Publicités aléatoire sur Internet Explorer.

Résolu/Fermé
Signaler
-
Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
-
Bonjour,

Cela fait plus de 3 jours que j'essaie désespérément de supprimer une infection sur mon PC

Symptomes : Lors de la navigation avec Internet Explorer 7.0, il y a régulièrement des publicité en pleine page pour des Casinos, du porno, des grandes marques comme la Redoute, cdisount, un antivirus 2009...

Tentatives :
- J'ai parcouru plusieurs messages et essayer de nombreuses solutions.
- J'ai essayés au moins 3 utilitaires trouvé à partir de ccm.com en ligne de commande.
- J'ai lancé plusieurs scans avec SpyBot 1.6, CCleaner, adware.
- J'ai supprimé la totalité des contrôles ActiveX en mode sans échecs(mais ils reviennent).
- J'ai supprimé la totalité des applications qui se lance au démarrage
- J'ai démarré en mode invite de commande pour supprimer des fichiers que je n'arrivait même pas a supprimer en mode sans echec.

Bref, j'ai supprimé un tas de cochonnerie mais je me rend compte que tout revient aussitôt. Il y a sûrement encore des trucs qui ne vont pas.

Pourriez-vous me guider dans cette éradication afin que j'arrive enfin à retrouver une navigation calme ?

Merci merci merci beaucoup par avance

PS : Pour ceux qui souhaiterais me conseiller d'installer Firefox, je vous signale que ce n'est pas mon PC :)

17 réponses

Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
Salut,
- Télécharge HijackThis Version 2.02 :
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

- Enregistre HJTInstall.exe sur ton bureau.
- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
- Clique sur Install ensuite sur I Accept
- Clique sur Do a scan system and save log file
- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.
Petit tuto si besoin : http://pageperso.aol.fr/balltrap34/demohijack.htm
Merci Beaucoup.

Voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:05:03, on 14/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\QuickTime\qttask.exe
C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {3A7163BD-4B8C-4B0C-9ED0-11CE822A888F} - C:\WINDOWS\system32\khfCuVon.dll
O2 - BHO: {dff22f9c-e90b-0efb-b064-9220650672f9} - {9f276056-0229-460b-bfe0-b09ec9f22ffd} - C:\WINDOWS\system32\enaajd.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {E202D2D0-4765-426C-B5AB-BE0586DB8814} - (no file)
O2 - BHO: (no name) - {EB338DB6-EC2C-456B-B5AD-ED97FB489684} - C:\WINDOWS\system32\qoMeDSlk.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [6ce91a53] rundll32.exe "C:\WINDOWS\system32\glldsldt.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: oufyqr.dll enaajd.dll
O20 - Winlogon Notify: qoMeDSlk - C:\WINDOWS\SYSTEM32\qoMeDSlk.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 5538 bytes

Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
=> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

=> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

=> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Je n'ai pas eu besoin de mettre en français, il c'est lancé tout seul.

Voici le rapport :
ComboFix 08-11-12.02 - Famille 2008-11-15  0:00:43.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.103 [GMT 1:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\Famille\Application Data\PCPrivacyCleaner
c:\documents and settings\Famille\Application Data\PCPrivacyCleaner\Logs\scns.log
c:\windows\BM6fda29cf.txt
c:\windows\BM6fda29cf.xml
c:\windows\system32\cwgobh.dll
c:\windows\system32\elvnbkwc.ini
c:\windows\system32\emvhykgp.ini
c:\windows\system32\enaajd.dll
c:\windows\system32\ENWyyyxx.ini
c:\windows\system32\EV02
c:\windows\system32\gjjxcsqa.ini
c:\windows\system32\khfCuVon.dll
c:\windows\system32\ltyvgbwg.ini
c:\windows\system32\lvpcmtdi.dll
c:\windows\system32\mcrh.tmp
c:\windows\system32\MSINET.oca
c:\windows\system32\noVuCfhk.ini
c:\windows\system32\noVuCfhk.ini2
c:\windows\system32\pac.txt
c:\windows\system32\tfylofcc.dll
c:\windows\system32\xedgtbpi.dll
c:\windows\system32\xgjqjtvv.dll
c:\windows\system32\yijbcmtw.dll
c:\windows\Tasks\hcptneel.job
c:\windows\Tasks\nmajqcxq.job

----- BITS: Il y a peut-être des sites infectés -----

hxxp://77.74.48.101
.
(((((((((((((((((((((((((((((   Fichiers créés du 2008-10-14 au 2008-11-14  ))))))))))))))))))))))))))))))))))))
.

2008-11-15 00:01 . 2008-11-15 00:01	77,824	--ahs----	c:\windows\system32\khfEWPFu.dll
2008-11-14 23:03 . 2008-11-14 23:03	<REP>	d--------	c:\program files\Trend Micro
2008-11-14 22:00 . 2008-11-14 22:00	120	---hs----	c:\windows\system32\tdlsdllg.ini
2008-11-14 21:46 . 2008-11-14 21:46	<REP>	d--------	c:\program files\CCleaner
2008-11-14 21:00 . 2008-11-14 21:00	120	---hs----	c:\windows\system32\ipbtgdex.ini
2008-11-14 20:54 . 2008-11-14 20:54	77,824	--ahs----	c:\windows\system32\jkkLDWnk.dll
2008-11-14 20:00 . 2008-11-14 21:40	<REP>	d--------	c:\program files\Ad-remover
2008-11-14 19:56 . 2008-11-14 19:56	120	---hs----	c:\windows\system32\wtmcbjiy.ini
2008-11-14 19:27 . 2005-10-19 18:19	1,327,189	--a------	c:\windows\system32\odSupp_M.dll
2008-11-14 19:27 . 2005-11-22 20:56	630,784	--a------	c:\windows\system32\ANIWZCS2.dll
2008-11-14 19:27 . 2005-11-22 20:55	237,568	--a------	c:\windows\system32\wlanapi.dll
2008-11-14 19:27 . 2005-10-19 18:19	204,800	--a------	c:\windows\system32\aIPH.dll
2008-11-14 19:27 . 2005-11-23 10:10	163,840	--a------	c:\windows\system32\WlanApp.dll
2008-11-14 19:27 . 2005-10-19 18:19	57,407	--a------	c:\windows\system32\ANICtl.dll
2008-11-14 19:27 . 2005-10-27 08:55	49,152	--a------	c:\windows\system32\JJAKEn.dll
2008-11-14 19:27 . 2005-10-19 18:19	49,152	--a------	c:\windows\system32\AQCKGen.dll
2008-11-14 19:26 . 2008-11-14 19:27	<REP>	d--------	c:\program files\ANI
2008-11-14 19:26 . 2005-11-10 07:13	50,176	--a------	c:\windows\system32\ANIO64.sys
2008-11-14 19:26 . 2005-10-21 15:56	36,864	--a------	c:\windows\system32\ANIOApi.dll
2008-11-14 19:26 . 2005-11-09 15:44	24,288	--a------	c:\windows\system32\ANIO.sys
2008-11-14 19:26 . 2004-10-14 10:29	16,997	--a------	c:\windows\system32\ANIO.VXD
2008-11-14 19:26 . 2004-10-14 10:29	11,904	--a------	c:\windows\system32\anio4.sys
2008-11-14 19:25 . 2008-11-14 19:25	<REP>	d--------	c:\program files\D-Link
2008-11-11 14:50 . 2008-11-11 17:20	<REP>	d--------	c:\program files\RunAlyzer
2008-11-11 14:44 . 2002-09-25 16:05	<REP>	d--h-----	c:\documents and settings\Administrateur.MARTINE\Voisinage réseau
2008-11-11 14:44 . 2002-09-25 16:05	<REP>	d--h-----	c:\documents and settings\Administrateur.MARTINE\Voisinage d'impression
2008-11-11 14:44 . 2002-09-25 15:11	<REP>	d--h-----	c:\documents and settings\Administrateur.MARTINE\Modèles
2008-11-11 14:44 . 2003-08-04 12:24	<REP>	dr-------	c:\documents and settings\Administrateur.MARTINE\Mes documents
2008-11-11 14:44 . 2002-09-25 16:05	<REP>	dr-------	c:\documents and settings\Administrateur.MARTINE\Menu Démarrer
2008-11-11 14:44 . 2008-11-14 21:03	<REP>	dr-------	c:\documents and settings\Administrateur.MARTINE\Favoris
2008-11-11 14:44 . 2008-11-14 21:22	<REP>	d--------	c:\documents and settings\Administrateur.MARTINE\Bureau
2008-11-11 14:44 . 2003-08-04 12:24	<REP>	d--------	c:\documents and settings\Administrateur.MARTINE\Application Data\InterTrust
2008-11-11 14:44 . 2008-11-11 14:44	<REP>	d--------	c:\documents and settings\Administrateur.MARTINE
2008-10-22 22:00 . 2008-10-22 22:00	<REP>	d--------	c:\documents and settings\Famille\Application Data\Leadertech

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-14 21:05	---------	d-----w	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-14 18:27	---------	d--h--w	c:\program files\InstallShield Installation Information
2008-11-14 18:16	---------	d---a-w	c:\documents and settings\All Users\Application Data\TEMP
2008-11-11 13:53	---------	d-----w	c:\program files\Spybot - Search & Destroy
2008-10-22 20:18	---------	d-----w	c:\documents and settings\Famille\Application Data\OpenOffice.org2
2008-10-01 12:55	115,200	----a-w	c:\windows\system32\okaoequb.dll
2008-10-01 12:55	115,200	----a-w	c:\windows\system32\fyxwbk.dll
2008-10-01 12:52	74,240	----a-w	c:\windows\system32\aqscxjjg.dll
2008-10-01 12:51	34,304	----a-w	c:\windows\system32\hgGvvsQi.dll
2008-10-01 12:51	34,304	----a-w	c:\windows\system32\awtqnnnl.dll
2008-09-30 11:33	115,200	----a-w	c:\windows\system32\mkpdvuge.dll
2008-09-30 11:33	115,200	----a-w	c:\windows\system32\dxmeua.dll
2008-09-30 11:28	73,728	----a-w	c:\windows\system32\gwbgvytl.dll
2008-09-30 11:26	105,472	----a-w	c:\windows\system32\ijoycwhr.dll
2008-09-30 11:25	34,304	----a-w	c:\windows\system32\qoMdDvTN.dll
2008-09-30 11:25	34,304	----a-w	c:\windows\system32\opnmJYSk.dll
2008-09-29 20:26	---------	d-----w	c:\program files\Google
2008-09-29 11:28	73,728	----a-w	c:\windows\system32\cwkbnvle.dll
2008-09-29 11:25	11,931	----a-w	c:\windows\system32\apnvmnxg.dll
2008-09-29 11:24	35,328	----a-w	c:\windows\system32\ddcAtrol.dll
2008-09-29 11:24	11,932	----a-w	c:\windows\system32\wsyvocdl.dll
2008-09-27 11:10	---------	d-----w	c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition Classic
2008-09-27 10:34	115,200	----a-w	c:\windows\system32\nkvplm.dll
2008-09-27 10:34	115,200	----a-w	c:\windows\system32\njbqmeoc.dll
2008-09-27 10:30	105,984	----a-w	c:\windows\system32\mxxxwukh.dll
2008-09-25 15:55	---------	d-----w	c:\program files\QuickTime
2008-09-25 15:50	---------	d-----w	c:\program files\Mindscape
2008-09-25 15:45	---------	d-----w	c:\program files\Power IE
2008-09-25 05:38	115,200	----a-w	c:\windows\system32\aneurc(2).dll
2008-09-25 05:29	68,096	----a-w	c:\windows\system32\qoMeDSlk.dll
2008-09-22 12:20	---------	d-----w	c:\program files\Java
2006-01-05 10:43	57,376	----a-w	c:\documents and settings\Famille\Application Data\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB338DB6-EC2C-456B-B5AD-ED97FB489684}]
2008-09-25 06:29	68096	--a------	c:\windows\system32\qoMeDSlk.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]
"Google Update"="c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-11-14 133104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-03-29 233512]
"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-05-24 98304]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EB338DB6-EC2C-456B-B5AD-ED97FB489684}"= "c:\windows\system32\qoMeDSlk.dll" [2008-09-25 68096]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeDSlk]
2008-09-25 06:29 68096 c:\windows\system32\qoMeDSlk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=oufyqr.dll enaajd.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pandion.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Pandion.lnk
backup=c:\windows\pss\Pandion.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Famille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Famille\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Famille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk]
path=c:\documents and settings\Famille\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk
backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2003-02-28 20:00 315392 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]
--a------ 2002-07-18 17:36 28672 c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]
--a------ 2002-07-17 10:00 204863 c:\program files\Microsoft Money\System\mnyexpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-05-24 16:19 98304 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2008-09-29 21:26 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
--a------ 2001-09-04 22:24 28672 c:\windows\system32\Ati2mdxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"SLService"=2 (0x2)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)
"gusvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"6ce91a53"=rundll32.exe "c:\windows\system32\xedgtbpi.dll",b

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office10\\WINWORD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\DRIVERS\DP83815.SYS [2003-04-22 18392]
S3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;c:\windows\system32\DRIVERS\FA312nd5.sys [2001-08-17 16074]
S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\DRIVERS\fbxusb.sys [2003-12-31 18848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{494dd5f0-098d-11dd-8e47-00a0ccde34bb}]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed16d722-2d91-11d9-84af-00038a000015}]
\Shell\Auto\command - E:\Start.exe
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
.
Contenu du dossier 'Tâches planifiées'

2008-11-14 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-14 22:12]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{2C4E5B2D-D6E7-4736-AAB7-0400C0F4F446} - c:\windows\system32\khfCuVon.dll
BHO-{9f276056-0229-460b-bfe0-b09ec9f22ffd} - c:\windows\system32\enaajd.dll
BHO-{E202D2D0-4765-426C-B5AB-BE0586DB8814} - (no file)
Notify-dimsntfy - (no file)
MSConfigStartUp-Adobe Photo Downloader - c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
MSConfigStartUp-BM6fda29cf - c:\windows\system32\axcrwbmg.dll
MSConfigStartUp-ISTray - c:\program files\Spyware Doctor\pctsTray.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\gr755ars.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.google.mozilla.com/firefox&client=firefox-a&rls=com.google:fr:official
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 00:11:12
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\AntiVir PersonalEdition Classic\sched.exe
c:\program files\AntiVir PersonalEdition Classic\avguard.exe
.
**************************************************************************
.
Heure de fin: 2008-11-15  0:21:22 - La machine a redémarré [Famille]
ComboFix-quarantined-files.txt  2008-11-14 23:21:04

Avant-CF: 22,280,445,952 octets libres
Après-CF: 22,162,239,488 octets libres

227	--- E O F ---	2008-09-22 12:31:05

Bonjour,

J'ai changé l'antivirus qui n'était plus a jour depuis 2 ans et j'ai lancé un scan complet qui a retrouvé énormement de chevaux de troie.

Je viens de relancer aussi un spybot qui a enlevé 10 menaces.

Voici le nouveau rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:18:41, on 15/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: oufyqr.dll enaajd.dll zjcuzw.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 3123 bytes
Bonjour,

Je viens encore de retirer 3 virus :
- Win32:Neptunia-YO [Trj]
- Win32:Adware-gen [Adw]
- Win32:Dialer-567 [Trj]

Par contre, mes mises à jours windows sont désactivées et impossible de les réactiver (même avec le profil matériel)

Voici mon nouveau rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:09:20, on 15/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 3414 bytes

Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.


Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB338DB6-EC2C-456B-B5AD-ED97FB489684}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Run]
"QuickTime Task"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EB338DB6-EC2C-456B-B5AD-ED97FB489684}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeDSlk]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"6ce91a53"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{494dd5f0-098d-11dd-8e47-00a0ccde34bb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed16d722-2d91-11d9-84af-00038a000015}]

File::
c:\windows\system32\khfEWPFu.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\okaoequb.dll
c:\windows\system32\fyxwbk.dll
c:\windows\system32\aqscxjjg.dll
c:\windows\system32\hgGvvsQi.dll
c:\windows\system32\awtqnnnl.dll
c:\windows\system32\mkpdvuge.dll
c:\windows\system32\dxmeua.dll
c:\windows\system32\gwbgvytl.dll
c:\windows\system32\ijoycwhr.dll
c:\windows\system32\qoMdDvTN.dll
c:\windows\system32\opnmJYSk.dll
c:\windows\system32\cwkbnvle.dll
c:\windows\system32\apnvmnxg.dll
c:\windows\system32\ddcAtrol.dll
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\nkvplm.dll
c:\windows\system32\njbqmeoc.dll
c:\windows\system32\mxxxwukh.dll
c:\windows\system32\aneurc(2).dll
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\xedgtbpi.dll



- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).

- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).

Ensuite,

Télécharge UsbFix sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l’installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarrer

-->Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
Voici le rapport, je lance le second scan :
ComboFix 08-11-12.02 - Famille 2008-11-15 16:41:44.2 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.82 [GMT 1:00]
Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Famille\Bureau\CFScript.txt
 * Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
c:\windows\system32\aneurc(2).dll
c:\windows\system32\apnvmnxg.dll
c:\windows\system32\aqscxjjg.dll
c:\windows\system32\awtqnnnl.dll
c:\windows\system32\cwkbnvle.dll
c:\windows\system32\ddcAtrol.dll
c:\windows\system32\dxmeua.dll
c:\windows\system32\fyxwbk.dll
c:\windows\system32\gwbgvytl.dll
c:\windows\system32\hgGvvsQi.dll
c:\windows\system32\ijoycwhr.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\khfEWPFu.dll
c:\windows\system32\mkpdvuge.dll
c:\windows\system32\mxxxwukh.dll
c:\windows\system32\njbqmeoc.dll
c:\windows\system32\nkvplm.dll
c:\windows\system32\okaoequb.dll
c:\windows\system32\opnmJYSk.dll
c:\windows\system32\qoMdDvTN.dll
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\xedgtbpi.dll
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\apnvmnxg.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jjkSvyay.ini
c:\windows\system32\jjkSvyay.ini2
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\qsusmoxr.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\vrdhifrk.dll
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\yayvSkjj.dll
c:\windows\system32\zjcuzw.dll

.
(((((((((((((((((((((((((((((   Fichiers créés du 2008-10-15 au 2008-11-15  ))))))))))))))))))))))))))))))))))))
.

2008-11-15 00:25 . 2008-11-15 00:40	<REP>	d--------	c:\windows\system32\CatRoot_bak
2008-11-14 23:03 . 2008-11-14 23:03	<REP>	d--------	c:\program files\Trend Micro
2008-11-14 21:46 . 2008-11-14 21:46	<REP>	d--------	c:\program files\CCleaner
2008-11-14 20:00 . 2008-11-14 21:40	<REP>	d--------	c:\program files\Ad-remover
2008-11-14 19:56 . 2008-11-14 19:56	120	---hs----	c:\windows\system32\wtmcbjiy.ini
2008-11-14 19:27 . 2005-10-19 18:19	1,327,189	--a------	c:\windows\system32\odSupp_M.dll
2008-11-14 19:27 . 2005-11-22 20:56	630,784	--a------	c:\windows\system32\ANIWZCS2.dll
2008-11-14 19:27 . 2005-11-22 20:55	237,568	--a------	c:\windows\system32\wlanapi.dll
2008-11-14 19:27 . 2005-10-19 18:19	204,800	--a------	c:\windows\system32\aIPH.dll
2008-11-14 19:27 . 2005-11-23 10:10	163,840	--a------	c:\windows\system32\WlanApp.dll
2008-11-14 19:27 . 2005-10-19 18:19	57,407	--a------	c:\windows\system32\ANICtl.dll
2008-11-14 19:27 . 2005-10-27 08:55	49,152	--a------	c:\windows\system32\JJAKEn.dll
2008-11-14 19:27 . 2005-10-19 18:19	49,152	--a------	c:\windows\system32\AQCKGen.dll
2008-11-14 19:26 . 2008-11-14 19:27	<REP>	d--------	c:\program files\ANI
2008-11-14 19:26 . 2005-11-10 07:13	50,176	--a------	c:\windows\system32\ANIO64.sys
2008-11-14 19:26 . 2005-10-21 15:56	36,864	--a------	c:\windows\system32\ANIOApi.dll
2008-11-14 19:26 . 2005-11-09 15:44	24,288	--a------	c:\windows\system32\ANIO.sys
2008-11-14 19:26 . 2004-10-14 10:29	16,997	--a------	c:\windows\system32\ANIO.VXD
2008-11-14 19:26 . 2004-10-14 10:29	11,904	--a------	c:\windows\system32\anio4.sys
2008-11-14 19:25 . 2008-11-14 19:25	<REP>	d--------	c:\program files\D-Link
2008-11-11 14:50 . 2008-11-11 17:20	<REP>	d--------	c:\program files\RunAlyzer
2008-11-11 14:44 . 2002-09-25 16:05	<REP>	d--h-----	c:\documents and settings\Administrateur.MARTINE\Voisinage réseau
2008-11-11 14:44 . 2002-09-25 16:05	<REP>	d--h-----	c:\documents and settings\Administrateur.MARTINE\Voisinage d'impression
2008-11-11 14:44 . 2002-09-25 15:11	<REP>	d--h-----	c:\documents and settings\Administrateur.MARTINE\Modèles
2008-11-11 14:44 . 2003-08-04 12:24	<REP>	dr-------	c:\documents and settings\Administrateur.MARTINE\Mes documents
2008-11-11 14:44 . 2002-09-25 16:05	<REP>	dr-------	c:\documents and settings\Administrateur.MARTINE\Menu Démarrer
2008-11-11 14:44 . 2008-11-14 21:03	<REP>	dr-------	c:\documents and settings\Administrateur.MARTINE\Favoris
2008-11-11 14:44 . 2008-11-15 13:54	<REP>	d--------	c:\documents and settings\Administrateur.MARTINE\Bureau
2008-11-11 14:44 . 2003-08-04 12:24	<REP>	d--------	c:\documents and settings\Administrateur.MARTINE\Application Data\InterTrust
2008-11-11 14:44 . 2008-11-11 14:44	<REP>	d--------	c:\documents and settings\Administrateur.MARTINE
2008-10-22 22:00 . 2008-10-22 22:00	<REP>	d--------	c:\documents and settings\Famille\Application Data\Leadertech

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-15 14:08	---------	d-----w	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-15 00:03	---------	d-----w	c:\program files\Alwil Software
2008-11-14 18:27	---------	d--h--w	c:\program files\InstallShield Installation Information
2008-11-14 18:16	---------	d---a-w	c:\documents and settings\All Users\Application Data\TEMP
2008-11-11 13:53	---------	d-----w	c:\program files\Spybot - Search & Destroy
2008-10-22 20:18	---------	d-----w	c:\documents and settings\Famille\Application Data\OpenOffice.org2
2008-09-29 20:26	---------	d-----w	c:\program files\Google
2008-09-25 15:55	---------	d-----w	c:\program files\QuickTime
2008-09-25 15:50	---------	d-----w	c:\program files\Mindscape
2008-09-25 15:45	---------	d-----w	c:\program files\Power IE
2008-09-22 12:20	---------	d-----w	c:\program files\Java
2006-01-05 10:43	57,376	----a-w	c:\documents and settings\Famille\Application Data\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((((   snapshot@2008-11-15_ 0.19.22.07   )))))))))))))))))))))))))))))))))))))))))
.
- 2006-04-27 17:50:00	597,504	----a-w	c:\windows\system32\aswBoot.exe
+ 2008-11-12 16:57:30	1,235,696	----a-w	c:\windows\system32\aswBoot.exe
+ 2008-11-12 16:51:11	97,480	----a-w	c:\windows\system32\AvastSS.scr
+ 2008-11-12 16:51:35	26,944	----a-w	c:\windows\system32\drivers\aavmker4.sys
+ 2008-11-12 16:53:27	20,560	----a-w	c:\windows\system32\drivers\aswFsBlk.sys
+ 2008-11-12 16:54:27	93,296	----a-w	c:\windows\system32\drivers\aswmon.sys
+ 2008-11-12 16:54:19	94,032	----a-w	c:\windows\system32\drivers\aswmon2.sys
- 2006-04-27 17:44:58	16,352	----a-w	c:\windows\system32\drivers\aswRdr.sys
+ 2008-11-12 16:52:28	23,152	----a-w	c:\windows\system32\drivers\aswRdr.sys
+ 2008-11-12 16:53:38	110,160	----a-w	c:\windows\system32\drivers\aswSP.sys
+ 2008-11-12 16:52:37	50,656	----a-w	c:\windows\system32\drivers\aswTdi.sys
+ 2008-11-15 15:50:48	16,384	----atw	c:\windows\temp\Perflib_Perfdata_564.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]
"ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent]
--a------ 2002-07-17 10:00 204863 c:\program files\Microsoft Money\System\mnyexpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"SLService"=2 (0x2)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)
"gusvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office10\\WINWORD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

.
Contenu du dossier 'Tâches planifiées'

2008-11-15 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-14 22:12]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{275c67c2-f5da-495c-97c2-983a2fd2e680} - c:\windows\system32\zjcuzw.dll
BHO-{950CF789-AE5D-4A3A-B35C-419DF4E0A641} - c:\windows\system32\yayvSkjj.dll



**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-15 16:52:03
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2008-11-15 17:16:39 - La machine a redémarré
ComboFix-quarantined-files.txt  2008-11-15 16:16:02
ComboFix2.txt  2008-11-14 23:21:28

Avant-CF: 24 662 511 616 octets libres
Après-CF: 24,604,569,600 octets libres

168	--- E O F ---	2008-11-15 16:15:21

Voici le second rapport :
 

-------------- UsbFix V2.407 ---------------

* User : Famille - MARTINE
* Outils mis a jours le 14/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à 17:57:14 le 15/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\DOCUME~1\Famille\LOCALS~1\Temp\1.tmp\b2e.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur de CD-ROM

 
+- Contenu de l'autorun : D:\autorun.inf  


  
--------------- [ Registre / Startup ] ----------------   
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    D-Link AirPlus G	REG_SZ	C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
    ANIWZCS2Service	REG_SZ	C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    ctfmon.exe	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
 
 -> Recherche négative. 
  
--------------- [ Nettoyage des disques ] ----------------   
   
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf   
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.exe   
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf   
Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf   
  
--------------- [ Listing des fichiers présents ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[25/09/2002 15:17][--a------] C:\AUTOEXEC.BAT   
[28/09/2005 16:14][-rahs----] C:\NTDETECT.COM   
[22/10/2008 21:23][--ahs----] C:\boot.ini   
[27/05/2005 09:38][-r-------] D:\AUTORUN.EXE   
[27/05/2005 09:38][-r-------] D:\AUTORUN.INF   
 
--------------- ! Fin du rapport ! ----------------  
 
Je viens de refaire un scan avec avast qui a retrouvé encore les 3 même virus. Je ne sais vraiment plus quoi faire.

Besoin d'un nouveau rapport Hijakthis ?
Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip’ est spécifique au PC de l’utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.

Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :

File::
c:\windows\system32\wtmcbjiy.ini
c:\windows\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).

Qu'est-ce qu'avast t'a trouvé ?? Poste le rapport de l'antivirus.
Merci beaucoup beaucoup !!

J'ai réussi grâce à ton aide.

Il fallait désactiver la restauration du système car il y avait 3 virus dans les fichiers de restauration.
j'ai ensuite réussi à supprimer les virus sans qu'il ne apparaissent.

Par contre, je ne peux pas te faire de nouveau rapport, j'ai rendu ce PC à sa famille.

Merci pour ton soutiens :)
Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
ok, problème résolu alors ...?
Messages postés
79
Date d'inscription
jeudi 29 avril 2004
Statut
Membre
Dernière intervention
8 juillet 2011
10
oui oui, j'ai tagué la discussion en résolu.

Merci encore et Merci CCM.net pour vos explications !!
Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
Parfait, à ton service.
Bonne continuation.
Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
Je te conseille tout de même pour finir proprement de me poster un rapport hijackthis stp.
Comme je te l'ai dis, je ne peux pas car j'ai déja rendu le PC à sa propriétaire :)
Messages postés
28062
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
25 novembre 2021
8 001
Ah mais oui j'avais pas vu en revoyant le sujet !
Tant pis.
Bonne soirée.
Crapoulou.