Plein virus help!!!!!!!

Résolu
petitecoco23 -  
kevin05 Messages postés 3814 Statut Contributeur sécurité -
Bonjour,
mon pc est infecté de plusieurs virus dont virus response2009
je n'ai pas accés au net sauf en mode sans echec
aidez moi à m'en débarasser je n'arrive meme pas a installer malwares bytes ou hijacthis

je desespere je voulais formater mais meme ca ca ne fonctionne pas
aidez moi
please
A voir également:

62 réponses

Précédent
Réponse 41 / 62
petitecoco23
 
decidemment! ca marche toujours pas
j'y vais pour ce soir
a +
0
Utilisateur anonyme
 
Ok,
Sinon avec Internet Explorer tu peux ?


Sinon,
> Lance Hijackthis :
- Puis sélectionne <Do a system scan only>
- Coche les cases des lignes suivantes : 

O4 - HKCU\..\Run: [avrlabs] "C:\Program Files\avrlabs\avrlabs.exe" 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://s.tf1.fr/mmdia/static/rawflow/clients/5.3.1.0/Rawflow.cab 
O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab 
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll 
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab 
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab 
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab 
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} - 
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://www.mediapluspro.com/mediaplus66/Download/msrdp.cab 
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.0.cab 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/ 
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - 
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab 
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - 
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab 
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab     

O23 - Service: F-Secure BlackLight Sensor - Unknown owner - C:\WINDOWS\TEMP\F-Secure\Anti-Virus\fsblsrv.exe (file missing)     
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe     
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE     
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur <Fixe checked>




Puis réessaye ATFcleaner puis Combofix.
Bon courage.



A+
0
Réponse 42 / 62
petitecoco23
 
bonjour



j'ai lancé hijackthis mais c tjrs pareil sur firefox et sur EI ca me redirige vers d'autres sites web
0
Réponse 43 / 62
kevin05 Messages postés 3814 Statut Contributeur sécurité 147
 
Salut juste de passage il faut renommé combofix et l'hébergé a

A+
0
Réponse 44 / 62
petitecoco23
 
desole je suis novice c'est a dire?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 62
kevin05 Messages postés 3814 Statut Contributeur sécurité 147
 
DIID comprendra ^^
0
Réponse 46 / 62
petitecoco43
 
j ai reussi a installer combofix a partir d un autre lien voici le rapport


ComboFix 08-12-17.01 - PROPRIETAIRE 2008-12-18 19:04:06.2 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1022.817 [GMT 1:00]
Lancé depuis: c:\documents and settings\PROPRIETAIRE\Bureau\Combo-Fix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\PROPRIETAIRE\Bureau\17358530B0BE299C\
c:\documents and settings\PROPRIETAIRE\Bureau\17358530B0BE299C\\17358530B0BE299C.x86
c:\documents and settings\PROPRIETAIRE\Bureau\17358530B0BE299C\17358530B0BE299C
c:\documents and settings\PROPRIETAIRE\Mes documents\My Documents.url
c:\program files\Mozilla Firefox\components\iamfamous.dll
c:\windows\system32\404Fix.exe
c:\windows\system32\drivers\msqpdxserv.sys
c:\windows\system32\drivers\TDSSxeuu.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\TDSSehys.log
c:\windows\system32\TDSSirxy.dll
c:\windows\system32\TDSSktkl.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSocun.dll
c:\windows\system32\TDSSqqon.dll
c:\windows\system32\TDSSrojf.dll
c:\windows\system32\TDSSsahc.dll
c:\windows\system32\TDSSwrhd.log
c:\windows\system32\TDSSwupe.dat
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-18 au 2008-12-18 ))))))))))))))))))))))))))))))))))))
.

