Publicités aléatoire sur Internet Explorer.
Résolu
arnolem
-
crapoulou Messages postés 28002 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
crapoulou Messages postés 28002 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Cela fait plus de 3 jours que j'essaie désespérément de supprimer une infection sur mon PC
Symptomes : Lors de la navigation avec Internet Explorer 7.0, il y a régulièrement des publicité en pleine page pour des Casinos, du porno, des grandes marques comme la Redoute, cdisount, un antivirus 2009...
Tentatives :
- J'ai parcouru plusieurs messages et essayer de nombreuses solutions.
- J'ai essayés au moins 3 utilitaires trouvé à partir de ccm.com en ligne de commande.
- J'ai lancé plusieurs scans avec SpyBot 1.6, CCleaner, adware.
- J'ai supprimé la totalité des contrôles ActiveX en mode sans échecs(mais ils reviennent).
- J'ai supprimé la totalité des applications qui se lance au démarrage
- J'ai démarré en mode invite de commande pour supprimer des fichiers que je n'arrivait même pas a supprimer en mode sans echec.
Bref, j'ai supprimé un tas de cochonnerie mais je me rend compte que tout revient aussitôt. Il y a sûrement encore des trucs qui ne vont pas.
Pourriez-vous me guider dans cette éradication afin que j'arrive enfin à retrouver une navigation calme ?
Merci merci merci beaucoup par avance
PS : Pour ceux qui souhaiterais me conseiller d'installer Firefox, je vous signale que ce n'est pas mon PC :)
Cela fait plus de 3 jours que j'essaie désespérément de supprimer une infection sur mon PC
Symptomes : Lors de la navigation avec Internet Explorer 7.0, il y a régulièrement des publicité en pleine page pour des Casinos, du porno, des grandes marques comme la Redoute, cdisount, un antivirus 2009...
Tentatives :
- J'ai parcouru plusieurs messages et essayer de nombreuses solutions.
- J'ai essayés au moins 3 utilitaires trouvé à partir de ccm.com en ligne de commande.
- J'ai lancé plusieurs scans avec SpyBot 1.6, CCleaner, adware.
- J'ai supprimé la totalité des contrôles ActiveX en mode sans échecs(mais ils reviennent).
- J'ai supprimé la totalité des applications qui se lance au démarrage
- J'ai démarré en mode invite de commande pour supprimer des fichiers que je n'arrivait même pas a supprimer en mode sans echec.
Bref, j'ai supprimé un tas de cochonnerie mais je me rend compte que tout revient aussitôt. Il y a sûrement encore des trucs qui ne vont pas.
Pourriez-vous me guider dans cette éradication afin que j'arrive enfin à retrouver une navigation calme ?
Merci merci merci beaucoup par avance
PS : Pour ceux qui souhaiterais me conseiller d'installer Firefox, je vous signale que ce n'est pas mon PC :)
Configuration: Windows XP SP2 IE 7.0
17 réponses
-
Salut,
- Télécharge HijackThis Version 2.02 :
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
- Enregistre HJTInstall.exe sur ton bureau.
- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
- Clique sur Install ensuite sur I Accept
- Clique sur Do a scan system and save log file
- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.
Petit tuto si besoin : http://pageperso.aol.fr/balltrap34/demohijack.htm
-
Merci Beaucoup.
Voici le rapport :Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:05:03, on 14/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\D-Link\AirPlus G\AirGCFG.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\QuickTime\qttask.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - C:\Program Files\Microsoft Money\System\mnyside.dll O2 - BHO: (no name) - {3A7163BD-4B8C-4B0C-9ED0-11CE822A888F} - C:\WINDOWS\system32\khfCuVon.dll O2 - BHO: {dff22f9c-e90b-0efb-b064-9220650672f9} - {9f276056-0229-460b-bfe0-b09ec9f22ffd} - C:\WINDOWS\system32\enaajd.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: (no name) - {E202D2D0-4765-426C-B5AB-BE0586DB8814} - (no file) O2 - BHO: (no name) - {EB338DB6-EC2C-456B-B5AD-ED97FB489684} - C:\WINDOWS\system32\qoMeDSlk.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [6ce91a53] rundll32.exe "C:\WINDOWS\system32\glldsldt.dll",b O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - AppInit_DLLs: oufyqr.dll enaajd.dll O20 - Winlogon Notify: qoMeDSlk - C:\WINDOWS\SYSTEM32\qoMeDSlk.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe -- End of file - 5538 bytes
-
=> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
=> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"
=> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
-
Je n'ai pas eu besoin de mettre en français, il c'est lancé tout seul.
Voici le rapport :ComboFix 08-11-12.02 - Famille 2008-11-15 0:00:43.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.103 [GMT 1:00] Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat c:\documents and settings\Famille\Application Data\PCPrivacyCleaner c:\documents and settings\Famille\Application Data\PCPrivacyCleaner\Logs\scns.log c:\windows\BM6fda29cf.txt c:\windows\BM6fda29cf.xml c:\windows\system32\cwgobh.dll c:\windows\system32\elvnbkwc.ini c:\windows\system32\emvhykgp.ini c:\windows\system32\enaajd.dll c:\windows\system32\ENWyyyxx.ini c:\windows\system32\EV02 c:\windows\system32\gjjxcsqa.ini c:\windows\system32\khfCuVon.dll c:\windows\system32\ltyvgbwg.ini c:\windows\system32\lvpcmtdi.dll c:\windows\system32\mcrh.tmp c:\windows\system32\MSINET.oca c:\windows\system32\noVuCfhk.ini c:\windows\system32\noVuCfhk.ini2 c:\windows\system32\pac.txt c:\windows\system32\tfylofcc.dll c:\windows\system32\xedgtbpi.dll c:\windows\system32\xgjqjtvv.dll c:\windows\system32\yijbcmtw.dll c:\windows\Tasks\hcptneel.job c:\windows\Tasks\nmajqcxq.job ----- BITS: Il y a peut-être des sites infectés ----- hxxp://77.74.48.101 . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-14 au 2008-11-14 )))))))))))))))))))))))))))))))))))) . 2008-11-15 00:01 . 2008-11-15 00:01 77,824 --ahs---- c:\windows\system32\khfEWPFu.dll 2008-11-14 23:03 . 2008-11-14 23:03 <REP> d-------- c:\program files\Trend Micro 2008-11-14 22:00 . 2008-11-14 22:00 120 ---hs---- c:\windows\system32\tdlsdllg.ini 2008-11-14 21:46 . 2008-11-14 21:46 <REP> d-------- c:\program files\CCleaner 2008-11-14 21:00 . 2008-11-14 21:00 120 ---hs---- c:\windows\system32\ipbtgdex.ini 2008-11-14 20:54 . 2008-11-14 20:54 77,824 --ahs---- c:\windows\system32\jkkLDWnk.dll 2008-11-14 20:00 . 2008-11-14 21:40 <REP> d-------- c:\program files\Ad-remover 2008-11-14 19:56 . 2008-11-14 19:56 120 ---hs---- c:\windows\system32\wtmcbjiy.ini 2008-11-14 19:27 . 2005-10-19 18:19 1,327,189 --a------ c:\windows\system32\odSupp_M.dll 2008-11-14 19:27 . 2005-11-22 20:56 630,784 --a------ c:\windows\system32\ANIWZCS2.dll 2008-11-14 19:27 . 2005-11-22 20:55 237,568 --a------ c:\windows\system32\wlanapi.dll 2008-11-14 19:27 . 2005-10-19 18:19 204,800 --a------ c:\windows\system32\aIPH.dll 2008-11-14 19:27 . 2005-11-23 10:10 163,840 --a------ c:\windows\system32\WlanApp.dll 2008-11-14 19:27 . 2005-10-19 18:19 57,407 --a------ c:\windows\system32\ANICtl.dll 2008-11-14 19:27 . 2005-10-27 08:55 49,152 --a------ c:\windows\system32\JJAKEn.dll 2008-11-14 19:27 . 2005-10-19 18:19 49,152 --a------ c:\windows\system32\AQCKGen.dll 2008-11-14 19:26 . 2008-11-14 19:27 <REP> d-------- c:\program files\ANI 2008-11-14 19:26 . 2005-11-10 07:13 50,176 --a------ c:\windows\system32\ANIO64.sys 2008-11-14 19:26 . 2005-10-21 15:56 36,864 --a------ c:\windows\system32\ANIOApi.dll 2008-11-14 19:26 . 2005-11-09 15:44 24,288 --a------ c:\windows\system32\ANIO.sys 2008-11-14 19:26 . 2004-10-14 10:29 16,997 --a------ c:\windows\system32\ANIO.VXD 2008-11-14 19:26 . 2004-10-14 10:29 11,904 --a------ c:\windows\system32\anio4.sys 2008-11-14 19:25 . 2008-11-14 19:25 <REP> d-------- c:\program files\D-Link 2008-11-11 14:50 . 2008-11-11 17:20 <REP> d-------- c:\program files\RunAlyzer 2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage réseau 2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage d'impression 2008-11-11 14:44 . 2002-09-25 15:11 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Modèles 2008-11-11 14:44 . 2003-08-04 12:24 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Mes documents 2008-11-11 14:44 . 2002-09-25 16:05 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Menu Démarrer 2008-11-11 14:44 . 2008-11-14 21:03 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Favoris 2008-11-11 14:44 . 2008-11-14 21:22 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Bureau 2008-11-11 14:44 . 2003-08-04 12:24 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Application Data\InterTrust 2008-11-11 14:44 . 2008-11-11 14:44 <REP> d-------- c:\documents and settings\Administrateur.MARTINE 2008-10-22 22:00 . 2008-10-22 22:00 <REP> d-------- c:\documents and settings\Famille\Application Data\Leadertech . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-14 21:05 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-14 18:27 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-14 18:16 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2008-11-11 13:53 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-10-22 20:18 --------- d-----w c:\documents and settings\Famille\Application Data\OpenOffice.org2 2008-10-01 12:55 115,200 ----a-w c:\windows\system32\okaoequb.dll 2008-10-01 12:55 115,200 ----a-w c:\windows\system32\fyxwbk.dll 2008-10-01 12:52 74,240 ----a-w c:\windows\system32\aqscxjjg.dll 2008-10-01 12:51 34,304 ----a-w c:\windows\system32\hgGvvsQi.dll 2008-10-01 12:51 34,304 ----a-w c:\windows\system32\awtqnnnl.dll 2008-09-30 11:33 115,200 ----a-w c:\windows\system32\mkpdvuge.dll 2008-09-30 11:33 115,200 ----a-w c:\windows\system32\dxmeua.dll 2008-09-30 11:28 73,728 ----a-w c:\windows\system32\gwbgvytl.dll 2008-09-30 11:26 105,472 ----a-w c:\windows\system32\ijoycwhr.dll 2008-09-30 11:25 34,304 ----a-w c:\windows\system32\qoMdDvTN.dll 2008-09-30 11:25 34,304 ----a-w c:\windows\system32\opnmJYSk.dll 2008-09-29 20:26 --------- d-----w c:\program files\Google 2008-09-29 11:28 73,728 ----a-w c:\windows\system32\cwkbnvle.dll 2008-09-29 11:25 11,931 ----a-w c:\windows\system32\apnvmnxg.dll 2008-09-29 11:24 35,328 ----a-w c:\windows\system32\ddcAtrol.dll 2008-09-29 11:24 11,932 ----a-w c:\windows\system32\wsyvocdl.dll 2008-09-27 11:10 --------- d-----w c:\documents and settings\All Users\Application Data\AntiVir PersonalEdition Classic 2008-09-27 10:34 115,200 ----a-w c:\windows\system32\nkvplm.dll 2008-09-27 10:34 115,200 ----a-w c:\windows\system32\njbqmeoc.dll 2008-09-27 10:30 105,984 ----a-w c:\windows\system32\mxxxwukh.dll 2008-09-25 15:55 --------- d-----w c:\program files\QuickTime 2008-09-25 15:50 --------- d-----w c:\program files\Mindscape 2008-09-25 15:45 --------- d-----w c:\program files\Power IE 2008-09-25 05:38 115,200 ----a-w c:\windows\system32\aneurc(2).dll 2008-09-25 05:29 68,096 ----a-w c:\windows\system32\qoMeDSlk.dll 2008-09-22 12:20 --------- d-----w c:\program files\Java 2006-01-05 10:43 57,376 ----a-w c:\documents and settings\Famille\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB338DB6-EC2C-456B-B5AD-ED97FB489684}] 2008-09-25 06:29 68096 --a------ c:\windows\system32\qoMeDSlk.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360] "Google Update"="c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-11-14 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2006-03-29 233512] "D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192] "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-05-24 98304] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{EB338DB6-EC2C-456B-B5AD-ED97FB489684}"= "c:\windows\system32\qoMeDSlk.dll" [2008-09-25 68096] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeDSlk] 2008-09-25 06:29 68096 c:\windows\system32\qoMeDSlk.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=oufyqr.dll enaajd.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pandion.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Pandion.lnk backup=c:\windows\pss\Pandion.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Famille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk] path=c:\documents and settings\Famille\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup [HKLM\~\startupfolder\C:^Documents and Settings^Famille^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.4.lnk] path=c:\documents and settings\Famille\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.4.lnk backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 22:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2003-02-28 20:00 315392 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection] --a------ 2002-07-18 17:36 28672 c:\program files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent] --a------ 2002-07-17 10:00 204863 c:\program files\Microsoft Money\System\mnyexpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --a------ 2004-10-13 17:24 1694208 c:\program files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-05-24 16:19 98304 c:\program files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2008-09-29 21:26 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange] --a------ 2001-09-04 22:24 28672 c:\windows\system32\Ati2mdxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "SLService"=2 (0x2) "sdCoreService"=2 (0x2) "sdAuxService"=2 (0x2) "gusvc"=3 (0x3) "Ati HotKey Poller"=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "CTFMON.EXE"=c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "6ce91a53"=rundll32.exe "c:\windows\system32\xedgtbpi.dll",b [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office10\\WINWORD.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\DRIVERS\DP83815.SYS [2003-04-22 18392] S3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;c:\windows\system32\DRIVERS\FA312nd5.sys [2001-08-17 16074] S3 fbxusb;FreeBox USB Network Adapter;c:\windows\system32\DRIVERS\fbxusb.sys [2003-12-31 18848] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{494dd5f0-098d-11dd-8e47-00a0ccde34bb}] \Shell\Auto\command - E:\Start.exe \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed16d722-2d91-11d9-84af-00038a000015}] \Shell\Auto\command - E:\Start.exe \Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe . Contenu du dossier 'Tâches planifiées' 2008-11-14 c:\windows\Tasks\GoogleUpdateTaskUser.job - c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-14 22:12] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{2C4E5B2D-D6E7-4736-AAB7-0400C0F4F446} - c:\windows\system32\khfCuVon.dll BHO-{9f276056-0229-460b-bfe0-b09ec9f22ffd} - c:\windows\system32\enaajd.dll BHO-{E202D2D0-4765-426C-B5AB-BE0586DB8814} - (no file) Notify-dimsntfy - (no file) MSConfigStartUp-Adobe Photo Downloader - c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe MSConfigStartUp-BM6fda29cf - c:\windows\system32\axcrwbmg.dll MSConfigStartUp-ISTray - c:\program files\Spyware Doctor\pctsTray.exe . ------- Examen supplémentaire ------- . FireFox -: Profile - c:\documents and settings\Famille\Application Data\Mozilla\Firefox\Profiles\gr755ars.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://fr.google.mozilla.com/firefox&client=firefox-a&rls=com.google:fr:official . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-15 00:11:12 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\program files\AntiVir PersonalEdition Classic\sched.exe c:\program files\AntiVir PersonalEdition Classic\avguard.exe . ************************************************************************** . Heure de fin: 2008-11-15 0:21:22 - La machine a redémarré [Famille] ComboFix-quarantined-files.txt 2008-11-14 23:21:04 Avant-CF: 22,280,445,952 octets libres Après-CF: 22,162,239,488 octets libres 227 --- E O F --- 2008-09-22 12:31:05 -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Bonjour,
J'ai changé l'antivirus qui n'était plus a jour depuis 2 ans et j'ai lancé un scan complet qui a retrouvé énormement de chevaux de troie.
Je viens de relancer aussi un spybot qui a enlevé 10 menaces.
Voici le nouveau rapport HijackThis :Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:18:41, on 15/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\D-Link\AirPlus G\AirGCFG.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - AppInit_DLLs: oufyqr.dll enaajd.dll zjcuzw.dll O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe -- End of file - 3123 bytes
-
Bonjour,
Je viens encore de retirer 3 virus :
- Win32:Neptunia-YO [Trj]
- Win32:Adware-gen [Adw]
- Win32:Dialer-567 [Trj]
Par contre, mes mises à jours windows sont désactivées et impossible de les réactiver (même avec le profil matériel)
Voici mon nouveau rapport :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:09:20, on 15/11/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\D-Link\AirPlus G\AirGCFG.exe C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\Documents and Settings\Famille\Local Settings\Application Data\Google\Chrome\Application\chrome.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe -- End of file - 3414 bytes
-
!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.
Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EB338DB6-EC2C-456B-B5AD-ED97FB489684}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{EB338DB6-EC2C-456B-B5AD-ED97FB489684}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMeDSlk]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"6ce91a53"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{494dd5f0-098d-11dd-8e47-00a0ccde34bb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed16d722-2d91-11d9-84af-00038a000015}]
File::
c:\windows\system32\khfEWPFu.dll
c:\windows\system32\tdlsdllg.ini
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\ipbtgdex.ini
c:\windows\system32\jkkLDWnk.dll
c:\windows\system32\okaoequb.dll
c:\windows\system32\fyxwbk.dll
c:\windows\system32\aqscxjjg.dll
c:\windows\system32\hgGvvsQi.dll
c:\windows\system32\awtqnnnl.dll
c:\windows\system32\mkpdvuge.dll
c:\windows\system32\dxmeua.dll
c:\windows\system32\gwbgvytl.dll
c:\windows\system32\ijoycwhr.dll
c:\windows\system32\qoMdDvTN.dll
c:\windows\system32\opnmJYSk.dll
c:\windows\system32\cwkbnvle.dll
c:\windows\system32\apnvmnxg.dll
c:\windows\system32\ddcAtrol.dll
c:\windows\system32\wsyvocdl.dll
c:\windows\system32\nkvplm.dll
c:\windows\system32\njbqmeoc.dll
c:\windows\system32\mxxxwukh.dll
c:\windows\system32\aneurc(2).dll
c:\windows\system32\qoMeDSlk.dll
c:\windows\system32\xedgtbpi.dll
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
Ensuite,
Télécharge UsbFix sur ton bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
--> Lance l’installation avec les paramètres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
--> Le pc va redémarrer
-->Après redémarrage poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides -
Voici le rapport, je lance le second scan :
ComboFix 08-11-12.02 - Famille 2008-11-15 16:41:44.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.82 [GMT 1:00] Lancé depuis: c:\documents and settings\Famille\Mes documents\Téléchargements\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Famille\Bureau\CFScript.txt * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] FILE :: c:\windows\system32\aneurc(2).dll c:\windows\system32\apnvmnxg.dll c:\windows\system32\aqscxjjg.dll c:\windows\system32\awtqnnnl.dll c:\windows\system32\cwkbnvle.dll c:\windows\system32\ddcAtrol.dll c:\windows\system32\dxmeua.dll c:\windows\system32\fyxwbk.dll c:\windows\system32\gwbgvytl.dll c:\windows\system32\hgGvvsQi.dll c:\windows\system32\ijoycwhr.dll c:\windows\system32\ipbtgdex.ini c:\windows\system32\jkkLDWnk.dll c:\windows\system32\khfEWPFu.dll c:\windows\system32\mkpdvuge.dll c:\windows\system32\mxxxwukh.dll c:\windows\system32\njbqmeoc.dll c:\windows\system32\nkvplm.dll c:\windows\system32\okaoequb.dll c:\windows\system32\opnmJYSk.dll c:\windows\system32\qoMdDvTN.dll c:\windows\system32\qoMeDSlk.dll c:\windows\system32\tdlsdllg.ini c:\windows\system32\wsyvocdl.dll c:\windows\system32\xedgtbpi.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\apnvmnxg.dll c:\windows\system32\ipbtgdex.ini c:\windows\system32\jjkSvyay.ini c:\windows\system32\jjkSvyay.ini2 c:\windows\system32\qoMeDSlk.dll c:\windows\system32\qsusmoxr.dll c:\windows\system32\tdlsdllg.ini c:\windows\system32\vrdhifrk.dll c:\windows\system32\wsyvocdl.dll c:\windows\system32\yayvSkjj.dll c:\windows\system32\zjcuzw.dll . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-15 au 2008-11-15 )))))))))))))))))))))))))))))))))))) . 2008-11-15 00:25 . 2008-11-15 00:40 <REP> d-------- c:\windows\system32\CatRoot_bak 2008-11-14 23:03 . 2008-11-14 23:03 <REP> d-------- c:\program files\Trend Micro 2008-11-14 21:46 . 2008-11-14 21:46 <REP> d-------- c:\program files\CCleaner 2008-11-14 20:00 . 2008-11-14 21:40 <REP> d-------- c:\program files\Ad-remover 2008-11-14 19:56 . 2008-11-14 19:56 120 ---hs---- c:\windows\system32\wtmcbjiy.ini 2008-11-14 19:27 . 2005-10-19 18:19 1,327,189 --a------ c:\windows\system32\odSupp_M.dll 2008-11-14 19:27 . 2005-11-22 20:56 630,784 --a------ c:\windows\system32\ANIWZCS2.dll 2008-11-14 19:27 . 2005-11-22 20:55 237,568 --a------ c:\windows\system32\wlanapi.dll 2008-11-14 19:27 . 2005-10-19 18:19 204,800 --a------ c:\windows\system32\aIPH.dll 2008-11-14 19:27 . 2005-11-23 10:10 163,840 --a------ c:\windows\system32\WlanApp.dll 2008-11-14 19:27 . 2005-10-19 18:19 57,407 --a------ c:\windows\system32\ANICtl.dll 2008-11-14 19:27 . 2005-10-27 08:55 49,152 --a------ c:\windows\system32\JJAKEn.dll 2008-11-14 19:27 . 2005-10-19 18:19 49,152 --a------ c:\windows\system32\AQCKGen.dll 2008-11-14 19:26 . 2008-11-14 19:27 <REP> d-------- c:\program files\ANI 2008-11-14 19:26 . 2005-11-10 07:13 50,176 --a------ c:\windows\system32\ANIO64.sys 2008-11-14 19:26 . 2005-10-21 15:56 36,864 --a------ c:\windows\system32\ANIOApi.dll 2008-11-14 19:26 . 2005-11-09 15:44 24,288 --a------ c:\windows\system32\ANIO.sys 2008-11-14 19:26 . 2004-10-14 10:29 16,997 --a------ c:\windows\system32\ANIO.VXD 2008-11-14 19:26 . 2004-10-14 10:29 11,904 --a------ c:\windows\system32\anio4.sys 2008-11-14 19:25 . 2008-11-14 19:25 <REP> d-------- c:\program files\D-Link 2008-11-11 14:50 . 2008-11-11 17:20 <REP> d-------- c:\program files\RunAlyzer 2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage réseau 2008-11-11 14:44 . 2002-09-25 16:05 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Voisinage d'impression 2008-11-11 14:44 . 2002-09-25 15:11 <REP> d--h----- c:\documents and settings\Administrateur.MARTINE\Modèles 2008-11-11 14:44 . 2003-08-04 12:24 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Mes documents 2008-11-11 14:44 . 2002-09-25 16:05 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Menu Démarrer 2008-11-11 14:44 . 2008-11-14 21:03 <REP> dr------- c:\documents and settings\Administrateur.MARTINE\Favoris 2008-11-11 14:44 . 2008-11-15 13:54 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Bureau 2008-11-11 14:44 . 2003-08-04 12:24 <REP> d-------- c:\documents and settings\Administrateur.MARTINE\Application Data\InterTrust 2008-11-11 14:44 . 2008-11-11 14:44 <REP> d-------- c:\documents and settings\Administrateur.MARTINE 2008-10-22 22:00 . 2008-10-22 22:00 <REP> d-------- c:\documents and settings\Famille\Application Data\Leadertech . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-15 14:08 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-15 00:03 --------- d-----w c:\program files\Alwil Software 2008-11-14 18:27 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-14 18:16 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2008-11-11 13:53 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-10-22 20:18 --------- d-----w c:\documents and settings\Famille\Application Data\OpenOffice.org2 2008-09-29 20:26 --------- d-----w c:\program files\Google 2008-09-25 15:55 --------- d-----w c:\program files\QuickTime 2008-09-25 15:50 --------- d-----w c:\program files\Mindscape 2008-09-25 15:45 --------- d-----w c:\program files\Power IE 2008-09-22 12:20 --------- d-----w c:\program files\Java 2006-01-05 10:43 57,376 ----a-w c:\documents and settings\Famille\Application Data\GDIPFONTCACHEV1.DAT . ((((((((((((((((((((((((((((( snapshot@2008-11-15_ 0.19.22.07 ))))))))))))))))))))))))))))))))))))))))) . - 2006-04-27 17:50:00 597,504 ----a-w c:\windows\system32\aswBoot.exe + 2008-11-12 16:57:30 1,235,696 ----a-w c:\windows\system32\aswBoot.exe + 2008-11-12 16:51:11 97,480 ----a-w c:\windows\system32\AvastSS.scr + 2008-11-12 16:51:35 26,944 ----a-w c:\windows\system32\drivers\aavmker4.sys + 2008-11-12 16:53:27 20,560 ----a-w c:\windows\system32\drivers\aswFsBlk.sys + 2008-11-12 16:54:27 93,296 ----a-w c:\windows\system32\drivers\aswmon.sys + 2008-11-12 16:54:19 94,032 ----a-w c:\windows\system32\drivers\aswmon2.sys - 2006-04-27 17:44:58 16,352 ----a-w c:\windows\system32\drivers\aswRdr.sys + 2008-11-12 16:52:28 23,152 ----a-w c:\windows\system32\drivers\aswRdr.sys + 2008-11-12 16:53:38 110,160 ----a-w c:\windows\system32\drivers\aswSP.sys + 2008-11-12 16:52:37 50,656 ----a-w c:\windows\system32\drivers\aswTdi.sys + 2008-11-15 15:50:48 16,384 ----atw c:\windows\temp\Perflib_Perfdata_564.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "D-Link AirPlus G"="c:\program files\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192] "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 49152] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MoneyAgent] --a------ 2002-07-17 10:00 204863 c:\program files\Microsoft Money\System\mnyexpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "WMPNetworkSvc"=3 (0x3) "SLService"=2 (0x2) "sdCoreService"=2 (0x2) "sdAuxService"=2 (0x2) "gusvc"=3 (0x3) "Ati HotKey Poller"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Microsoft Office\\Office10\\WINWORD.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= . Contenu du dossier 'Tâches planifiées' 2008-11-15 c:\windows\Tasks\GoogleUpdateTaskUser.job - c:\documents and settings\Famille\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-14 22:12] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{275c67c2-f5da-495c-97c2-983a2fd2e680} - c:\windows\system32\zjcuzw.dll BHO-{950CF789-AE5D-4A3A-B35C-419DF4E0A641} - c:\windows\system32\yayvSkjj.dll ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-15 16:52:03 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\windows\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Heure de fin: 2008-11-15 17:16:39 - La machine a redémarré ComboFix-quarantined-files.txt 2008-11-15 16:16:02 ComboFix2.txt 2008-11-14 23:21:28 Avant-CF: 24 662 511 616 octets libres Après-CF: 24,604,569,600 octets libres 168 --- E O F --- 2008-11-15 16:15:21 -
Voici le second rapport :
-------------- UsbFix V2.407 --------------- * User : Famille - MARTINE * Outils mis a jours le 14/11/2008 par Chiquitine29 et Chimay8 * Recherche effectuée à 17:57:14 le 15/11/2008 * Windows Xp - Internet Explorer 7.0.5730.13 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\DOCUME~1\Famille\LOCALS~1\Temp\1.tmp\b2e.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe D: - Lecteur de CD-ROM +- Contenu de l'autorun : D:\autorun.inf --------------- [ Registre / Startup ] ---------------- ! REG.EXE VERSION 3.0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run D-Link AirPlus G REG_SZ C:\Program Files\D-Link\AirPlus G\AirGCFG.exe ANIWZCS2Service REG_SZ C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents ! REG.EXE VERSION 3.0 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe --------------- [ Registre / Mountpoint2 ] ---------------- -> Recherche négative. --------------- [ Nettoyage des disques ] ---------------- Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf Echec de la supression !! - [27/05/2005 09:38] D:\autorun.exe Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf Echec de la supression !! - [27/05/2005 09:38] D:\autorun.inf --------------- [ Listing des fichiers présents ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [25/09/2002 15:17][--a------] C:\AUTOEXEC.BAT [28/09/2005 16:14][-rahs----] C:\NTDETECT.COM [22/10/2008 21:23][--ahs----] C:\boot.ini [27/05/2005 09:38][-r-------] D:\AUTORUN.EXE [27/05/2005 09:38][-r-------] D:\AUTORUN.INF --------------- ! Fin du rapport ! ---------------- -
Je viens de refaire un scan avec avast qui a retrouvé encore les 3 même virus. Je ne sais vraiment plus quoi faire.
Besoin d'un nouveau rapport Hijakthis ? -
/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip’ est spécifique au PC de l’utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.
Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes :
File::
c:\windows\system32\wtmcbjiy.ini
c:\windows\SoftwareDistribution\Download\be077a0a5c65554c0fa221a5c8a0529b\update\update.exe
- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
Qu'est-ce qu'avast t'a trouvé ?? Poste le rapport de l'antivirus.-
Merci beaucoup beaucoup !!
J'ai réussi grâce à ton aide.
Il fallait désactiver la restauration du système car il y avait 3 virus dans les fichiers de restauration.
j'ai ensuite réussi à supprimer les virus sans qu'il ne apparaissent.
Par contre, je ne peux pas te faire de nouveau rapport, j'ai rendu ce PC à sa famille.
Merci pour ton soutiens :)
-
-
ok, problème résolu alors ...?
-
oui oui, j'ai tagué la discussion en résolu.
Merci encore et Merci CCM.net pour vos explications !! -
Parfait, à ton service.
Bonne continuation. -
Je te conseille tout de même pour finir proprement de me poster un rapport hijackthis stp.
-
-
Ah mais oui j'avais pas vu en revoyant le sujet !
Tant pis.
Bonne soirée.
Crapoulou.
