Message d'erreur de chargement au démarrage

Résolu/Fermé
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 - 14 déc. 2008 à 19:43
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 - 26 déc. 2008 à 00:44
Bonjour,

J'ai actuellement un problème au démarrage de mon PC, qui m'affiche ce message d'erreur : "Erreur de chargement de c:\WINDOWS\system32\pirotima.dll, le module spécifié est introuvable" et un decond message d'erreur du même type avec "wadibevu.dll"

Cela fait suite à une analyse anti-spyware avec SpyBot, que j'ai lancée parce qu'après une analyse avec avast, un de mes logiciel fonctionnait au ralenti (et c'est d'ailleurs toujours le cas... je crains avoir supprimé quelque chose d'important lors de l'analyse avast, le problème est qu'à chaque fois, je ne sais pas si je dois mettre en quarantaine ou supprimer, alors je supprime... si quelqu'un pouvait m'éclairicir sur ce point aussi, au passage, ça serait bien, aimable ?!)

Donc, suite à l'analyse SpyBot, j'ai supprimé quelques fichiers jugés néfastes par le logiciel, dont un avait rapport avec Windows, d'après son nom... Aurait-ce un rapport avec mon problème ? Quoi qu'il en soit, j'ai restauré ce fichier grâce à l'option de restauration de SpyBot, mais rien ne change, j'ai toujours ces messages au démarrage.

Je dois aussi peut-être préciser que j'ai eu divers problèmes pour faire cette analyse, entre autres parce que certaines MAJ ne voulaient pas s'installer, et un message me prévenait d'une éventuelle incompatibilité avec Adaware. J'ai donc désinstallé les 2 logiciels puis réinstallé SpyBot uniquement, avec les MAJ qui ont bien voulu se télécharger cette fois. A noter également que le premier lien commercial pour SpyBot trouvé sur google menait à un message d'alerte d'avast quand j'essayais de télécharger le logiciel, et que j'ai donc finalement téléchargé par l'intermédiaire d'un autre site bien connu dont j'ignore si je peux citer le nom.

Alors, après quelques recherches, j'ai vu qu'il y avait des cas plus ou moins similaires décrits ici, et qu'on demandait en général de fraire une analyse Hijackthis, ce que j'ai fait, et j'affiche donc le résultat : je laisse ensuite ça aux mains de personnes plus avisées pour me dire ce que je dois faire, parce que je dis bien avouer que je n'y connais rien ! Merci d'avance !

___________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:01:31, on 14/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\INVISI~1\invtray.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Micro Application\9 DICOS Indispensables\MediaDICO9.EXE
C:\Program Files\Micro Application\9 DICOS Indispensables\Rac9.EXE
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} - C:\WINDOWS\system32\bivulota.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange HSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CPM5f30beb6] Rundll32.exe "c:\windows\system32\wadibevu.dll",a
O4 - HKLM\..\Run: [keradikewe] Rundll32.exe "C:\WINDOWS\system32\pirotima.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Invisible Secrets 4] C:\PROGRA~1\INVISI~1\invtray.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [MediaDico9] C:\Program Files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe Lancement
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [keradikewe] Rundll32.exe "C:\WINDOWS\system32\pirotima.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.fr/
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\fewusopa.dll c:\windows\system32\wadibevu.dll
O20 - Winlogon Notify: xxyyvWNh - xxyyvWNh.dll (file missing)
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wadibevu.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\wadibevu.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
A voir également:

43 réponses

anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
15 déc. 2008 à 00:59
Bonjour,

Les messages d'erreurs ne sont pas graves, ils sont dûs au fait que certains fichiers infectés ont été supprimés (par Spybot ou Avast), mais que la clé du registre correspondante essaye toujours de le lancer

Par contre, il y a beaucoup d'autres fichiers infectés qui sont encore actifs d'après le rapport hijackthis...


Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
- Clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes

Poste le rapport de scan après la suppression ici

0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
15 déc. 2008 à 03:43
Aha, merci pour la réponse ! J'ai suivi les instructions et déjà, plusieurs choses miraculeuses se sont produites !