2008-12-16 23:52 . 2008-12-16 23:52 <REP> d-------- C:\rsit
2008-12-16 22:20 . 2008-12-16 22:31 <REP> d-------- c:\program files\UsbFix
2008-12-16 20:13 . 2008-12-16 22:16 <REP> d-------- c:\program files\Navilog1
2008-12-16 19:45 . 2008-12-17 20:05 2,828 --a------ C:\AgentOMZClean.cmd
2008-12-15 22:03 . 2008-12-15 22:03 685,056 --a------ c:\windows\isRS-000.tmp
2008-12-15 21:56 . 2008-12-17 00:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-15 21:56 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-15 21:56 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-15 21:50 . 2008-12-12 00:57 78,336 --a------ c:\windows\system32\Agent.OMZ.Fix.exe
2008-12-13 14:48 . 2008-12-13 14:48 <REP> d-------- c:\documents and settings\PROPRIETAIRE\.thumbnails
2008-12-10 12:57 . 2008-12-17 00:20 54,156 --ah----- c:\windows\QTFont.qfn
2008-12-10 12:57 . 2008-12-10 12:57 1,409 --a------ c:\windows\QTFont.for
2008-12-09 00:28 . 2008-12-09 00:28 27,904 --a------ c:\windows\system32\drivers\Ndisprot.sys
2008-11-26 21:30 . 2008-11-26 21:30 <REP> d-------- c:\program files\Avira
2008-11-26 21:30 . 2008-11-26 21:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2008-11-26 20:41 . 2008-12-16 22:22 <REP> d-------- c:\program files\eMule
2008-11-19 21:19 . 2008-11-19 21:19 <REP> d-------- c:\documents and settings\PROPRIETAIRE\Application Data\gtk-2.0
2008-11-19 21:18 . 2008-12-13 14:48 <REP> d-------- c:\documents and settings\PROPRIETAIRE\.gimp-2.6
2008-11-19 21:18 . 2008-11-19 21:18 <REP> d-------- c:\documents and settings\PROPRIETAIRE\.gegl-0.0
2008-11-19 21:17 . 2008-11-19 21:17 <REP> d-------- c:\program files\Gimp-2.0
2008-11-19 21:11 . 2008-11-19 21:11 <REP> d-------- c:\program files\Photo To Sketch

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-16 21:24 --------- d-----w c:\program files\lx_cats
2008-12-15 21:38 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-12-14 14:46 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-12 18:43 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\OpenOffice.org2
2008-11-26 19:10 361,600 ----a-w c:\windows\system32\drivers\TCPIP.SYS
2008-11-26 19:10 361,600 ----a-w c:\windows\system32\dllcache\TCPIP.SYS
2008-11-26 19:09 361,600 ----a-w c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL
2008-11-17 14:24 --------- d-----w c:\program files\Google
2008-11-16 14:09 --------- d-----w c:\program files\RegCleaner
2008-11-16 13:51 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-16 13:51 --------- d-----w c:\program files\Java
2008-11-15 19:37 --------- d-----w c:\program files\YourScreen
2008-11-15 17:54 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-15 17:53 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-15 16:49 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Malwarebytes
2008-11-15 16:49 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-14 20:53 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Azureus
2008-11-14 20:17 --------- d-----w c:\documents and settings\All Users\Application Data\Azureus
2008-11-14 18:34 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-14 18:34 --------- d-----w c:\program files\VirtualDub
2008-11-14 18:34 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Desperate Housewives
2008-11-14 18:34 --------- d-----w c:\documents and settings\marc\Application Data\Desperate Housewives
2008-11-14 18:30 --------- d-----w c:\program files\DivX
2008-11-14 18:17 --------- d-----w c:\program files\eRightSoft
2008-11-14 18:17 --------- d-----w c:\program files\AviSynth 2.5
2008-11-10 21:45 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Ulead Systems
2008-11-10 21:36 --------- d-----w c:\documents and settings\All Users\Application Data\Ulead Systems
2008-11-10 21:31 --------- d-----w c:\program files\Fichiers communs\InterVideo
2008-11-10 21:31 --------- d-----w c:\documents and settings\All Users\Application Data\InterVideo
2008-11-10 21:30 --------- d-----w c:\program files\Windows Media Components
2008-11-10 21:30 --------- d-----w c:\program files\Fichiers communs\Ulead Systems
2008-11-10 21:29 --------- d-----w c:\program files\Ulead Systems
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll
2008-10-03 17:12 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-12-03 13:36 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-03 13:36 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-03 13:36 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-03 13:36 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-03 13:36 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-05 68856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"RoboForm"="c:\program files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-04-28 160592]
"eMuleAutoStart"="c:\program files\eMule\emule.exe" [2008-08-01 5480448]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"lxcrmon.exe"="c:\program files\Lexmark 2400 Series\lxcrmon.exe" [2006-01-22 286720]
"EzPrint"="c:\program files\Lexmark 2400 Series\ezprint.exe" [2006-02-07 98304]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2006-02-02 290816]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-08-02 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-08-02 7110656]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"MediaSync"="c:\program files\Acer\Acer eConsole\MediaSync.exe" [2005-09-21 425984]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-10-31 393216]
"AspireService"="c:\program files\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 114688]
"LXCRCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll" [2005-12-01 65536]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-16 136600]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2005-08-02 c:\windows\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.wmv3"= c:\progra~1\COMBIN~1\Filters\wmv9vcm.dll
"msacm.dvacm"= c:\progra~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPBBCSvc"=2 (0x2)
"SNDSrvc"=2 (0x2)
"SBService"=2 (0x2)
"SAVScan"=3 (0x3)
"NPFMntor"=2 (0x2)
"navapsvc"=3 (0x3)
"LiveUpdate"=3 (0x3)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\MSMSGS.EXE"=
"c:\\Program Files\\Neuf\\Kit\\9conf.exe"=
"c:\\Program Files\\Neuf\\Kit\\9mail.exe"=
"c:\\Program Files\\Neuf\\Kit\\9props.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7561:TCP"= 7561:TCP:emultcp
"4661:TCP"= 4661:TCP:emuletcp
"1002:UDP"= 1002:UDP:emuleudp
"4252:UDP"= 4252:UDP:emuleudp
"61000:UDP"= 61000:UDP:emuleudp
"4675:UDP"= 4675:UDP:emuleudp
"8531:UDP"= 8531:UDP:emuletcp
"4321:TCP"= 4321:TCP:emuletcp
"50610:TCP"= 50610:TCP:emule
"30109:UDP"= 30109:UDP:emule

