Virus 2009

Lefilsdepub Messages postés 7 Statut Membre -  
kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Depuis qqes jours j'ai AV2009 qui vient de s'installer sur mon pc je ne sais pas comment m'en débarrasser !!
Qqun peut - il m'aider ?
Configuration: Windows XP
Opera 9.62

11 réponses

  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    .

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  2. Lefilsdepub Messages postés 7 Statut Membre
     
    info.txt logfile of random's system information tool 1.04 2008-12-13 10:50:00

    ======Uninstall list======

    -->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
    Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Photoshop CS-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EFB21DE7-8C19-4A88-BB28-A766E16493BC}\setup.exe" -l0x40c
    Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
    Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
    Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
    Assistant de connexion Windows Live-->MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
    AVG Free 8.0-->C:\Program Files\AVG\AVG8\setup.exe /UNINSTALL
    CloneCD-->"C:\Program Files\SlySoft\CloneCD\ccd-uninst.exe" /D="C:\Program Files\SlySoft\CloneCD"
    C-Media WDM Audio Driver-->C:\WINDOWS\system32\cmirmdrv.exe
    Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
    eMule-->"C:\Program Files\eMule\Uninstall.exe"
    ESET Online Scanner-->C:\WINDOWS\system32\OnlineScannerUninstaller.exe
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Messenger Plus! 3-->"C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /Remove
    Messenger Plus! Live-->"C:\Program Files\Messenger Plus! Live\Uninstall.exe"
    Microsoft Internationalized Domain Names Mitigation APIs-->"C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$\spuninst\spuninst.exe"
    Microsoft National Language Support Downlevel APIs-->"C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$\spuninst\spuninst.exe"
    Microsoft Office XP Professional with FrontPage-->MsiExec.exe /I{90280409-6000-11D3-8CFE-0050048383C9}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Microsoft Windows Media Video 9 VCM-->RunDll32 advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmv9vcm.inf, Uninstall
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127-v2)-->"C:\WINDOWS\ie7updates\KB938127-v2-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB954459)-->"C:\WINDOWS\$NtUninstallKB954459$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956390)-->"C:\WINDOWS\$NtUninstallKB956390$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
    Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
    Mise à jour pour Windows XP (KB951978)-->"C:\WINDOWS\$NtUninstallKB951978$\spuninst\spuninst.exe"
    Nero 7 Premium-->MsiExec.exe /I{4781569D-5404-1F26-4B2B-6DF444441031}
    Opera 9.62-->MsiExec.exe /X{D9226EB1-C528-48AC-B423-BD9240E1F60B}
    Registry Mechanic 8.0-->"C:\Program Files\Registry Mechanic\unins000.exe" /Log
    VLC media player 0.9.6-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Installer 4.5 SDK-->MsiExec.exe /I{0CA21011-069B-B16A-A5CA-9ABE49DAC05C}
    Windows Live installer-->MsiExec.exe /X{FD44E544-E7D0-4DBA-9FA0-8AE1A1300390}
    Windows Live Mail-->MsiExec.exe /I{C514C594-23AA-4F13-A070-DB8BDB27594F}
    Windows Live Messenger-->MsiExec.exe /X{BADF6744-3787-48F6-B8C9-4C4995401D65}
    Windows XP Service Pack 3-->"C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"

    ======Security center information======

    AV: AVG Anti-Virus Free
    0
  3. Lefilsdepub Messages postés 7 Statut Membre
     
    Logfile of random's system information tool 1.04 (written by random/random)
    Run by Mickey at 2008-12-13 10:49:00
    Microsoft Windows XP Édition familiale Service Pack 3
    System drive C: has 17 GB (44%) free of 39 GB
    Total RAM: 511 MB (37% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:49:49, on 13/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\DOCUME~1\Mickey\LOCALS~1\Temp\esentutl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Antivirus 2009\av2009.exe
    C:\WINDOWS\system32\wpabaln.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Opera\opera.exe
    C:\Program Files\AVG\AVG8\avgtray.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Documents and Settings\Mickey\Local Settings\Application Data\Opera\Opera\profile\cache4\temporary_download\RSIT.exe
    C:\Program Files\trend micro\Mickey.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    F3 - REG:win.ini: load=C:\DOCUME~1\Mickey\LOCALS~1\Temp\esentutl.exe
    O2 - BHO: &Research - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - (no file)
    O2 - BHO: (no name) - {0d5e6243-04e3-441f-82ef-7e0e2e73f4cd} - C:\WINDOWS\system32\sofodowi.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
    O2 - BHO: {e9c513c9-b18b-63f8-eba4-5a1946dfcf38} - {83fcfd64-91a5-4abe-8f36-b81b9c315c9e} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: (no name) - {9BFDB83D-0642-428D-A39D-91D826180D5D} - (no file)
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKLM\..\Run: [b46502e0] rundll32.exe "C:\WINDOWS\system32\mohafilu.dll",b
    O4 - HKLM\..\Run: [CPMb756317c] Rundll32.exe "c:\windows\system32\gefuvura.dll",a
    O4 - HKLM\..\Run: [nopizejaba] Rundll32.exe "C:\WINDOWS\system32\lodivime.dll",s
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [21613846408043297252347369874635] C:\Program Files\Antivirus 2009\av2009.exe
    O4 - HKCU\..\Run: [RegistryMechanic] C:\Program Files\Registry Mechanic\RegMech.exe /H
    O4 - HKLM\..\Policies\Explorer\Run: [Cisvc] C:\DOCUME~1\Mickey\LOCALS~1\Temp\cisvc.exe /waitservice
    O4 - HKCU\..\Policies\Explorer\Run: [Logman] C:\WINDOWS\System\logman.exe /waitservice
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [nopizejaba] Rundll32.exe "C:\WINDOWS\system32\lodivime.dll",s (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-21-299502267-1383384898-1708537768-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Administrateur')
    O4 - HKUS\S-1-5-21-299502267-1383384898-1708537768-500\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NeroScoutOptions.exe (User 'Administrateur')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Mickey\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe /waitservice (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [DllHst] C:\DOCUME~1\Mickey\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe /waitservice (User 'Default user')
    O4 - Startup: Thoosje Sidebar.lnk = C:\Program Files\Thoosje Vista Sidebar\Thoosje Sidebar.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/SmileyCentralInitialSetup1.0.1.1.cab
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
    O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: baaeoq.dll C:\WINDOWS\system32\gubebusi.dll c:\windows\system32\relifaga.dll avgrsstx.dll c:\windows\system32\gefuvura.dll
    O20 - Winlogon Notify: rqRIyWnk - rqRIyWnk.dll (file missing)
    O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\gefuvura.dll
    O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\gefuvura.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    cocktail assez remarquable.

    1) Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
    et télécharge SmitfraudFix.exe.

    Regarde le tuto
    Exécute le en choisissant l’option 1, il va générer un rapport
    Copie/colle le sur le poste stp.

    2) Télécharge MSNFix.zip (de !aur3n7) sur ton bureau:
    http://sosvirus.changelog.fr/MSNFix.zip

    Décompresse-le (clic droit >> Extraire ici) et place les fichiers dans C:\MSNFix (très important).

    Double cliquer sur le fichier MSNFix.bat.
    - Exécutez l'option R.
    -- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage

    Note :
    Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal

    - Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.txt

    je suis là dans l'après midi.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lefilsdepub Messages postés 7 Statut Membre
     
    SmitFraudFix v2.385

    Rapport fait à 11:02:37,92, 13/12/2008
    Executé à partir de C:\Documents and Settings\Mickey\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\DOCUME~1\Mickey\LOCALS~1\Temp\esentutl.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Antivirus 2009\av2009.exe
    C:\WINDOWS\system32\wpabaln.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Opera\opera.exe
    C:\Program Files\AVG\AVG8\avgtray.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\Mickey\Bureau\SmitfraudFix\Policies.exe
    C:\Documents and Settings\Mickey\Local Settings\Application Data\Opera\Opera\profile\cache4\temporary_download\SmitfraudFix.exe
    C:\Documents and Settings\Mickey\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mickey

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mickey\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mickey\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mickey\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"

    [HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
    @="c:\windows\system32\gefuvura.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
    @="c:\windows\system32\gefuvura.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="baaeoq.dll C:\\WINDOWS\\system32\\gubebusi.dll c:\\windows\\system32\\relifaga.dll avgrsstx.dll c:\\windows\\system32\\gefuvura.dll"
    "LoadAppInit_DLLs"=dword:00000001

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte SURECOM EP-320X-R 100/10/M PCI - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{656D24E6-85B2-4937-B035-6473387F33F0}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{656D24E6-85B2-4937-B035-6473387F33F0}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{656D24E6-85B2-4937-B035-6473387F33F0}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    MSN FIX ne fair rien : il me marque :

    scan ..........

    ........ check service

    et c tout .......
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    1)
    Démarre en mode sans échec :
    Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
    Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
    Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
    (Si F8 ne marche pas utilise la touche F5).
    ----------------------------------------------------------------------------
    Relance le programme Smitfraud,
    Cette fois choisit l’option 2, répond oui a tous ;
    Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

    ================================

    Si tu n'arrives pas à démarrer en mode sans échec, exécute cettie option 2 en mode normal.

    2) On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    * Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

    Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
    0
  8. Lefilsdepub Messages postés 7 Statut Membre
     
    SmitFraudFix v2.385

    Rapport fait à 11:40:43,79, 13/12/2008
    Executé à partir de C:\Documents and Settings\Mickey\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"

    [HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
    @="c:\windows\system32\gefuvura.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
    @="c:\windows\system32\gefuvura.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\WINDOWS\system32\ieupdates.exe supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte SURECOM EP-320X-R 100/10/M PCI - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{656D24E6-85B2-4937-B035-6473387F33F0}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{656D24E6-85B2-4937-B035-6473387F33F0}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{656D24E6-85B2-4937-B035-6473387F33F0}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"="STS"

    [HKEY_CLASSES_ROOT\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
    @="c:\windows\system32\gefuvura.dll"

    [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}\InProcServer32]
    @="c:\windows\system32\gefuvura.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    le rapport Combofix ?
    0
  10. Lefilsdepub Messages postés 7 Statut Membre
     
    ComboFix 08-12-12.05 - Mickey 2008-12-13 17:31:59.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.280 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Mickey\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\Antivirus 2009
    c:\program files\Antivirus 2009\av2009.exe
    c:\windows\system32\404Fix.exe
    c:\windows\system32\asizizag.ini
    c:\windows\system32\aveteren.ini
    c:\windows\system32\dipitiwo.dll
    c:\windows\system32\drivers\spoolsv.exe
    c:\windows\system32\dumphive.exe
    c:\windows\system32\fihasine.dll
    c:\windows\system32\gefuvura.dll.vir
    c:\windows\system32\gubebusi.dll.vir
    c:\windows\system32\hepiyoma.dll
    c:\windows\system32\IEDFix.C.exe
    c:\windows\system32\IEDFix.exe
    c:\windows\system32\ieupdates.exe.tmp
    c:\windows\system32\ijodulur.ini
    c:\windows\system32\iklSYJjl.ini
    c:\windows\system32\iklSYJjl.ini2
    c:\windows\system32\imidotay.ini
    c:\windows\system32\kuyubuza.dll
    c:\windows\system32\mohafilu.dll
    c:\windows\system32\o4Patch.exe
    c:\windows\system32\olenemuk.ini
    c:\windows\system32\owitipid.ini
    c:\windows\system32\Process.exe
    c:\windows\system32\sofodowi.dll
    c:\windows\system32\SrchSTS.exe
    c:\windows\system32\telariva.dll
    c:\windows\system32\tmp.reg
    c:\windows\system32\uhidifup.ini
    c:\windows\system32\ulifahom.ini
    c:\windows\system32\upuhajiw.ini
    c:\windows\system32\VACFix.exe
    c:\windows\system32\VCCLSID.exe
    c:\windows\system32\wijahupu.dll
    c:\windows\system32\WS2Fix.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-13 au 2008-12-13 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-13 13:48 . 2008-10-16 21:18 1,160,192 --a------ c:\windows\system32\SET29B.tmp
    2008-12-13 13:48 . 2008-10-16 21:18 826,368 --a------ c:\windows\system32\SET299.tmp
    2008-12-13 13:48 . 2008-10-15 08:06 633,632 -----c--- c:\windows\system32\dllcache\iexplore.exe
    2008-12-13 13:48 . 2008-10-16 21:18 459,264 --a------ c:\windows\system32\SET2A4.tmp
    2008-12-13 13:48 . 2008-10-16 21:18 383,488 --a------ c:\windows\system32\SET2AC.tmp
    2008-12-13 13:48 . 2008-10-16 21:18 267,776 --a------ c:\windows\system32\SET2A8.tmp
    2008-12-13 13:48 . 2008-10-16 21:18 233,472 --a------ c:\windows\system32\SET29A.tmp
    2008-12-13 13:48 . 2008-10-16 21:18 124,928 --a------ c:\windows\system32\SET2B4.tmp
    2008-12-13 13:48 . 2008-10-16 21:18 105,984 --a------ c:\windows\system32\SET29C.tmp
    2008-12-13 13:48 . 2008-10-16 21:18 52,224 --a------ c:\windows\system32\SET2A3.tmp
    2008-12-13 13:47 . 2008-10-16 21:18 6,066,176 --a------ c:\windows\system32\SET2AA.tmp
    2008-12-13 13:47 . 2008-10-16 21:18 63,488 --a------ c:\windows\system32\SET2B1.tmp
    2008-12-13 13:10 . <REP> c:\windows\LastGood.Tmp
    2008-12-13 12:05 . 2008-12-12 18:11 81,920 --a------ c:\windows\mstinit.exe
    2008-12-13 12:04 . 2008-12-12 18:11 81,920 --a------ c:\windows\system32\drivers\clipsrv.exe
    2008-12-13 12:03 . 2008-12-12 18:11 81,920 --a------ c:\documents and settings\Mickey\Application Data\mstinit.exe
    2008-12-13 12:02 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\spoolsv.exe
    2008-12-13 12:02 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\clipsrv.exe
    2008-12-13 12:02 . 2008-12-12 18:11 81,920 --a------ c:\windows\rsvp.exe
    2008-12-13 12:00 . 2008-12-12 18:11 81,920 --a------ c:\windows\system32\drivers\sessmgr.exe
    2008-12-13 12:00 . 2008-12-12 18:11 81,920 --a------ c:\documents and settings\Mickey\Application Data\clipsrv.exe
    2008-12-13 11:59 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\dllhst3g.exe
    2008-12-13 11:58 . 2008-12-12 18:11 81,920 --a------ c:\windows\mstsc.exe
    2008-12-13 11:58 . 2008-12-12 18:11 81,920 --a------ c:\documents and settings\Mickey\Application Data\mqtgsvc.exe
    2008-12-13 11:57 . 2008-12-12 18:11 81,920 --a------ c:\windows\cisvc.exe
    2008-12-13 11:55 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\ieudinit.exe
    2008-12-13 11:50 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\esentutl.exe
    2008-12-13 11:50 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\cisvc.exe
    2008-12-13 11:49 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\cmstp.exe
    2008-12-13 11:48 . 2008-12-12 18:11 81,920 --a------ c:\windows\system32\drivers\ieudinit.exe
    2008-12-13 11:48 . 2008-12-12 18:11 81,920 --a------ c:\windows\sessmgr.exe
    2008-12-13 11:46 . 2008-12-12 18:11 81,920 --a------ c:\documents and settings\Mickey\Application Data\ieudinit.exe
    2008-12-13 11:02 . 2008-12-12 00:57 78,336 --a------ c:\windows\system32\Agent.OMZ.Fix.exe
    2008-12-13 10:49 . 2008-12-13 10:50 <REP> d-------- C:\rsit
    2008-12-13 10:49 . 2008-12-13 10:49 <REP> d-------- c:\program files\trend micro
    2008-12-12 19:59 . 2008-12-12 23:10 <REP> d--h----- C:\$AVG8.VAULT$
    2008-12-12 19:41 . 2008-12-13 10:36 <REP> d-------- c:\windows\system32\drivers\Avg
    2008-12-12 19:41 . 2008-12-13 10:27 97,928 --a------ c:\windows\system32\drivers\avgldx86.sys
    2008-12-12 19:41 . 2008-12-12 19:41 76,040 --a------ c:\windows\system32\drivers\avgtdix.sys
    2008-12-12 19:41 . 2008-12-12 19:41 10,520 --a------ c:\windows\system32\avgrsstx.dll
    2008-12-12 19:40 . 2008-12-12 19:40 <REP> d-------- c:\program files\AVG
    2008-12-12 19:40 . 2008-12-12 19:40 <REP> d-------- c:\documents and settings\All Users\Application Data\avg8
    2008-12-12 19:19 . 2008-12-13 17:42 <REP> d-a------ c:\documents and settings\All Users\Application Data\TEMP
    2008-12-12 18:28 . 2008-12-13 14:49 1,393 --a------ c:\windows\imsins.BAK
    2008-12-12 18:21 . 2008-12-12 18:22 <REP> d-------- c:\program files\Opera
    2008-12-12 18:11 . 2008-12-12 18:11 81,920 --a------ c:\windows\system\logman.exe
    2008-12-10 14:19 . 2008-12-12 17:39 <REP> d-------- c:\program files\Google
    2008-12-08 18:40 . 2008-12-08 18:40 1,172 --a------ c:\windows\mozver.dat
    2008-12-08 18:27 . 2008-12-08 18:30 <REP> d-------- c:\documents and settings\Mickey\iWizz
    2008-12-08 16:12 . 2008-12-08 16:12 <REP> d-------- c:\documents and settings\Mickey\Application Data\Apple Computer
    2008-12-08 16:07 . 2008-12-08 16:07 <REP> d-------- c:\program files\Apple Software Update
    2008-12-08 16:07 . 2008-12-08 16:07 <REP> d-------- c:\documents and settings\All Users\Application Data\Apple
    2008-12-08 16:03 . 2008-12-08 18:31 <REP> d-------- c:\documents and settings\Mickey\.bitrock
    2008-12-08 12:06 . 2004-05-14 16:53 462,848 --a------ c:\windows\system32\ltkrn13n.dll
    2008-12-08 12:06 . 2004-05-14 16:53 450,560 --a------ c:\windows\system32\ltimg13n.dll
    2008-12-08 12:06 . 2004-05-14 16:53 401,408 --a------ c:\windows\system32\lfcmp13n.dll
    2008-12-08 12:06 . 2004-05-14 16:53 299,008 --a------ c:\windows\system32\ltdis13n.dll
    2008-12-08 12:06 . 2004-01-12 02:09 206,336 --a------ c:\windows\system32\ltefx13n.dll
    2008-12-08 12:06 . 2004-05-14 16:53 163,840 --a------ c:\windows\system32\ltfil13n.dll
    2008-12-08 12:06 . 2003-11-04 15:10 69,632 --a------ c:\windows\system32\lfgif13n.dll
    2008-12-08 12:06 . 2004-05-14 16:53 57,344 --a------ c:\windows\system32\lfbmp13n.dll
    2008-12-05 17:57 . 2008-04-13 19:45 26,368 --a--c--- c:\windows\system32\dllcache\usbstor.sys
    2008-12-05 10:57 . 2008-11-24 16:20 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
    2008-12-05 10:57 . 2008-11-24 16:20 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2008-12-05 10:57 . 2008-11-24 15:37 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
    2008-12-05 10:57 . 2008-11-24 16:20 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
    2008-12-05 10:57 . 2008-11-24 16:20 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
    2008-12-05 10:57 . 2008-11-24 16:20 <REP> d-------- c:\documents and settings\Administrateur\Favoris
    2008-12-05 10:57 . 2008-11-24 16:20 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2008-12-05 10:57 . 2008-12-05 10:57 <REP> d-------- c:\documents and settings\Administrateur
    2008-12-04 17:49 . 2008-12-04 17:53 <REP> d-------- c:\program files\EsetOnlineScanner
    2008-12-02 23:56 . 2008-08-11 19:55 <REP> d-a------ C:\MSNFix
    2008-12-02 13:50 . 2008-12-02 13:50 <REP> d-------- c:\program files\Real
    2008-12-02 13:50 . 2008-12-02 20:55 <REP> d-------- c:\program files\Fichiers communs\Real
    2008-12-02 13:20 . 2008-12-02 13:20 <REP> d-------- c:\program files\WMV9_VCM
    2008-12-02 13:19 . 2008-12-02 13:19 <REP> d-------- c:\documents and settings\Mickey\Application Data\River Past G5
    2008-12-02 13:19 . 2008-12-03 11:12 <REP> d-------- c:\documents and settings\All Users\Application Data\River Past G5
    2008-12-01 20:10 . 2008-12-11 11:25 <REP> d-------- c:\documents and settings\Mickey\Application Data\dvdcss
    2008-11-27 18:07 . 2008-11-27 18:07 0 --a------ c:\windows\nsreg.dat
    2008-11-26 19:33 . 2008-12-13 13:46 116 --a------ c:\windows\NeroDigital.ini
    2008-11-26 18:07 . 2008-11-26 18:15 5 --a------ c:\windows\sbacknt.bin
    2008-11-26 18:00 . 2008-11-26 18:29 <REP> d-------- c:\program files\vghd
    2008-11-26 18:00 . 2008-11-26 18:15 <REP> d-------- c:\documents and settings\Mickey\Application Data\vghd
    2008-11-26 18:00 . 2008-11-26 18:07 152,904 --a------ c:\windows\system32\vghd.scr
    2008-11-26 17:35 . 2008-11-26 17:35 <REP> d-------- c:\documents and settings\Mickey\Application Data\AdobeUM
    2008-11-26 15:11 . 2008-11-26 19:34 <REP> d-------- c:\documents and settings\Mickey\Application Data\Ahead
    2008-11-26 15:05 . 2008-11-26 15:05 <REP> d-------- c:\program files\Nero
    2008-11-26 15:05 . 2008-11-26 15:05 <REP> d-------- c:\program files\Fichiers communs\Ahead
    2008-11-26 15:02 . 2008-11-26 17:35 <REP> d-------- c:\program files\PDF Editeur 2
    2008-11-26 15:02 . 2008-11-26 15:02 73,216 --a------ c:\windows\cadkasdeinst01f.exe
    2008-11-26 14:03 . 2008-11-26 14:03 <REP> d-------- c:\program files\SlySoft
    2008-11-26 14:03 . 2008-11-26 14:04 24 ---hs---- c:\windows\S3E945989.tmp
    2008-11-26 13:12 . 2008-11-26 13:12 18,312 --a------ c:\documents and settings\Mickey\Application Data\GDIPFONTCACHEV1.DAT
    2008-11-26 09:43 . 2008-11-26 09:43 <REP> d-------- c:\program files\Fichiers communs\Adobe Systems Shared
    2008-11-26 09:43 . 2008-11-26 09:43 <REP> d-------- c:\documents and settings\All Users\Application Data\Macrovision
    2008-11-26 09:39 . 2008-11-26 09:42 <REP> d-------- c:\program files\Fichiers communs\Adobe
    2008-11-26 09:38 . 2008-11-26 09:38 <REP> d--h----- c:\program files\InstallShield Installation Information
    2008-11-26 09:36 . 2008-11-26 09:36 <REP> d-------- c:\program files\Fichiers communs\InstallShield
    2008-11-25 17:31 . 2008-11-25 17:32 <REP> d-------- c:\documents and settings\Mickey\Application Data\vlc
    2008-11-25 17:00 . 2008-11-25 17:22 <REP> d-------- c:\program files\Rainmeter
    2008-11-25 13:10 . 2008-11-25 13:10 <REP> d-------- c:\windows\system32\fr
    2008-11-25 13:10 . 2008-11-25 13:10 <REP> d-------- c:\windows\system32\bits
    2008-11-25 13:10 . 2008-11-25 13:10 <REP> d-------- c:\windows\l2schemas
    2008-11-25 13:00 . 2008-11-25 13:11 <REP> d-------- c:\windows\ServicePackFiles
    2008-11-25 12:33 . 2008-11-25 12:33 <REP> d-------- c:\windows\EHome
    2008-11-25 10:24 . 2008-10-16 21:18 6,066,176 -----c--- c:\windows\system32\dllcache\ieframe.dll
    2008-11-25 10:24 . 2007-04-17 10:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
    2008-11-25 10:24 . 2007-03-08 06:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
    2008-11-25 10:24 . 2008-10-16 21:18 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
    2008-11-25 10:24 . 2008-10-16 21:18 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
    2008-11-25 10:24 . 2008-10-16 21:18 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
    2008-11-25 10:24 . 2008-10-16 21:18 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
    2008-11-25 10:24 . 2008-10-16 21:18 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
    2008-11-25 10:24 . 2008-10-16 14:11 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
    2008-11-25 10:23 . 2008-11-25 13:10 <REP> d-------- c:\windows\system32\fr-fr
    2008-11-25 09:47 . 2008-11-25 09:47 379 --a------ c:\windows\ODBC.INI
    2008-11-25 09:46 . 2008-11-25 09:46 <REP> d-------- c:\program files\Microsoft ActiveSync
    2008-11-25 09:45 . 2008-11-25 09:45 <REP> d-------- c:\windows\ShellNew
    2008-11-24 18:53 . 2008-04-14 03:33 4,274,816 --a------ c:\windows\system32\nv4_disp.dll
    2008-11-24 18:52 . 2008-04-14 03:33 1,737,856 --a------ c:\windows\system32\mtxparhd.dll
    2008-11-24 18:51 . 2008-04-14 03:33 1,888,992 --a------ c:\windows\system32\ati3duag.dll
    2008-11-24 18:41 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
    2008-11-24 18:30 . 2008-11-24 18:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Messenger Plus!
    2008-11-24 18:23 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
    2008-11-24 18:17 . 2008-04-11 20:05 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-13 16:15 --------- d-----w c:\program files\eMule
    2008-12-02 22:16 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
    2008-11-24 17:10 --------- d-----w c:\program files\Messenger Plus! Live
    2008-11-24 15:49 --------- d-----w c:\program files\VideoLAN
    2008-11-24 15:28 --------- d-----w c:\program files\MessengerPlus! 3
    2008-11-24 15:24 --------- d-----w c:\program files\Windows Live
    2008-11-24 15:23 --------- dcsh--w c:\program files\Fichiers communs\WindowsLiveInstaller
    2008-11-24 15:16 --------- d-----w c:\program files\Windows Installer 4.5 SDK
    2008-11-24 15:13 --------- d-----w c:\program files\Alwil Software
    2008-11-24 14:44 --------- d-----w c:\program files\microsoft frontpage
    2008-11-24 14:41 --------- d-----w c:\program files\Services en ligne
    2008-11-07 15:45 2,174,976 ----a-w c:\windows\system32\SET277.tmp
    2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET255.tmp
    2008-10-17 00:48 3,593,216 ----a-w c:\windows\system32\SET2A2.tmp
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
    2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-03 94208]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "RegistryMechanic"="c:\program files\Registry Mechanic\RegMech.exe" [2008-07-08 2828184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-12-13 1261336]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
    "Cisvc"="c:\docume~1\Mickey\LOCALS~1\Temp\cisvc.exe" [2008-12-12 81920]

    [HKEY_CURRENT_USER\software\microsoft\windows\Currentversion\policies\explorer\Run]
    "Logman"="c:\windows\System\logman.exe" [2008-12-12 81920]

    [HKEY_USERS\.DEFAULT\software\microsoft\windows\Currentversion\policies\explorer\Run]
    "DllHst"="c:\docume~1\Mickey\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe" [2008-12-12 81920]

    c:\documents and settings\Mickey\Menu D‚marrer\Programmes\D‚marrage\
    Thoosje Sidebar.lnk - c:\program files\Thoosje Vista Sidebar\Thoosje Sidebar.exe [2008-08-18 605696]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-11-26 113664]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

    [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
    "load"=c:\docume~1\Mickey\LOCALS~1\APPLIC~1\ieudinit.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=baaeoq.dll c:\windows\system32\gubebusi.dll c:\windows\system32\relifaga.dll avgrsstx.dll c:\windows\system32\gefuvura.dll
    HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RocketDock

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\WINDOWS\\system32\\services.exe"=
    "c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
    "c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

    R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-12-12 97928]
    R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2008-12-12 875288]
    R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-12-12 231704]
    R2 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-12-12 76040]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{0d5e6243-04e3-441f-82ef-7e0e2e73f4cd} - c:\windows\system32\sofodowi.dll
    BHO-{83fcfd64-91a5-4abe-8f36-b81b9c315c9e} - (no file)
    BHO-{9BFDB83D-0642-428D-A39D-91D826180D5D} - (no file)
    HKLM-Run-CPMb756317c - c:\windows\system32\gefuvura.dll
    HKLM-Run-nopizejaba - c:\windows\system32\lodivime.dll
    HKLM-Run-Cmaudio - cmicnfg.cpl
    HKLM-Run-NWEReboot - (no file)
    Notify-rqRIyWnk - rqRIyWnk.dll

    .
    ------- Examen supplémentaire -------
    .
    IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Mickey\Application Data\Mozilla\Firefox\Profiles\ej9injfp.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.igoogle.com/
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-13 17:39:54
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\wpabaln.exe
    c:\program files\AVG\AVG8\avgrsx.exe
    c:\program files\AVG\AVG8\avgrsx.exe
    c:\program files\AVG\AVG8\avgrsx.exe
    c:\program files\AVG\AVG8\avgrsx.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-12-13 17:46:10 - La machine a redémarré [Mickey]
    ComboFix-quarantined-files.txt 2008-12-13 16:46:01

    Avant-CF: 17,505,812,480 octets libres
    Après-CF: 18,228,903,936 octets libres

    289 --- E O F --- 2008-12-13 13:49:56
    0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    c:\windows\system32\SET299.tmp
    c:\windows\system32\dllcache\iexplor­e.exe
    c:\windows\system32\SET2A4.tmp
    c:\windows\system32\SET2AC.tmp
    c:\windows\system32\SET2A8.tmp
    c:\windows\system32\SET29A.tmp
    c:\windows\system32\SET2B4.tmp
    c:\windows\system32\SET29C.tmp
    c:\windows\system32\SET2A3.tmp
    c:\windows\system32\SET2AA.tmp
    c:\windows\system32\SET2B1.tmp
    c:\windows\mstinit.exe
    c:\windows\system32\drivers\clipsrv.exe
    c:\documents and settings\Mickey\Application Data\mstinit.exe
    c:\windows\system\spoolsv.exe
    c:\windows\system\clipsrv.exe
    c:\windows\system32\drivers\sessmgr.exe
    c:\documents and settings\Mickey\Application Data\clipsrv.exe
    c:\windows\system\dllhst3g.exe
    c:\windows\mstsc.exe
    c:\documents and settings\Mickey\Application Data\mqtgsvc.exe
    c:\windows\cisvc.exe
    c:\windows\system\ieudinit.exe
    c:\windows\system\esentutl.exe
    c:\windows\system\cisvc.exe
    c:\windows\system\cmstp.exe
    c:\windows\system32\drivers\ieudinit.exe
    c:\documents and settings\Mickey\Application Data\ieudinit.exe
    c:\windows\system\logman.exe
    c:\windows\S3E945989.tmp
    c:\windows\system32\SET277.tmp
    c:\windows\system32\SET2A2.tmp
    c:\docume~1\Mickey\LOCALS~1\Temp\cisvc.exe
    c:\docume~1\Mickey\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe
    c:\windows\system32\baaeoq.dll
    c:\windows\system32\gubebusi.dll
    c:\windows\system32\relifaga.dll
    c:\windows\system32\avgrsstx.dll
    c:\windows\system32\gefuvura.dll

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
    "Cisvc"=-
    "Logman"=-
    "DllHst"=-
    [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
    "load"=-
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
    "AppInit_DLLs"=""

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

    ============================

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier : c:\windows\system32\vghd.scr

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

    ==============================
    Télécharge DirLook de jpshortstuff ici :

    http://jpshortstuff.247fixes.com/DirLook.exe

    [*]Double-clique sur DirLook.exe pour le lancer.
    [*]Assure-toi que Show Hidden Files et BBCode Ouput soient tous les deux cochés.
    [*]Copie le contenu de la boîte ci-dessous dans le champ texte principal :

    c:\program files\vghd


    [*]Clique sur le bouton DirLook pour lancer l'examen.
    [*]Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan. Merci de poster ce rapport dans ta prochaine réponse.

    Note : Le rapport peut aussi être trouvé dans C:dl_log.txt
    Note :Il se peut que l'examen prenne plus de temps pour les gros répertoires.
    0
  12. kevin05 Messages postés 3814 Date d'inscription   Statut Contributeur sécurité Dernière intervention   147
     
    Bonjour pour suivre :) jorginho me fait ma formation mais il ma dit de regarde tes poste lyonnais92 ^^
    0