1 - Mon logiciel qui marchait au ralenti remarche correctement !
2 - Mes messages d'erreur décrits ne sont pas apparus au redémarrage !
2 - Quelques nouveaux problèmes qui s'étaient manifestés semblent s'être arrangés, à savoir une lenteur démeusurée de IE (avec souvent des échecs d'ouverture de page), l'ouverture spontanées de pages web indésirées avec un nom de site genre "zustaus", et des pop-up de SpyBot qui m'avertissaient d'un changement important dans le registre et qui réapparaissaient inlassablement quand je répondais de refuser la modification. Il se trouve qu'il détectait le remplacement de mon fameux "wadibevu.ddl" en "vedilune.ddl". Cette fois, au redémarrage, il détectait d'autres dll qui étaient remplacés par rien du tout, donc j'ai accepté la modif.

Seul hic, j'ai eu un nouveau message d'erreur assez bizarre : "access violation at adress 00000000. Read of adress 00000000."

Bon, en attendant, je poste donc le rapport de MBAM :
Et merci encore !

(Maintenant, il me faudrait aussi des petits conseils techniques, éventuellement... est-ce qu'il est judicieux que je garde SpyBot, est-ce qu'il est judicieux que je retélécharge Ad-aware? Parce qu'à l'époque où j'ai téléchargé ces 2 antispyware, je m'étais renseigné et j'ai lu qu'ils se complétaient bien, mais est-ce toujours le cas ? Et en ce qui concerne avast, reste-t-il un bon parti ? Parce qu'au cours de mes recherches à propos de mes problèmes actuels, j'ai lu plusieurs fois sur des forums qu'il était déconseillé...)

_________________________

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1500
Windows 5.1.2600 Service Pack 3

15/12/2008 03:20:38
mbam-log-2008-12-15 (03-20-38).txt

Type de recherche: Examen rapide
Eléments examinés: 53992
Temps écoulé: 6 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 5
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\wenijalu.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\fewusopa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bivulota.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\vedilune.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Program Files\Invisible Secrets 4\keycapt.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1fcc18b3-df3f-48ce-96b1-0063adaf7a5c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\keradikewe (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm5f30beb6 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\fewusopa.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\fewusopa.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\fewusopa.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\vedilune.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\vedilune.dll -> Delete on reboot.

Dossier(s) infecté(s):
C:\Program Files\Fichiers communs\Carlson (Dialer) -> Quarantined and deleted successfully.
C:\Program Files\Hot internet offers (Trojan.Downloader) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\wenijalu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ulajinew.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\vedilune.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\bivulota.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fewusopa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Program Files\Invisible Secrets 4\keycapt.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\782JSX4H\pldr8[1].htm (Trojan.Vundo.H) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
15 déc. 2008 à 04:19
salut je prends la suite vu que Anthony est alle se coucher apparemment :

ComboFix:

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware et ta connection internet

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
15 déc. 2008 à 04:47
Non je ne suis pas parti me coucher ;)


@ Evaan :

Pour les conseils techniques, on verra à la fin, ne change rien pour l'instant.
Les trois logiciels dont tu parles étaient en effet conseillés il y a plusieurs années... Depuis les infections ont évolué, et ils sont en partie dépassés (surtout Ad-Aware qui est devenu inutile...)

Pour la suite il va falloir passer Combofix, comme l'indique gen-hackman. Par contre je voudrais préciser ses explications, Combofix est dangereux et nécessite d'être très prudent...




/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur formé à l'outil vous l'a recommandé.


On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit principalement du TeaTimer de Spybot (Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer) et d'Avast (fais un clic-droit sur l'icone près de l'horloge et clique sur « Arrêter la protection résidente »)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp



0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
15 déc. 2008 à 04:50
et oui....comme quoi y a que les bons qui restent..........non Anthony ce n est rien c est un plaisir de voir des gens s'affairer autant que toi et d'autres que je ne citerai pas car la liste est longue...................et non exhaustive......

0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
15 déc. 2008 à 12:28
Ah, merci de prendre du temps pour mon problème !

J'ai quelques doutes sur l'installation de la console de réparation... Il faut le CD d'installation de Windows, or ma version était déjà pré-installée sur mon ordi, donc je ne crois pas avoir de CD (à moins que ce soit dans "Product Recovery CD-ROM" ou "Application & Support CD"). Il existe bien une méthode pour télécharger sans le CD, mais il est stipulé qu'il faut remplir un certain nombre de conditions pour installer ces disquettes, du genre "Vous installez une nouvelle version commerciale complète de Windows XP" ou "Vous pouvez démarrer votre ordinateur à partir d'un lecteur de disquette", ce qui n'est pas mon cas (je n'ai même pas de lecteur de disquettes !)... C'est idiot, mais je voulais m'assurer que je pouvais bien télécharger ça sans conséquences, et que ça marchera correctement même si je ne remplis pas les conditions souhaitées...

Ensuite, il est dit dans le tuto de ComboFix qu'il faut sélectionner la version de windows utilisée (à savoir, pour moi, Windows XP edition familiale) ainsi que le Service Pack installé (SP3). Or il n'y a pas d'item pour Windows XP ed familiale SP3... je suppose que je dois choisir l'item associé à aucun Service Pack ?

Désolé si mes questions sont stupides, mais je voudrais être sûr que je ne pars pas n'importe où ^^'
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
15 déc. 2008 à 13:37
Pour le SP3 il était indiqué dans le tuto d'utiliser la version pour le SP2
Mais effectivement, il est indiqué qu'il faut un lecteur de disquettes

Suis ce tuto, il explique comment installer la console de récupération avec ou sans CD de Windows :
http://www.libellules.ch/installer_console_recuperation.php

0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
15 déc. 2008 à 14:57
Mmh, j'avais bien vu pour SP3, mais vu qu'ils en parlaient après avoir cliqué sur le lien de téléchargement, je croyais que ça concernait autre chose à faire plus tard...
Et donc la présence d'un lecteur de disquette est vraiment nécessaire... c'est ballot !

Sinon, l'autre tuto est louche... Bon, j'ai trouvé un... plusieurs... beaucoup de dossiers i386, y'en a un dans lequel j'ai effectivement trouvé un WINNT32 donc j'ai essayé avec ce chemin d'accès, ça m'a ouvert un grand écran bleu d'ins-allation de windows XP, avec un message d'erreur en prime disant qu'il manquait quelque chose. De toute façon, j'ai annulé ça parce que je pense pas que c'est ce qu'il fallait faire, et j'ai rajouté le /CMDCONS à la fin du chemin d'accès, que j'avais oublié. Cette fois-ci, je suis bien tombé sur une fenêtre pour l'installation de la console de récupération, mais avec le même message d'erreur que précédemment (j'ai fait un screenshot mais en voulant copier l'image sur paint, j'ai cliqué sur "copier" et du coup je l'ai perdue)*. Et du coup, je me retrouve déjà avec le message "la console de récupération windows est installée" en ayant court-circuité toutes les étapes précédentes ! Je ne sais pas si tout ça est bien correct...
En plus, je ne sais même pas où elle s'est installée, et il faut que je la mette sur le bureau pour l'intégrer dans ComboFix, si j'ai bien compris...

Cette étape est vraiment nécéssaire pour utiliser ComboFix ? Parce que c'est assez galère !

*EDIT : j'ai recommencé la manip poir avoir le fameux message, voilà donc ce qu'il me dit :

Installation de Windows
L'option de mise à niveau ne sera pas disponible à ce moment parce que le programme d'installation n'a pas pu charger le fichier C:\\WINDOWS\I386\WINNTUPG\NETUPGRD.DDL.
Le fichier spécifié est introuvable
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
15 déc. 2008 à 20:54
"Cette étape est vraiment nécéssaire pour utiliser ComboFix ? Parce que c'est assez galère "


Non mais c'est une mesure de prudence qui peut être utile en cas de plantage suite à l'utilisation de Combofix...

Si tu as eu un message qui te dit que la console est installée, c'est que ça doit être bon... De toute façon Combofix vérifiera quand tu le lanceras, tu peux tester (pense à bien suivre toutes les précautions indiquées dans mon message).

0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
16 déc. 2008 à 01:00
Bon voilà, c'est fait, avec un ptit moment d'inquiétude quand même lorsqu'il m'a redémarré mon ordi et par la même occasion réactivé avast, ouvert la fenêtre msn, etc... Mais il était seulement en train de préparer le log, donc je pense que c'est bon !

Bref, le voici donc :

___________________________

ComboFix 08-12-14.04 - Antoine 2008-12-16 0:40:37.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.446.140 [GMT 1:00]
Lancé depuis: c:\documents and settings\Antoine\Bureau\C-Fix.exe
* Un nouveau point de restauration a été créé
.
[color=purple]Les fichiers ci-dessous ont été désactivés pendant l'exécution:[/color]
c:\program files\SuperCopier2\SC2Hook.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3550P


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-15 au 2008-12-15 ))))))))))))))))))))))))))))))))))))
.

2008-12-15 03:12 . 2008-12-15 03:12 <REP> d-------- c:\documents and settings\Antoine\Application Data\Malwarebytes
2008-12-15 03:11 . 2008-12-15 03:12 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-15 03:11 . 2008-12-15 03:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-15 03:11 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-15 03:11 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-15 02:04 . 2008-12-15 11:43 <REP> d-------- c:\program files\Navilog1
2008-12-14 18:59 . 2008-12-14 18:59 <REP> d-------- c:\program files\Trend Micro
2008-12-14 18:31 . 2008-12-14 18:31 211 --a------ c:\windows\wininit.ini
2008-12-14 15:27 . 2008-12-14 15:31 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-11-30 22:11 . 2008-11-30 22:12 <REP> d-------- c:\temp\google
2008-11-30 22:11 . 2008-11-30 22:11 <REP> d-------- C:\temp
2008-11-29 19:56 . 2008-11-29 19:56 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-29 19:56 . 2008-11-29 19:56 1,409 --a------ c:\windows\QTFont.for
2008-11-15 00:49 . 2008-11-15 00:50 <REP> d-------- c:\program files\BitTorrent Fastest Tool

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-15 23:45 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2008-12-15 23:44 --------- d-----w c:\program files\SuperCopier2
2008-12-15 21:58 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-15 10:27 --------- d-----w c:\documents and settings\Antoine\Application Data\uTorrent
2008-12-15 02:44 --------- d-----w c:\program files\eMule
2008-12-15 02:23 --------- d-----w c:\program files\Invisible Secrets 4
2008-12-14 14:32 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-14 14:06 --------- d-----w c:\program files\Lavasoft
2008-12-14 10:53 --------- d-----w c:\program files\uTorrent
2008-11-14 17:52 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-04 20:06 --------- d-----w c:\program files\Nokia
2008-11-04 20:06 --------- d-----w c:\program files\Fichiers communs\PCSuite
2008-11-04 20:06 --------- d-----w c:\program files\Fichiers communs\Nokia
2008-11-04 19:58 --------- d-----w c:\documents and settings\All Users\Application Data\Installations
2008-10-31 20:44 --------- d-----w c:\program files\Micro Application
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-22 12:01 --------- d-----w c:\documents and settings\Antoine\Application Data\Design Science
2008-10-22 11:59 --------- d-----w c:\program files\MathType
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-01 68856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Invisible Secrets 4"="c:\progra~1\INVISI~1\invtray.exe" [2005-03-01 786944]
"SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2006-07-07 1052672]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352]
"MediaDico9"="c:\program files\Micro Application\9 DICOS Indispensables\LanceMediaDICO9.exe" [2002-04-09 199168]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-09-20 286720]
"SystrayORAHSS"="c:\program files\Orange HSS\Systray\SystrayApp.exe" [2007-07-24 94208]
"ORAHSSSessionManager"="c:\program files\Orange HSS\SessionManager\SessionManager.exe" [2007-07-24 102400]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 c:\windows\soundman.exe]
"VTTimer"="VTTimer.exe" [2005-03-08 c:\windows\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-03-11 c:\windows\system32\VTTrayp.exe]
"Dit"="Dit.exe" [2004-07-20 c:\windows\Dit.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2008-01-23 950272]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= c:\windows\system32\wadibevu.dll ,

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\Last.fm\\LastFM.exe"=
"c:\\Program Files\\Orange HSS\\Connectivity\\ConnectivityManager.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Alwil Software\\Avast4\\ashServ.exe"=
"c:\\WINDOWS\\system32\\services.exe"=
"c:\\WINDOWS\\system32\\spoolsv.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-03 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-03 20560]
R2 WinDefend;Windows Defender;"c:\program files\Windows Defender\MsMpEng.exe" [2006-11-03 13592]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanBZXP.sys [2008-01-23 450560]
S3 aaudstum;aaudstum;\??\c:\docume~1\Antoine\LOCALS~1\Temp\aaudstum.sys []
S3 CardReaderFilter;Card Reader Filter;\??\c:\windows\system32\Drivers\USBCRFT.SYS [2006-01-20 17408]
S3 kwwalpgr;kwwalpgr;\??\c:\docume~1\Antoine\LOCALS~1\Temp\kwwalpgr.sys []
S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS []
.
Contenu du dossier 'Tâches planifiées'

2008-12-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-Nokia.PCSync - c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe
Notify-xxyyvWNh - xxyyvWNh.dll


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 00:44:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

c:\windows\explorer.exe [1372] 0x84249DA0

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\windows\TEMP\TMP0000001D0B44253AD052FBA1 524288 bytes executable
c:\windows\system32\ils.dll 81920 bytes executable

Scan terminé avec succès
Fichiers cachés: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
"ImagePath"="\??\c:\docume~1\Antoine\LOCALS~1\Temp\mc22.tmp"
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0[/u]\FTRTSVC.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\[u]0[/u]\AlertModule.exe
c:\windows\system32\wscntfy.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\program files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Heure de fin: 2008-12-16 0:52:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-15 23:52:15

Avant-CF: 9 256 022 016 octets libres
Après-CF: 9,275,375,616 octets libres

194 --- E O F --- 2008-12-12 19:57:26
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
16 déc. 2008 à 16:43
J'ai besoin de vérifier deux fichiers avant de passer au nettoyage :


# Affiche les fichiers cachés
Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


# Rends toi sur le site https://www.virustotal.com/gui/
Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\document and settings\Antoine\Local Settings\Temp\aaudstum.sys
Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
Fais un copier/coller du rapport sur le forum.

Fais la même chose pour ce fichier : c:\document and settings\Antoine\Local Settings\Temp\kwwalpgr.sys


0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
16 déc. 2008 à 21:12
Euh... j'arrive bien jusqu'à Temp mais il n'y a pas les deux fichiers .sys demandés !
0
Utilisateur anonyme
16 déc. 2008 à 23:57
salut bonsoir....

essaie en faisant ceci :

Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK »
0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
17 déc. 2008 à 00:30
Mais c'est déjà fait ! A vrai dire, j'ai déjà eu l'occasion de manipuler ces options d'affichage et je passais toujours par cette méthode, donc dans le cas présent, je l'ai déjà essayée moi-même... Tout est bien coché/décoché comme il faut : http://img511.imageshack.us/img511/4133/optionaffichagexa1.jpg et malgré tout, je ne trouve pas les 2 fichiers demandés : http://img511.imageshack.us/img511/5417/tempjk9.jpg

Je ne sais pas si ça peut avoir un rapport, mais il faut peut-être que je précise qu'entre l'analyse MBAM et l'analyse ComboFix, avast m'avait repéré 1 fichier potentiellement infecté qu'il m'a demandé d'envoyer au labo et que j'ai du supprimer ensuite, et un autre fichier infecté que j'ai supprimé... Peut-être s'agit-il de ceux-là ?? Cela dit c'est peu probable puisqu'ils apparaissent dans le log de ComboFix...

Sinon, je ne sais pas si le prochain nettoyage que je suis sensé faire devrait arranger ça, mais j'en profite pour annoncer que j'ai toujours le message d'erreur "access violation at adress 00000000. Read of adress 00000000." au démarrage...
Et, autre curiosité, les petits logos qui s'affichent dans mes favoris d'IE ont changé pour certains, pour des logos qui n'ont rien à voir !
0
si pleine vide la quarantaine d'avast
0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
17 déc. 2008 à 19:02
Il y a des fichiers dans la catégorie "fichiers importants sauvegardés", faut-il vraiment que je les supprime ? ^^'
Et si je dois vraiment le faire, que faire ensuite ? C'est sensé faire apparaître les fichiers Temp voulus ?
0
Utilisateur anonyme
18 déc. 2008 à 21:28
on peut avoir les noms des fichiers conservés en quarantaine par Avast ?
0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
18 déc. 2008 à 22:37
Voilà, j'ai fait une capture d'écran ^^ : http://img357.imageshack.us/img357/7477/quarantaineavastaf7.jpg
0
Evaan Messages postés 129 Date d'inscription dimanche 14 décembre 2008 Statut Membre Dernière intervention 13 février 2016 7
21 déc. 2008 à 12:48
Bon, je suis le conseil de la sign d'Anthony : pas de réponse depuis + de 24 heures, donc up !

Si il y a un problème avec la lecture de l'image, je vais écrire les noms des fichiers en quarantaine :

- kernel32.ddl (3 fois)
- winsock.ddl
- wsock32.ddl (2 fois)

Sinon, je dois préciser que mon problème avec les logos dans mes favoris est réglé, tout est redevenu normal quand j'ai supprimé les fichiers internet temporaires...
0
Utilisateur anonyme
21 déc. 2008 à 16:57
moi je la viderais la quarantaine
0