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-21 28544]
S4 F-Secure BlackLight Sensor;F-Secure BlackLight Sensor;c:\windows\TEMP\F-Secure\Anti-Virus\fsblsrv.exe []
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.neuf.fr/
uSearch Page = hxxp://recherche.neuf.fr/
uSearch Bar = hxxp://recherche.neuf.fr/ie/default.html
mDefault_Search_URL = hxxp://recherche.neuf.fr/
uInternet Settings,ProxyOverride = <local>
mSearchAssistant = hxxp://recherche.neuf.fr/ie/default.html
IE: Add to AMV Converter...
IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel
IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: MediaManager tool grab multimedia file
IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
FF - ProfilePath - c:\documents and settings\PROPRIETAIRE\Application Data\Mozilla\Firefox\Profiles\1ujtrm0o.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-fr&FORM=MIMWA3&q=
FF - component: c:\documents and settings\PROPRIETAIRE\Application Data\Mozilla\Firefox\Profiles\1ujtrm0o.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
FF - component: c:\documents and settings\PROPRIETAIRE\Application Data\Mozilla\Firefox\Profiles\1ujtrm0o.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll
FF - component: c:\program files\Siber Systems\AI RoboForm\Firefox\components\rfproxy_19.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 19:06:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSxeuu.sys"
.
Heure de fin: 2008-12-18 19:07:53
ComboFix-quarantined-files.txt 2008-12-18 18:07:01

Avant-CF: 52,727,703,040 octets libres
Après-CF: 52,781,441,024 octets libres

249 --- E O F --- 2008-11-12 17:00:56
0
Réponse 47 / 62
Utilisateur anonyme
 
Bonsoir Petitecoco,

Bien joué. Tu avais une belle brochette de rootkits. Mais il en reste.

Bon,
désinstalle si tu le peux c:\program files\YourScreen
car : https://www.greatis.com/appdata/d/y/yourscreen.exe.htm





Alors,
> Télécharge ATF Cleaner par Atribune sur ton bureau.
- Démarre ATF-Cleaner et coche les valeurs suivantes :

Windows Temp
Current User Temp
All Users Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin

- Clique sur <Empty Selected> et au message "Done Cleaning" sur <Ok>

NB : Si tu utilises Firefox ou Opera :
- Clique sur Firefox ou Opera en haut puis choisis <Select All>.
- Clique sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de passe sauvegardés alors clique sur <No> à l'invite).
- Clique sur <Main> pour revenir à menu principal
- Clique sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.
NB : Si le prefetch est nettoyé le redémarrage du PC sera plus lent.






Ensuite,
> Nous allons installer la console de récupération (si cela n'est pas déjà fait) par mesures préventives :
- Clique sur ce lien pour aller sur le site Web de Microsoft : https://support.microsoft.com/en-us/help/310994
- Descends jusqu'à "Téléchargement du fichier programme des disquettes d'installation" et clique sur le téléchargement correspondant à ta version de Windows XP (Édition familiale ou Professionnel) et au Service Pack que tu as installé.
NB : si tu as le SP3 alors choisi celui du SP2. Si tu as XP Media Center alors choisis XP Pro Service Pack 2
PS : Pour connaitre ta version d'XP : Menu démarrer => executer => tape sysdm.cpl puis sur <Entrée>.
- Enregistre le sur ton bureau.
- Fais clisser le fichier télécharger sur Combofix comme sur cette image : http://img.bleepingcomputer.com/combofix/usage/rc.gif
- La console de récupération va être automatiquement installé sur ton PC.
- A la fin de l'installation, ComboFix va afficher un message signalant qu'elle est installée et te demandant si tu veux effectuer l'analyse de l'ordinateur. Réponds : NON
NB : Ne choisis pas l'option "Console de Récupération Windows" lorsque tu démarres ton ordinateur, sauf si tu y es obligé pour démarrer.



/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.

Alors,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes : 

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=-
[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv.sys]     

File::
C:\AgentOMZClean.cmd  
c:\windows\isRS-000.tmp   
c:\windows\system32\Agent.OMZ.Fix.exe  

Folder::
c:\program files\YourScreen     
c:\windows\TEMP\F-Secure
C:\Program Files\avrlabs

Driver::
fsblsrv
fsaua
FSMA32
ALUSchedulerSvc

Rootkit:: 
TDSSxeuu

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).




Bon courage.

A+
0
Réponse 48 / 62
petitecoco43
 
re bonsoir

j ai fait les manips decrites donc voila le log

ComboFix 08-12-17.01 - PROPRIETAIRE 2008-12-18 22:31:28.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1022.598 [GMT 1:00]
Lancé depuis: c:\documents and settings\PROPRIETAIRE\Bureau\Combo-Fix.exe
Commutateurs utilisés :: c:\documents and settings\PROPRIETAIRE\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
C:\AgentOMZClean.cmd
c:\windows\isRS-000.tmp
c:\windows\system32\Agent.OMZ.Fix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\AgentOMZClean.cmd
c:\program files\YourScreen
c:\windows\isRS-000.tmp

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_FSAUA
-------\Service_FSAUA


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-18 au 2008-12-18 ))))))))))))))))))))))))))))))))))))
.

2008-12-18 20:24 . <REP> c:\windows\LastGood.Tmp
2008-12-16 23:52 . 2008-12-16 23:52 <REP> d-------- C:\rsit
2008-12-16 22:20 . 2008-12-16 22:31 <REP> d-------- c:\program files\UsbFix
2008-12-16 20:13 . 2008-12-16 22:16 <REP> d-------- c:\program files\Navilog1
2008-12-15 21:56 . 2008-12-17 00:17 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-15 21:56 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-15 21:56 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-13 14:48 . 2008-12-13 14:48 <REP> d-------- c:\documents and settings\PROPRIETAIRE\.thumbnails
2008-12-10 12:57 . 2008-12-17 00:20 54,156 --ah----- c:\windows\QTFont.qfn
2008-12-10 12:57 . 2008-12-10 12:57 1,409 --a------ c:\windows\QTFont.for
2008-12-09 00:28 . 2008-12-09 00:28 27,904 --a------ c:\windows\system32\drivers\Ndisprot.sys
2008-11-26 21:30 . 2008-11-26 21:30 <REP> d-------- c:\program files\Avira
2008-11-26 21:30 . 2008-11-26 21:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2008-11-26 20:41 . 2008-12-18 20:21 <REP> d-------- c:\program files\eMule
2008-11-19 21:19 . 2008-11-19 21:19 <REP> d-------- c:\documents and settings\PROPRIETAIRE\Application Data\gtk-2.0
2008-11-19 21:18 . 2008-12-13 14:48 <REP> d-------- c:\documents and settings\PROPRIETAIRE\.gimp-2.6
2008-11-19 21:18 . 2008-11-19 21:18 <REP> d-------- c:\documents and settings\PROPRIETAIRE\.gegl-0.0
2008-11-19 21:17 . 2008-11-19 21:17 <REP> d-------- c:\program files\Gimp-2.0
2008-11-19 21:11 . 2008-11-19 21:11 <REP> d-------- c:\program files\Photo To Sketch

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-18 19:21 --------- d-----w c:\program files\lx_cats
2008-12-18 18:35 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-15 21:38 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-12-13 06:37 3,593,216 ----a-w c:\windows\system32\dllcache\mshtml.dll
2008-12-12 18:43 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\OpenOffice.org2
2008-11-26 19:10 361,600 ----a-w c:\windows\system32\drivers\TCPIP.SYS
2008-11-26 19:10 361,600 ----a-w c:\windows\system32\dllcache\TCPIP.SYS
2008-11-26 19:09 361,600 ----a-w c:\windows\system32\drivers\TCPIP.SYS.ORIGINAL
2008-11-17 14:24 --------- d-----w c:\program files\Google
2008-11-16 14:09 --------- d-----w c:\program files\RegCleaner
2008-11-16 13:51 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-16 13:51 --------- d-----w c:\program files\Java
2008-11-15 17:54 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-15 17:53 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-15 16:49 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Malwarebytes
2008-11-15 16:49 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-14 20:53 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Azureus
2008-11-14 20:17 --------- d-----w c:\documents and settings\All Users\Application Data\Azureus
2008-11-14 18:34 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-14 18:34 --------- d-----w c:\program files\VirtualDub
2008-11-14 18:34 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Desperate Housewives
2008-11-14 18:34 --------- d-----w c:\documents and settings\marc\Application Data\Desperate Housewives
2008-11-14 18:30 --------- d-----w c:\program files\DivX
2008-11-14 18:17 --------- d-----w c:\program files\eRightSoft
2008-11-14 18:17 --------- d-----w c:\program files\AviSynth 2.5
2008-11-10 21:45 --------- d-----w c:\documents and settings\PROPRIETAIRE\Application Data\Ulead Systems
2008-11-10 21:36 --------- d-----w c:\documents and settings\All Users\Application Data\Ulead Systems
2008-11-10 21:31 --------- d-----w c:\program files\Fichiers communs\InterVideo
2008-11-10 21:31 --------- d-----w c:\documents and settings\All Users\Application Data\InterVideo
2008-11-10 21:30 --------- d-----w c:\program files\Windows Media Components
2008-11-10 21:30 --------- d-----w c:\program files\Fichiers communs\Ulead Systems
2008-11-10 21:29 --------- d-----w c:\program files\Ulead Systems
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-23 12:36 286,720 ------w c:\windows\system32\dllcache\gdi32.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 70,656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:11 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll
2008-10-15 07:06 633,632 ----a-w c:\windows\system32\dllcache\iexplore.exe
2008-10-15 07:04 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\dllcache\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-12-03 13:36 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-12-03 13:36 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-03 13:36 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-12-03 13:36 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-12-03 13:36 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
2006-05-03 09:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2008-03-16 12:30 216,064 --sh--r c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((( snapshot_2008-12-18_21.44.46,07 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-18 21:34:00 16,384 ----atw c:\windows\temp\Perflib_Perfdata_2dc.dat
+ 2008-12-18 21:34:22 16,384 ----atw c:\windows\temp\Perflib_Perfdata_504.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-05 68856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"RoboForm"="c:\program files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" [2008-04-28 160592]
"eMuleAutoStart"="c:\program files\eMule\emule.exe" [2008-08-01 5480448]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"lxcrmon.exe"="c:\program files\Lexmark 2400 Series\lxcrmon.exe" [2006-01-22 286720]
"EzPrint"="c:\program files\Lexmark 2400 Series\ezprint.exe" [2006-02-07 98304]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2006-02-02 290816]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-08-02 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-08-02 7110656]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2005-05-11 45056]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"MediaSync"="c:\program files\Acer\Acer eConsole\MediaSync.exe" [2005-09-21 425984]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-10-31 393216]
"AspireService"="c:\program files\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 114688]
"LXCRCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll" [2005-12-01 65536]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-16 136600]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2005-08-02 c:\windows\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.wmv3"= c:\progra~1\COMBIN~1\Filters\wmv9vcm.dll
"msacm.dvacm"= c:\progra~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"msacm.MPEGacm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= c:\progra~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SPBBCSvc"=2 (0x2)
"SNDSrvc"=2 (0x2)
"SBService"=2 (0x2)
"SAVScan"=3 (0x3)
"NPFMntor"=2 (0x2)
"navapsvc"=3 (0x3)
"LiveUpdate"=3 (0x3)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\MSMSGS.EXE"=
"c:\\Program Files\\Neuf\\Kit\\9conf.exe"=
"c:\\Program Files\\Neuf\\Kit\\9mail.exe"=
"c:\\Program Files\\Neuf\\Kit\\9props.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7561:TCP"= 7561:TCP:emultcp
"4661:TCP"= 4661:TCP:emuletcp
"1002:UDP"= 1002:UDP:emuleudp
"4252:UDP"= 4252:UDP:emuleudp
"61000:UDP"= 61000:UDP:emuleudp
"4675:UDP"= 4675:UDP:emuleudp
"8531:UDP"= 8531:UDP:emuletcp
"4321:TCP"= 4321:TCP:emuletcp
"50610:TCP"= 50610:TCP:emule
"30109:UDP"= 30109:UDP:emule

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-08-21 28544]
S4 F-Secure BlackLight Sensor;F-Secure BlackLight Sensor;c:\windows\TEMP\F-Secure\Anti-Virus\fsblsrv.exe []
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://home.neuf.fr/
uSearch Page = hxxp://recherche.neuf.fr/
uSearch Bar = hxxp://recherche.neuf.fr/ie/default.html
mDefault_Search_URL = hxxp://recherche.neuf.fr/
uInternet Settings,ProxyOverride = <local>
mSearchAssistant = hxxp://recherche.neuf.fr/ie/default.html
IE: Add to AMV Converter...
IE: Barre RoboForm - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
IE: E&xporter vers Microsoft Excel
IE: Enregistrer le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
IE: MediaManager tool grab multimedia file
IE: Personnaliser le menu - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
IE: Remplir le formulaire - file://c:\program files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
FF - ProfilePath - c:\documents and settings\PROPRIETAIRE\Application Data\Mozilla\Firefox\Profiles\1ujtrm0o.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://fr.msn.com/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-fr&FORM=MIMWA3&q=
FF - component: c:\documents and settings\PROPRIETAIRE\Application Data\Mozilla\Firefox\Profiles\1ujtrm0o.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
FF - component: c:\documents and settings\PROPRIETAIRE\Application Data\Mozilla\Firefox\Profiles\1ujtrm0o.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll
FF - component: c:\program files\Siber Systems\AI RoboForm\Firefox\components\rfproxy_19.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-18 22:33:47
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Acer\Acer eConsole\MediaServerService.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\program files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Pack Securite\Common\FSMA32.EXE
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\program files\Pack Securite\Common\FSMB32.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Pack Securite\Common\FCH32.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Pack Securite\Common\FAMEH32.EXE
c:\program files\Pack Securite\FSPC\fspc.exe
c:\program files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\MsPMSPSv.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\lxcrcoms.exe
c:\windows\system32\msiexec.exe
c:\program files\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Heure de fin: 2008-12-18 22:38:22 - La machine a redémarré [PROPRIETAIRE]
ComboFix-quarantined-files.txt 2008-12-18 21:37:50
ComboFix2.txt 2008-12-18 20:45:53
ComboFix3.txt 2008-12-18 18:07:53

Avant-CF: 51,420,287,488 octets libres
Après-CF: 51,408,990,720 octets libres

262 --- E O F --- 2008-12-18 19:12:05
0
Réponse 49 / 62
Utilisateur anonyme
 
Ok,
parfait.

Et comment va le PC maintenant ?


Alors,
pour la suite :
> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré (voir cette image) (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").




Comment va le PC sinon ?
Et pour MBAM ? Il remarche ?


A+
0
Réponse 50 / 62
petitecoco43
 
merci bcp le pc va mieux

malwarebytes refonctionne je posterai un rapport demain et pour kapersky j ai commencé le scan mais il n'est qu a 10% donc la aussi je posterai demain
pour le moment le scan a detecté 4 virus et 20 elements infectés
a demain
bonne soiree
0
Utilisateur anonyme
 
Re,

ok tant mieux.

Quand tu auras aussi un peu de temps, peux-tu faire un scan MBAM et poster son rapport stp ?

Je te mets la manip :

> Télécharge MalwareByte's Anti-Malware : http://www.malwarebytes.org/mbam/program/mbam-setup.exe
- Installe le programme puis lance le.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour")
- Lance le MalwareByte's Anti-Malware puis clique sur "Executer un examen complet" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- Après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum stp.



Puis après on termine.


Bonne fin de soirée.
0
Réponse 51 / 62
petitecoco43
 
bonjour
alors voici les rapports
malwarebytes
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1456
Windows 5.1.2600 Service Pack 3

19/12/2008 06:51:47
mbam-log-2008-12-19 (06-51-41).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 138390
Temps écoulé: 1 hour(s), 59 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Rogue.PestPatrol) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Rogue.PestPatrol) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Rogue.PestPatrol) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\homeview (Trojan.DNSChanger) -> No action taken.
HKEY_CLASSES_ROOT\avrlabswarning.warningbho (Rogue.AntiVirusLab) -> No action taken.
HKEY_CLASSES_ROOT\avrlabswarning.warningbho.1 (Rogue.AntiVirusLab) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\avrlabs (Rogue.AntiVirusLab) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 52 / 62
petitecoco43
 
et celui de kapersky

Friday, December 19, 2008 6:51:20 AM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 18/12/2008
Enregistrements dans la base antivirus Kaspersky : 1324732


Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\

Statistiques de l'analyse
Total d'objets analysés 92501
Nombre de virus trouvés 6
Nombre d'objets infectés 23 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:06:09

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\F-Secure\logs\FSMA\fsma.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC32.zip/def.htm Infecté : Hoax.HTML.Secureinvites.c ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\SmitfraudC32.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll.zip/mlJYoPjk.dll Infecté : Trojan.Win32.Monder.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll1.zip/mlJYoPjk.dll Infecté : Trojan.Win32.Monder.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll1.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll5.zip/qoMeEwWM.dll Infecté : Trojan.Win32.Monder.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll5.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll6.zip/qoMEuroM.dll Infecté : Trojan.Win32.Monder.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll6.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll7.zip/ssqRkifG.dll Infecté : Trojan.Win32.Monder.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll7.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll8.zip/ssqRkifG.dll Infecté : Trojan.Win32.Monder.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll8.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll9.zip/vtUkklMg.dll Infecté : Trojan.Win32.Monder.gen ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll9.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs.zip/wxdbpfvo.dll Infecté : Trojan.Win32.Vapsup.epj ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ZlobDownloaderbs.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ZlobDownloadervcd6.zip/tfnslopk.dll Infecté : Trojan.Win32.Vapsup.kcw ignoré

C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\ZlobDownloadervcd6.zip ZIP: infecté - 1 ignoré

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Application Data\Microsoft\Internet Explorer\UserData\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Identities\{5EB0BA33-09CC-4981-A703-CBFFBD58A947}\Microsoft\Outlook Express\Boîte d'envoi.dbx L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Identities\{5EB0BA33-09CC-4981-A703-CBFFBD58A947}\Microsoft\Outlook Express\Boîte de réception.dbx L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Identities\{5EB0BA33-09CC-4981-A703-CBFFBD58A947}\Microsoft\Outlook Express\Folders.dbx L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Identities\{5EB0BA33-09CC-4981-A703-CBFFBD58A947}\Microsoft\Outlook Express\Offline.dbx L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Identities\{5EB0BA33-09CC-4981-A703-CBFFBD58A947}\Microsoft\Outlook Express\Pop3uidl.dbx L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Historique\History.IE5\MSHist012008121820081219\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\flaC08.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\JET47AD.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\~DF757D.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\~DF7591.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\~DF9963.tmp L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\ntuser.dat L'objet est verrouillé ignoré

C:\Documents and Settings\PROPRIETAIRE\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Program Files\Acer\Acer eConsole\AcerDB.ldb L'objet est verrouillé ignoré

C:\Program Files\Acer\Acer eConsole\AcerDB.mdb L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\001.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\002.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\004.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\005.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\006.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\007.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\008.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\009.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\010.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\011.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\012.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\013.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\014.part L'objet est verrouillé ignoré

C:\Program Files\eMule\Temp\015.part L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\Common\policy.bpf L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\Common\policy.ipf L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\csdk\Stlst\StatListDb.dat L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\csdk\Stlst\StatListDb.idx L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\csdk\urlcache\domainNames.dat L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\csdk\urlcache\domainNames.idx L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\csdk\urlcache\urlCacheDb.dat L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\csdk\urlcache\urlCacheDb.idx L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\logs\fspcwld.dat L'objet est verrouillé ignoré

C:\Program Files\Pack Securite\FSPC\logs\fspcwli.dat L'objet est verrouillé ignoré

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\msqpdxserv.sys.vir Infecté : Rootkit.Win32.TDSS.bwf ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{18120FB7-1173-47C3-9BCD-321152D5F4E4}\RP586\A0186526.sys Infecté : Rootkit.Win32.TDSS.bwf ignoré

C:\System Volume Information\_restore{18120FB7-1173-47C3-9BCD-321152D5F4E4}\RP589\change.log L'objet est verrouillé ignoré

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré

C:\WINDOWS\system32\nbDX.dll Infecté : Trojan-Clicker.Win32.BHO.bp ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS\temp\JETAD47.tmp L'objet est verrouillé ignoré

C:\WINDOWS\temp\Perflib_Perfdata_2dc.dat L'objet est verrouillé ignoré

C:\WINDOWS\temp\Perflib_Perfdata_504.dat L'objet est verrouillé ignoré

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

D:\System Volume Information\_restore{18120FB7-1173-47C3-9BCD-321152D5F4E4}\RP589\change.log L'objet est verrouillé ignoré

Analyse terminée.
0
Réponse 53 / 62
Utilisateur anonyme
 
Ok,
pour moi c'est bon.

J'attends ta réponse pour t'envoyer la suite.....
0
Réponse 54 / 62
petitecoco43
 
oui j ai bien supprimé sur malware faut il que je supprime aussi la quarantaine

je dois m absentyer une heure a mon retour je tente smitfraude
a +
0
Utilisateur anonyme
 
Ok,
pas de souci.

Avanr d'executer SmitfraudFix :


En fait c'est Spybot qui a foutu le bronx dans la désinfection : en voulant te protéger il a bloqué certains programmes comme SmitfraudFix.


On va le désinstaller pour l'instant. Tu pourras le réinstaller en fin de manip si tu veux.

> Désactive le TeaTimer de Spybot (tu le réactiveras après ta désinfection) :
- Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer
- Désinstalle le via ajout/suppression de programmes.



Puis lance SFF option 2 en MSE.


A+
0
Réponse 55 / 62
petitecoco43
 
re
spybot je l'avais deja desinstallé auparavent reste t il des fichiers ?
j'ai pu lance smitfraud fix
voici le rapport
*
SmitFraudFix v2.385

Rapport fait à 18:28:36,50, 19/12/2008
Executé à partir de C:\Documents and Settings\PROPRIETAIRE\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

Problème suppression C:\autorun.inf

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
Suspicious item found: 17358530B0BE299C


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B60D39B-0414-4552-BA76-7FD52203B1AF}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B151D55E-57F1-4EB2-B40A-2FEAC74B43D2}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C8D49E6E-145A-4AEB-8563-9B1F90F8C0E5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B60D39B-0414-4552-BA76-7FD52203B1AF}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B151D55E-57F1-4EB2-B40A-2FEAC74B43D2}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C8D49E6E-145A-4AEB-8563-9B1F90F8C0E5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0B60D39B-0414-4552-BA76-7FD52203B1AF}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B151D55E-57F1-4EB2-B40A-2FEAC74B43D2}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C8D49E6E-145A-4AEB-8563-9B1F90F8C0E5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{0B60D39B-0414-4552-BA76-7FD52203B1AF}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B151D55E-57F1-4EB2-B40A-2FEAC74B43D2}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C8D49E6E-145A-4AEB-8563-9B1F90F8C0E5}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 56 / 62
petitecoco23
 
bonsoir
le pc semble etre ok

voici le rapport
========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File move failed. C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat scheduled to be moved on reboot.
File move failed. C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat scheduled to be moved on reboot.
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery moved successfully.
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Logs moved successfully.
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy moved successfully.
File/Folder C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\flaC08.tmp not found.
File move failed. C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\JET47AD.tmp scheduled to be moved on reboot.
File/Folder C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\~DF757D.tmp not found.
File/Folder C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\~DF7591.tmp not found.
File/Folder C:\Documents and Settings\PROPRIETAIRE\Local Settings\temp\~DF9963.tmp not found.
C:\WINDOWS\system32\nbDX.dll unregistered successfully.
C:\WINDOWS\system32\nbDX.dll moved successfully.
File move failed. C:\WINDOWS\temp\JETAD47.tmp scheduled to be moved on reboot.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\JET47AD.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF8517.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\~DF852B.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\JETAD47.tmp scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_2dc.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_504.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12192008_205809
0
Réponse 57 / 62
petitecoco23
 
bonjour
alors voici la liste des mises a jour
http://update.filehippo.com/update/check/e44d03bb-2274-4d59-89be-d15b968b9cfe
0
Réponse 58 / 62
petitecoco43
 
et le rapport tcleaner
[ Rapport ToolsCleaner version 2.2.7 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\fixnavi.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Navilog1: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Navilog1\Navilog1.exe: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\UsbFix\UsbFix.exe: trouvé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: trouvé !
C:\WINDOWS\NIRCMD.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Navilog1\Navilog1.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\fixnavi.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\UsbFix\UsbFix.exe: supprimé !
C:\Program Files\UsbFix\Tools\NIRCMD.exe: supprimé !
C:\WINDOWS\NIRCMD.exe: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Navilog1: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !
0
Réponse 59 / 62
petitecoco43
 
je tiens a te dire un ENORME Merci pour ton aide et pour m'avoir aider et consacrer de ton temps


heuresement que tu étais la !!!
0
Réponse 60 / 62
petitecoco23
 
a +
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses