Reboot...
C:\WINDOWS\system32\atl7.dll unregistered successfully.
File move failed. C:\WINDOWS\system32\atl7.dll scheduled to be moved on reboot.
C:\DOCUME~1\fabien\LOCALS~1\Temp\hpodvd09.log moved successfully.
File C:\DOCUME~1\fabien\LOCALS~1\Temp\ojamofft.dat not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
0
Réponse 14 / 22
Utilisateur anonyme
 
T As redémmaré ??

lance nod32
0
lanalto Messages postés 103 Statut Membre
 
ok
je lance nod32
0
lanalto Messages postés 103 Statut Membre
 
il me remets la même menace
0
Sloubi76 Messages postés 1410 Statut Membre 136
 
Chiquitine,

Le poste se poursuit ici :
http://www.commentcamarche.net/forum/affich 9543420 trojan

Je te laisse la main.

@ +
0
Réponse 15 / 22
Utilisateur anonyme
 
REtelecharge combofix sur ton bureau :http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Copie le texte ci-dessous :

File::
c:\windows\system32\atl7.dll

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.
0
lanalto Messages postés 103 Statut Membre
 
ComboFix 08-11-10.01 - fabien 2008-11-11 11:20:36.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.593 [GMT 1:00]
Lancé depuis: c:\documents and settings\fabien\Mes documents\ComboFix2.exe
Commutateurs utilisés :: c:\documents and settings\fabien\Mes documents\CFScript.txt
* Un nouveau point de restauration a été créé
* Resident AV is active


FILE ::
c:\windows\system32\atl7.dll
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\atl7.dll . . . . impossible à supprimer

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-11 au 2008-11-11 ))))))))))))))))))))))))))))))))))))
.

2008-11-11 10:41 . 2008-11-11 10:41 <REP> d-------- C:\_OTMoveIt
2008-11-10 18:05 . 2008-11-10 18:05 <REP> d-------- c:\program files\NeroInstall.bak
2008-11-10 18:00 . 2008-11-10 18:00 <REP> d-------- c:\program files\Nero
2008-11-10 17:42 . 2008-11-10 17:42 <REP> d-------- c:\program files\CCleaner
2008-11-10 11:06 . 2008-11-10 11:06 <REP> d-------- c:\program files\ESET
2008-11-10 11:04 . 2008-11-10 11:04 <REP> d-------- c:\program files\Marsu-Fix
2008-11-09 09:02 . 2008-11-09 09:07 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-09 09:02 . 2008-11-09 09:02 <REP> d-------- c:\documents and settings\fabien\Application Data\Malwarebytes
2008-11-09 09:02 . 2008-11-09 09:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-09 09:02 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-09 09:02 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-09 08:54 . 2008-11-09 08:54 <REP> d-------- c:\program files\Lavasoft
2008-11-09 08:24 . 2008-11-10 11:17 <REP> d-------- c:\documents and settings\All Users\Application Data\avg7
2008-11-08 21:35 . 2008-11-08 21:35 <REP> d-------- c:\windows\system32\msmq
2008-11-08 17:06 . 2008-11-08 17:06 <REP> d-------- c:\windows\system32\Kaspersky Lab
2008-11-08 16:36 . 2008-11-08 16:36 <REP> d-------- c:\documents and settings\All Users\Application Data\SITEguard
2008-11-08 16:35 . 2008-11-08 16:35 <REP> d-------- c:\program files\Fichiers communs\iS3
2008-11-08 16:35 . 2008-11-08 21:31 <REP> d-------- c:\documents and settings\All Users\Application Data\STOPzilla!
2008-11-08 16:07 . 2008-11-08 16:07 <REP> d-------- c:\program files\Alwil Software
2008-11-08 15:54 . 2008-11-08 15:54 <REP> d-------- c:\program files\micronet-soft
2008-11-08 15:54 . 2008-11-08 15:54 20,700 --a------ c:\windows\system32\prvagntOvrLy.dll
2008-11-08 13:51 . 2008-11-08 13:51 362 --a------ c:\windows\Raccourci vers WINDOWS.lnk
2008-11-08 12:42 . 2008-11-08 12:42 <REP> d-------- c:\documents and settings\fabien\Application Data\AVGTOOLBAR
2008-11-02 12:52 . 2008-02-28 12:26 1,414,440 --a------ c:\windows\system32\ShellManager310E2D762.dll
2008-11-02 12:52 . 2008-02-28 12:01 774,144 --a------ c:\windows\system32\NEROINSTAEC43759.DB
2008-11-02 12:31 . 2008-11-07 10:19 29 --a------ c:\windows\Irremote.ini
2008-10-25 18:03 . 2008-10-25 18:03 <REP> d-------- c:\windows\system32\fr
2008-10-25 18:03 . 2008-10-25 18:03 <REP> d-------- c:\windows\l2schemas
2008-10-25 09:24 . 2008-04-14 03:33 712,704 --------- c:\windows\system32\windowscodecs.dll
2008-10-25 09:24 . 2008-04-14 03:33 346,112 --------- c:\windows\system32\windowscodecsext.dll
2008-10-25 09:24 . 2008-04-14 03:33 276,992 --------- c:\windows\system32\wmphoto.dll
2008-10-25 09:24 . 2008-04-14 03:33 69,120 --------- c:\windows\system32\wlanapi.dll
2008-10-25 09:24 . 2008-04-14 03:33 53,248 --------- c:\windows\system32\tsgqec.dll
2008-10-25 09:24 . 2008-04-14 03:33 50,688 --------- c:\windows\system32\tspkg.dll
2008-10-25 09:24 . 2008-04-14 03:34 32,768 --------- c:\windows\system32\setupn.exe
2008-10-25 09:24 . 2008-04-13 19:40 10,240 --------- c:\windows\system32\drivers\sffp_mmc.sys
2008-10-25 09:22 . 2008-04-14 03:33 651,264 --------- c:\windows\system32\dot3ui.dll
2008-10-24 12:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-15 16:55 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 16:55 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 16:55 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-11 10:22 --------- d-----w c:\program files\SuperCopier2
2008-11-10 17:02 --------- d-----w c:\program files\Fichiers communs\Nero
2008-11-10 10:04 159,843 ----a-w c:\windows\Marsu-Fix Uninstaller.exe
2008-11-09 08:01 --------- d-----w c:\program files\Common Files
2008-11-09 07:55 --------- d-----w c:\documents and settings\fabien\Application Data\Lavasoft
2008-11-09 07:47 --------- d-----w c:\program files\eMule
2008-11-06 22:54 --------- d-----w c:\documents and settings\All Users\Application Data\ESET
2008-11-02 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Nero
2008-11-02 11:47 --------- d-----w c:\documents and settings\fabien\Application Data\Nero
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 12:10 116,992 ----a-w c:\windows\system32\atl7.dll
2008-09-27 07:48 --------- d-----w c:\documents and settings\fabien\Application Data\Samsung
2008-09-27 07:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-27 07:28 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-27 07:28 --------- d-----w c:\program files\Samsung
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-14 17:27 --------- d-----w c:\program files\VirginMega
2008-09-14 17:27 --------- d-----w c:\documents and settings\All Users\Application Data\Downloaded Installations
2008-09-14 17:20 --------- d-----w c:\program files\lecteur windows media 11
2008-09-14 10:33 --------- d-----w c:\program files\MSECache
2008-09-14 08:00 --------- d-----w c:\program files\Lavalys
2008-09-14 07:35 --------- d-----w c:\documents and settings\fabien\Application Data\ESET
2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
2008-04-14 02:33 65,024 --sha-w c:\windows\system32\asycfilt.dll
2008-04-14 02:33 617,472 --sha-w c:\windows\system32\comctl32.dll
2008-04-14 02:33 1,028,096 --sha-w c:\windows\system32\mfc42.dll
2004-04-13 13:18 57,344 --sha-w c:\windows\system32\mfc42loc.dll
2008-04-14 02:33 413,696 --sha-w c:\windows\system32\msvcp60.dll
2008-04-14 02:33 343,040 --sha-w c:\windows\system32\msvcrt.dll
2004-04-13 13:18 253,952 --sha-w c:\windows\system32\msvcrt20.dll
2008-04-14 02:33 551,936 --sha-w c:\windows\system32\oleaut32.dll
2008-04-14 02:33 84,992 --sha-w c:\windows\system32\olepro32.dll
2008-04-14 02:33 30,749 --sha-w c:\windows\system32\vbajet32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2CBEAC38-FF5E-4B2D-B04E-2A487506CC3C}]
2008-10-03 13:10 116992 --a------ c:\windows\system32\atl7.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2008-07-24 243072]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-11 68856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 1443072]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-03-14 2756608]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-08-15 57344]
VIA RAID TOOL.lnk - c:\program files\VIA\RAID\raid_tool.exe [2008-06-06 565248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53470:UDP"= 53470:UDP:port client
"41890:TCP"= 41890:TCP:port client

R0 viasraid;viasraid;c:\windows\system32\DRIVERS\viasraid.sys [2003-10-31 77312]
R0 yhbalegv;yhbalegv;c:\windows\system32\drivers\yhbalegv.sys [2004-04-13 23424]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2004-04-13 3584]

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Tâches planifiées'

2008-11-10 c:\windows\Tasks\HPpromotions psc 1600 series.job
- c:\program files\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe [2005-01-28 12:26]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 11:23:19
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\fabien\LOCALS~1\Temp\mc23.tmp"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\program files\IncrediMail\bin\ImApp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
.
**************************************************************************
.
Heure de fin: 2008-11-11 11:27:55 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-11 10:27:50
ComboFix2.txt 2008-11-11 10:16:09

Avant-CF: 45 195 116 544 octets libres
Après-CF: 45,181,272,064 octets libres

190 --- E O F --- 2008-10-26 10:54:59
0
Réponse 16 / 22
Utilisateur anonyme
 
on recommence :

Copie le texte ci-dessous :

File::
c:\windows\system32\atl7.dll

Folder::
c:\windows\system32\Kaspersky Lab
c:\program files\Alwil Software

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2CBEAC38-FF5E-4B2D-B04E-2A487506CC3C}]

DirLook::
c:\windows\system32\msmq

Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.
0
lanalto Messages postés 103 Statut Membre
 
ComboFix 08-11-10.01 - fabien 2008-11-11 11:39:43.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.637 [GMT 1:00]
Lancé depuis: c:\documents and settings\fabien\Mes documents\ComboFix2.exe
Commutateurs utilisés :: c:\documents and settings\fabien\Mes documents\CFScript.txt
* Un nouveau point de restauration a été créé
* Resident AV is active


FILE ::
c:\windows\system32\atl7.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Alwil Software
c:\program files\Alwil Software\Avast4\Setup\setup.ini
c:\windows\system32\Kaspersky Lab
c:\windows\system32\Kaspersky Lab\Kaspersky On-line Scanner\[u]0/u00B660C.key
c:\windows\system32\Kaspersky Lab\Kaspersky On-line Scanner\kaveula.txt
c:\windows\system32\Kaspersky Lab\Kaspersky On-line Scanner\kavss.dll
c:\windows\system32\Kaspersky Lab\Kaspersky On-line Scanner\kavuninstall.exe
c:\windows\system32\Kaspersky Lab\Kaspersky On-line Scanner\kavwebscan.dll
c:\windows\system32\Kaspersky Lab\Kaspersky On-line Scanner\updcfg.xml
c:\windows\system32\atl7.dll . . . . impossible à supprimer

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-11 au 2008-11-11 ))))))))))))))))))))))))))))))))))))
.

2008-11-11 10:41 . 2008-11-11 10:41 <REP> d-------- C:\_OTMoveIt
2008-11-10 18:05 . 2008-11-10 18:05 <REP> d-------- c:\program files\NeroInstall.bak
2008-11-10 18:00 . 2008-11-10 18:00 <REP> d-------- c:\program files\Nero
2008-11-10 17:42 . 2008-11-10 17:42 <REP> d-------- c:\program files\CCleaner
2008-11-10 11:06 . 2008-11-10 11:06 <REP> d-------- c:\program files\ESET
2008-11-10 11:04 . 2008-11-10 11:04 <REP> d-------- c:\program files\Marsu-Fix
2008-11-09 09:02 . 2008-11-09 09:07 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-09 09:02 . 2008-11-09 09:02 <REP> d-------- c:\documents and settings\fabien\Application Data\Malwarebytes
2008-11-09 09:02 . 2008-11-09 09:02 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-09 09:02 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-09 09:02 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-09 08:54 . 2008-11-09 08:54 <REP> d-------- c:\program files\Lavasoft
2008-11-09 08:24 . 2008-11-10 11:17 <REP> d-------- c:\documents and settings\All Users\Application Data\avg7
2008-11-08 21:35 . 2008-11-08 21:35 <REP> d-------- c:\windows\system32\msmq
2008-11-08 16:36 . 2008-11-08 16:36 <REP> d-------- c:\documents and settings\All Users\Application Data\SITEguard
2008-11-08 16:35 . 2008-11-08 16:35 <REP> d-------- c:\program files\Fichiers communs\iS3
2008-11-08 16:35 . 2008-11-08 21:31 <REP> d-------- c:\documents and settings\All Users\Application Data\STOPzilla!
2008-11-08 15:54 . 2008-11-08 15:54 <REP> d-------- c:\program files\micronet-soft
2008-11-08 15:54 . 2008-11-08 15:54 20,700 --a------ c:\windows\system32\prvagntOvrLy.dll
2008-11-08 13:51 . 2008-11-08 13:51 362 --a------ c:\windows\Raccourci vers WINDOWS.lnk
2008-11-08 12:42 . 2008-11-08 12:42 <REP> d-------- c:\documents and settings\fabien\Application Data\AVGTOOLBAR
2008-11-02 12:52 . 2008-02-28 12:26 1,414,440 --a------ c:\windows\system32\ShellManager310E2D762.dll
2008-11-02 12:52 . 2008-02-28 12:01 774,144 --a------ c:\windows\system32\NEROINSTAEC43759.DB
2008-11-02 12:31 . 2008-11-07 10:19 29 --a------ c:\windows\Irremote.ini
2008-10-25 18:03 . 2008-10-25 18:03 <REP> d-------- c:\windows\system32\fr
2008-10-25 18:03 . 2008-10-25 18:03 <REP> d-------- c:\windows\l2schemas
2008-10-25 09:24 . 2008-04-14 03:33 712,704 --------- c:\windows\system32\windowscodecs.dll
2008-10-25 09:24 . 2008-04-14 03:33 346,112 --------- c:\windows\system32\windowscodecsext.dll
2008-10-25 09:24 . 2008-04-14 03:33 276,992 --------- c:\windows\system32\wmphoto.dll
2008-10-25 09:24 . 2008-04-14 03:33 69,120 --------- c:\windows\system32\wlanapi.dll
2008-10-25 09:24 . 2008-04-14 03:33 53,248 --------- c:\windows\system32\tsgqec.dll
2008-10-25 09:24 . 2008-04-14 03:33 50,688 --------- c:\windows\system32\tspkg.dll
2008-10-25 09:24 . 2008-04-14 03:34 32,768 --------- c:\windows\system32\setupn.exe
2008-10-25 09:24 . 2008-04-13 19:40 10,240 --------- c:\windows\system32\drivers\sffp_mmc.sys
2008-10-25 09:22 . 2008-04-14 03:33 651,264 --------- c:\windows\system32\dot3ui.dll
2008-10-24 12:56 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-15 16:55 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 16:55 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 16:55 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 16:55 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-11 10:22 --------- d-----w c:\program files\SuperCopier2
2008-11-10 17:02 --------- d-----w c:\program files\Fichiers communs\Nero
2008-11-10 10:04 159,843 ----a-w c:\windows\Marsu-Fix Uninstaller.exe
2008-11-09 08:01 --------- d-----w c:\program files\Common Files
2008-11-09 07:55 --------- d-----w c:\documents and settings\fabien\Application Data\Lavasoft
2008-11-09 07:47 --------- d-----w c:\program files\eMule
2008-11-06 22:54 --------- d-----w c:\documents and settings\All Users\Application Data\ESET
2008-11-02 11:54 --------- d-----w c:\documents and settings\All Users\Application Data\Nero
2008-11-02 11:47 --------- d-----w c:\documents and settings\fabien\Application Data\Nero
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 12:10 116,992 ----a-w c:\windows\system32\atl7.dll
2008-09-27 07:48 --------- d-----w c:\documents and settings\fabien\Application Data\Samsung
2008-09-27 07:47 5,632 ----a-w c:\windows\system32\drivers\StarOpen.sys
2008-09-27 07:28 --------- d--h--w c:\program files\InstallShield Installation Information
2008-09-27 07:28 --------- d-----w c:\program files\Samsung
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-14 17:27 --------- d-----w c:\program files\VirginMega
2008-09-14 17:27 --------- d-----w c:\documents and settings\All Users\Application Data\Downloaded Installations
2008-09-14 17:20 --------- d-----w c:\program files\lecteur windows media 11
2008-09-14 10:33 --------- d-----w c:\program files\MSECache
2008-09-14 08:00 --------- d-----w c:\program files\Lavalys
2008-09-14 07:35 --------- d-----w c:\documents and settings\fabien\Application Data\ESET
2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll
2008-08-14 13:23 2,191,232 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w c:\windows\system32\ntkrnlpa.exe
2001-11-23 04:08 712,704 ----a-w c:\windows\inf\OTHER\AUDIO3D.DLL
2008-04-14 02:33 65,024 --sha-w c:\windows\system32\asycfilt.dll
2008-04-14 02:33 617,472 --sha-w c:\windows\system32\comctl32.dll
2008-04-14 02:33 1,028,096 --sha-w c:\windows\system32\mfc42.dll
2004-04-13 13:18 57,344 --sha-w c:\windows\system32\mfc42loc.dll
2008-04-14 02:33 413,696 --sha-w c:\windows\system32\msvcp60.dll
2008-04-14 02:33 343,040 --sha-w c:\windows\system32\msvcrt.dll
2004-04-13 13:18 253,952 --sha-w c:\windows\system32\msvcrt20.dll
2008-04-14 02:33 551,936 --sha-w c:\windows\system32\oleaut32.dll
2008-04-14 02:33 84,992 --sha-w c:\windows\system32\olepro32.dll
2008-04-14 02:33 30,749 --sha-w c:\windows\system32\vbajet32.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of c:\windows\system32\msmq ----

2008-11-08 21:35 811 --a------ c:\windows\system32\msmq\mapping\sample_map.xml


((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2CBEAC38-FF5E-4B2D-B04E-2A487506CC3C}]
2008-10-03 13:10 116992 --a------ c:\windows\system32\atl7.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2008-07-24 243072]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-11 68856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 49152]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 1443072]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-03-14 2756608]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
LUMIX Simple Viewer.lnk - c:\program files\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-08-15 57344]
VIA RAID TOOL.lnk - c:\program files\VIA\RAID\raid_tool.exe [2008-06-06 565248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Program Files\\Freeplayer\\vlc\\vlc.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"53470:UDP"= 53470:UDP:port client
"41890:TCP"= 41890:TCP:port client

R0 viasraid;viasraid;c:\windows\system32\DRIVERS\viasraid.sys [2003-10-31 77312]
R0 yhbalegv;yhbalegv;c:\windows\system32\drivers\yhbalegv.sys [2004-04-13 23424]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2004-04-13 3584]
.
Contenu du dossier 'Tâches planifiées'

2008-11-10 c:\windows\Tasks\HPpromotions psc 1600 series.job
- c:\program files\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe [2005-01-28 12:26]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-11 11:42:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\fabien\LOCALS~1\Temp\mc23.tmp"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\IoctlSvc.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
c:\program files\IncrediMail\bin\ImApp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe
.
**************************************************************************
.
Heure de fin: 2008-11-11 11:47:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-11-11 10:47:31
ComboFix2.txt 2008-11-11 10:27:57
ComboFix3.txt 2008-11-11 10:16:09

Avant-CF: 45 168 136 192 octets libres
Après-CF: 45,153,927,168 octets libres

199 --- E O F --- 2008-10-26 10:54:59
0
Réponse 17 / 22
al-le-rouche Messages postés 104 Statut Membre 6
 
oups
0
Réponse 18 / 22
Utilisateur anonyme
 
décidement elle s accroche

-> Redémarre en mode sans échec :

Comment redémarrer en mode sans echec?

Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous :

:processes
explorer.exe

:files
c:\windows\system32\atl7.dll

:reg
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2CBEAC38-FF5E-4B2D-B04E-2A487506CC3C}]

:commands
[emptytemp]
[start explorer]
[reboot]

---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
0
lanalto Messages postés 103 Statut Membre
 
ou est OTMoveIt3.exe?
0
Réponse 19 / 22
Utilisateur anonyme
 
pardon:

http://oldtimer.geekstogo.com/OTMoveIt3.exe
0
lanalto Messages postés 103 Statut Membre
 
ok merci
0
lanalto Messages postés 103 Statut Membre
 
j'ai eu un message:ce n'aest pas une application windows valide
0
Réponse 20 / 22
Utilisateur anonyme
 
EN mode sans echec ?
0
lanalto Messages postés 103 Statut Membre
 
oui
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses