|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
merci de bien vouloir m'aider résoudre mon probléme de pubs incessantes duês certainement à une infection (car à chaque démarrage du PC je suis obligé de régler le niveau de confidentialité dans Internet Explorer).
salutations.
Ci-joint un rapport Hijackthis :
Logfile of HijackThis v1.99.1
Scan saved at 17:02:30, on 18/05/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
EDITION MODERATEUR : Règle du forum à respecter :
Pas de rapport avant qu'il n'en soit demandé un ! 
Veuillez lire l'article suivant :
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)
Merci d'en prendre connaissance.
-->Message édité par azerty94210 le 22/05/2008 18:52:42<--
|
|
|
|
|
# Télécharge Navilog ( Il Mafioso )
# ==>Lien et Tuto ici<==
# Suis les indications et poste le rapport obtenu dans ton prochain message.
|
|
|
|
|
salut et merci pour ton aide,
ci-joint le rapport navilog :
Search Navipromo version 3.5.7 commencé le 18/05/2008 à 18:29:42,87
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "Malik"
Mise à jour le 11.05.2008 à 18h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS
Recherche executé en mode normal
*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Malik\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Malik\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\Malik\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\DOCUME~1\PROPRI~1\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\Malik\locals~1\applic~1" *
* Recherche dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" *
*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\Malik\locals~1\applic~1" :
* Dans "C:\DOCUME~1\PROPRI~1\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !
4)Recherche fichiers connus :
C:\WINDOWS\system32\QYaKRXyb.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
C:\WINDOWS\system32\UDJmTvut.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
*** Analyse terminée le 18/05/2008 à 18:32:40,34 ***
*******************************************************************************
K1Ks a écrit :
:hello:
# Télécharge Navilog ( Il Mafioso )
# ==>Lien et Tuto ici<==
# Suis les indications et poste le rapport obtenu dans ton prochain message.
|
|
|
|
|
Télécharge Vundoxfix de Atribune :
==>Lien et Tuto ici<==
# Suis les indications et poste le rapport obtenu dans ton prochain message.
Télécharge ComboFix de sUBs sur ton Bureau et pas ailleurs
# Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
# Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.
Note :
# Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
# Le rapport se trouve également ici : C:\Combofix.txt
# N'oublie pas de réactiver tes protections !!!
|
|
|
|
|
salut et merci encore pour ton aide,
ci-joint les rapports Vundofix, combofix et Hijackthis :
VundoFix V7.0.3
Scan started at 19:16:32 19/05/2008
Listing files found while scanning....
No infected files were found.
ComboFix 08-05-15.3 - Malik 2008-05-19 19:29:04.6 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.79 [GMT 2:00]
Endroit: C:\Documents and Settings\Malik\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\bvvsgkip.ini
C:\WINDOWS\system32\QYaKRXyb.ini
C:\WINDOWS\system32\QYaKRXyb.ini2
C:\WINDOWS\system32\UDJmTvut.ini
C:\WINDOWS\system32\UDJmTvut.ini2
C:\WINDOWS\system32\ugdgqtdn.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
.
2009-04-22 20:24 . 2004-03-09 00:00 152,848 --a--c--- C:\WINDOWS\system32\COMDLG32.OCX
2009-04-22 20:24 . 2009-04-22 20:24 256 --a--c--- C:\WINDOWS\system32\imail40.rtl
2008-05-19 19:16 . 2008-05-19 19:16 <REP> d-------- C:\VundoFix Backups
2008-05-19 18:33 . 2008-05-19 18:33 91,264 --a------ C:\WINDOWS\system32\ndtqgdgu.dll
2008-05-18 18:29 . 2008-05-18 18:33 <REP> d-------- C:\Program Files\Navilog1
2008-05-18 17:39 . 2008-05-18 17:39 319,872 --a------ C:\WINDOWS\system32\byXRKaYQ.dll
2008-05-18 17:35 . 2008-05-18 17:43 78 --a------ C:\WINDOWS\system32\i
2008-05-17 16:51 . 2008-05-17 16:51 <REP> d-------- C:\Documents and Settings\Propriétaire
2008-05-16 22:56 . 2008-05-16 18:33 94,208 --a------ C:\WINDOWS\exrk.exe
2008-05-16 22:56 . 2008-05-16 18:33 81,920 --a------ C:\WINDOWS\oadkxrts.exe
2008-05-16 22:55 . 2008-05-16 22:55 29,824 --a------ C:\WINDOWS\system32\ssqnOghi.dll
2008-05-05 10:40 . 2008-05-05 10:40 244 --ah----- C:\sqmnoopt17.sqm
2008-05-05 10:40 . 2008-05-05 10:40 232 --ah----- C:\sqmdata17.sqm
2008-05-04 20:09 . 2008-05-04 20:09 244 --ah----- C:\sqmnoopt16.sqm
2008-05-04 20:09 . 2008-05-04 20:09 232 --ah----- C:\sqmdata16.sqm
2008-05-03 19:56 . 2008-05-03 19:56 244 --ah----- C:\sqmnoopt15.sqm
2008-05-03 19:56 . 2008-05-03 19:56 232 --ah----- C:\sqmdata15.sqm
2008-05-03 18:12 . 2008-05-03 18:12 244 --ah----- C:\sqmnoopt19.sqm
2008-05-03 18:12 . 2008-05-03 18:12 232 --ah----- C:\sqmdata19.sqm
2008-05-03 17:46 . 2008-05-03 17:46 244 --ah----- C:\sqmnoopt14.sqm
2008-05-03 17:46 . 2008-05-03 17:46 232 --ah----- C:\sqmdata14.sqm
2008-05-03 16:25 . 2008-05-03 16:25 244 --ah----- C:\sqmnoopt18.sqm
2008-05-03 16:25 . 2008-05-03 16:25 232 --ah----- C:\sqmdata18.sqm
2008-05-03 11:41 . 2008-05-03 11:41 244 --ah----- C:\sqmnoopt13.sqm
2008-05-03 11:41 . 2008-05-03 11:41 232 --ah----- C:\sqmdata13.sqm
2008-05-03 10:00 . 2008-05-03 10:00 244 --ah----- C:\sqmnoopt12.sqm
2008-05-03 10:00 . 2008-05-03 10:00 232 --ah----- C:\sqmdata12.sqm
2008-05-02 19:44 . 2008-05-02 19:44 244 --ah----- C:\sqmnoopt11.sqm
2008-05-02 19:44 . 2008-05-02 19:44 232 --ah----- C:\sqmdata11.sqm
2008-05-02 18:01 . 2008-05-02 18:01 <REP> d-------- C:\Documents and Settings\Malik\Application Data\vlc
2008-05-02 16:09 . 2008-05-02 16:09 <REP> d-------- C:\Program Files\VideoLAN
2008-05-01 19:30 . 2008-05-18 19:37 244 --ah----- C:\sqmnoopt10.sqm
2008-05-01 19:30 . 2008-05-18 19:37 232 --ah----- C:\sqmdata10.sqm
2008-04-30 19:52 . 2008-05-18 17:41 244 --ah----- C:\sqmnoopt09.sqm
2008-04-30 19:52 . 2008-05-18 17:41 232 --ah----- C:\sqmdata09.sqm
2008-04-27 18:23 . 2008-05-18 13:24 244 --ah----- C:\sqmnoopt08.sqm
2008-04-27 18:23 . 2008-05-18 13:24 232 --ah----- C:\sqmdata08.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 06:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-16 09:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\SpinTop Games
2008-04-14 17:24 --------- d-----w C:\Program Files\Mp3 My Mp3 2.0
2008-04-12 15:43 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-04-12 10:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\ifajqpur
2008-04-12 09:51 --------- d-----w C:\Documents and Settings\Malik\Application Data\Malwarebytes
2008-04-12 09:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-03-30 09:25 --------- d-----w C:\Program Files\MSN Messenger
2008-03-19 18:08 --------- d-----w C:\Documents and Settings\Malik\Application Data\MSN6
2008-03-19 16:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\MSN6
2006-12-17 15:53 160 -c-ha-w C:\Documents and Settings\Malik\hpothb07.dat
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D0E67DAA-F683-48A4-BC96-A6DF51B59DC6}]
2008-05-18 17:39 319872 --a------ C:\WINDOWS\System32\byXRKaYQ.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]
2008-05-16 22:55 29824 --a------ C:\WINDOWS\System32\ssqnOghi.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2002-03-09 10:53 364544 C:\WINDOWS\system32\nwiz.exe]
"NVIDIA nForce APU1 Utilities"="NVATray.exe" [2002-01-19 00:33 45056 C:\WINDOWS\system32\NVATray.exe]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2002-07-16 13:41 26112]
"f45efde3"="C:\WINDOWS\System32\ndtqgdgu.dll" [2008-05-19 18:33 91264]
"oov6multiuser.exe"="C:\Program Files\OFFICE One6.0\program\oov6multiuser.exe" [2002-07-09 06:00 607744]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}"= C:\WINDOWS\System32\ssqnOghi.dll [2008-05-16 22:55 29824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnOghi]
ssqnOghi.dll 2008-05-16 22:55 29824 C:\WINDOWS\system32\ssqnOghi.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.MJPG"= m3jpeg32.dll
"msacm.DivXa32"= DivXa32.acm
"vidc.div4"= DivXc32f.dll
"vidc.xvid"= xvid.dll
"vidc.dmb1"= m3jpeg32.dll
"vidc.jpeg"= m3jpeg32.dll
"VIDC.HFYU"= huffyuv.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Icône AOL.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^Malik^Menu Démarrer^Programmes^Démarrage^Club-Internet.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
S2 Management Consultants (CLMCs);Management Consultants (CLMCs);"C:\WINDOWS\clmcs.exe" []
S3 V90drv;v90drv;C:\WINDOWS\System32\DRIVERS\v90drv.sys [2001-11-29 18:09].
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 19:34:06
Windows 5.1.2600 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
C:\WINDOWS\system32\ugdgqtdn.ini 294 bytes
Scan termin‚ avec succŠs
Les fichiers cach‚s: 1
**************************************************************************.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ssqnOghi.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\System32\ndtqgdgu.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe.
Temps d'accomplissement: 2008-05-19 19:38:02 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-19 17:37:56
Pre-Run: 31,136,636,928 octets libres
Post-Run: 31,145,385,984 octets libres
145
Logfile of HijackThis v1.99.1
Scan saved at 19:46:24, on 19/05/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\NVATray.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\HJT\azerty.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.numericable.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: (no name) - {7554E8D8-94F5-494C-B571-4F951FF64C16} - C:\WINDOWS\System32\byXRKaYQ.dll
O2 - BHO: (no name) - {EF4CC146-43C9-4741-8D21-EB5035A4EBEC} - C:\WINDOWS\System32\ssqnOghi.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [oov6multiuser.exe] C:\Program Files\OFFICE One6.0\program\oov6multiuser.exe
O4 - HKLM\..\Run: [f45efde3] rundll32.exe "C:\WINDOWS\System32\krqbffge.dll",b
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O16 - DPF: Yahoo! Dominoes - http://download2.games.yahoo.com/games/clients/y/dot9_x.cab
O16 - DPF: Yahoo! Literati - http://download2.games.yahoo.com/games/clients/y/tt5_x.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: ssqnOghi - C:\WINDOWS\SYSTEM32\ssqnOghi.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Management Consultants (CLMCs) - Unknown owner - C:\WINDOWS\clmcs.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - (no file)
*******************************************************************************
K1Ks a écrit :
Télécharge Vundoxfix de Atribune :
==>Lien et Tuto ici<==
# Suis les indications et poste le rapport obtenu dans ton prochain message.
Télécharge ComboFix de sUBs sur ton Bureau et pas ailleurs
# Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
# Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.
|
|
|
|
|
Sélectionne tout le texte dans le cadre ci-dessous et copie-colle le dans le bloc-notes:
File::
C:\WINDOWS\system32\ndtqgdgu.dll
C:\WINDOWS\system32\byXRKaYQ.dll
C:\WINDOWS\system32\i
C:\WINDOWS\exrk.exe
C:\WINDOWS\oadkxrts.exe
C:\WINDOWS\system32\ssqnOghi.dll
C:\WINDOWS\system32\ugdgqtdn.ini
C:\WINDOWS\System32\krqbffge.dll
Folder::
C:\VundoFix Backups
C:\Documents and Settings\All Users\Application Data\ifajqpur
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D0E67DAA-F683-48A4-BC96-A6DF51B59DC6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"f45efde3"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]"{EF4CC146-43C9-4741-8D21-EB5035A4EBEC}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqnOghi]
# Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau.
# Fais un glisser/déposer de l'icone de ce fichier CFScript sur l'icone de ComboFix comme sur la capture:
# Ne fenêtre bleue va apparaître: A l'invite saisis 1 pour lancer le script.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu dans ta prochaine réponse.
# Si le fichier ne s'ouvre pas, il se trouve ici >>> C:\ComboFix.txt
|
|
|
|
|
salut et voici le nouveau rapport combofix :
ComboFix 08-05-15.3 - Malik 2008-05-20 19:01:06.7 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.0.1252.1.1036.18.79 [GMT 2:00]
Endroit: C:\Documents and Settings\Malik\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Malik\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
FILE ::
C:\WINDOWS\exrk.exe
C:\WINDOWS\oadkxrts.exe
C:\WINDOWS\system32\byXRKaYQ.dll
C:\WINDOWS\system32\i
C:\WINDOWS\System32\krqbffge.dll
C:\WINDOWS\system32\ndtqgdgu.dll
C:\WINDOWS\system32\ssqnOghi.dll
C:\WINDOWS\system32\ugdgqtdn.ini
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Application Data\ifajqpur
C:\VundoFix Backups
C:\WINDOWS\exrk.exe
C:\WINDOWS\oadkxrts.exe
C:\WINDOWS\system32\byXRKaYQ.dll
C:\WINDOWS\system32\egffbqrk.ini
C:\WINDOWS\system32\i
C:\WINDOWS\System32\krqbffge.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\QYaKRXyb.ini
C:\WINDOWS\system32\QYaKRXyb.ini2
C:\WINDOWS\system32\ssqnOghi.dll
C:\WINDOWS\system32\ugdgqtdn.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-20 to 2008-05-20 ))))))))))))))))))))))))))))))))))))
.
2009-04-22 20:24 . 2004-03-09 00:00 152,848 --a--c--- C:\WINDOWS\system32\COMDLG32.OCX
2009-04-22 20:24 . 2009-04-22 20:24 256 --a--c--- C:\WINDOWS\system32\imail40.rtl
2008-05-18 18:29 . 2008-05-18 18:33 <REP> d-------- C:\Program Files\Navilog1
2008-05-17 16:51 . 2008-05-17 16:51 <REP> d-------- C:\Documents and Settings\Propriétaire
2008-05-05 10:40 . 2008-05-05 10:40 244 --ah----- C:\sqmnoopt17.sqm
2008-05-05 10:40 . 2008-05-05 10:40 232 --ah----- C:\sqmdata17.sqm
2008-05-04 20:09 . 2008-05-04 20:09 244 --ah----- C:\sqmnoopt16.sqm
2008-05-04 20:09 . 2008-05-04 20:09 232 --ah----- C:\sqmdata16.sqm
2008-05-03 19:56 . 2008-05-03 19:56 244 --ah----- C:\sqmnoopt15.sqm
2008-05-03 19:56 . 2008-05-03 19:56 232 --ah----- C:\sqmdata15.sqm
2008-05-03 18:12 . 2008-05-03 18:12 244 --ah----- C:\sqmnoopt19.sqm
2008-05-03 18:12 . 2008-05-03 18:12 232 --ah----- C:\sqmdata19.sqm
2008-05-03 17:46 . 2008-05-03 17:46 244 --ah----- C:\sqmnoopt14.sqm
2008-05-03 17:46 . 2008-05-03 17:46 232 --ah----- C:\sqmdata14.sqm
2008-05-03 16:25 . 2008-05-03 16:25 244 --ah----- C:\sqmnoopt18.sqm
2008-05-03 16:25 . 2008-05-03 16:25 232 --ah----- C:\sqmdata18.sqm
2008-05-03 11:41 . 2008-05-03 11:41 244 --ah----- C:\sqmnoopt13.sqm
2008-05-03 11:41 . 2008-05-03 11:41 232 --ah----- C:\sqmdata13.sqm
2008-05-03 10:00 . 2008-05-03 10:00 244 --ah----- C:\sqmnoopt12.sqm
2008-05-03 10:00 . 2008-05-03 10:00 232 --ah----- C:\sqmdata12.sqm
2008-05-02 19:44 . 2008-05-19 20:10 244 --ah----- C:\sqmnoopt11.sqm
2008-05-02 19:44 . 2008-05-19 20:10 232 --ah----- C:\sqmdata11.sqm
2008-05-02 18:01 . 2008-05-02 18:01 <REP> d-------- C:\Documents and Settings\Malik\Application Data\vlc
2008-05-02 16:09 . 2008-05-02 16:09 <REP> d-------- C:\Program Files\VideoLAN
2008-05-01 19:30 . 2008-05-18 19:37 244 --ah----- C:\sqmnoopt10.sqm
2008-05-01 19:30 . 2008-05-18 19:37 232 --ah----- C:\sqmdata10.sqm
2008-04-30 19:52 . 2008-05-18 17:41 244 --ah----- C:\sqmnoopt09.sqm
2008-04-30 19:52 . 2008-05-18 17:41 232 --ah----- C:\sqmdata09.sqm
2008-04-27 18:23 . 2008-05-18 13:24 244 --ah----- C:\sqmnoopt08.sqm
2008-04-27 18:23 . 2008-05-18 13:24 232 --ah----- C:\sqmdata08.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 06:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-16 09:39 --------- d-----w C:\Documents and Settings\All Users\Application Data\SpinTop Games
2008-04-14 17:24 --------- d-----w C:\Program Files\Mp3 My Mp3 2.0
2008-04-12 15:43 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-04-12 09:51 --------- d-----w C:\Documents and Settings\Malik\Application Data\Malwarebytes
2008-04-12 09:51 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-03-30 09:25 --------- d-----w C:\Program Files\MSN Messenger
2006-12-17 15:53 160 -c-ha-w C:\Documents and Settings\Malik\hpothb07.dat
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((( snapshot@2008-05-19_19.37.27.45 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-19 17:33:22 2,048 -cs-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-20 17:05:33 2,048 -cs-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2002-03-09 10:53 364544 C:\WINDOWS\system32\nwiz.exe]
"NVIDIA nForce APU1 Utilities"="NVATray.exe" [2002-01-19 00:33 45056 C:\WINDOWS\system32\NVATray.exe]
"RealTray"="C:\Program Files\Real\RealPlayer\RealPlay.exe" [2002-07-16 13:41 26112]
"oov6multiuser.exe"="C:\Program Files\OFFICE One6.0\program\oov6multiuser.exe" [2002-07-09 06:00 607744]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.DIV3"= DivXc32.dll
"vidc.MJPG"= m3jpeg32.dll
"msacm.DivXa32"= DivXa32.acm
"vidc.div4"= DivXc32f.dll
"vidc.xvid"= xvid.dll
"vidc.dmb1"= m3jpeg32.dll
"vidc.jpeg"= m3jpeg32.dll
"VIDC.HFYU"= huffyuv.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Icône AOL.lnk]
[HKLM\~\startupfolder\C:^Documents and Settings^Malik^Menu Démarrer^Programmes^Démarrage^Club-Internet.lnk]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-16 01:20]
S2 Management Consultants (CLMCs);Management Consultants (CLMCs);"C:\WINDOWS\clmcs.exe" []
S3 V90drv;v90drv;C:\WINDOWS\System32\DRIVERS\v90drv.sys [2001-11-29 18:09]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 19:06:07
Windows 5.1.2600 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-20 19:09:34 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-20 17:09:30
ComboFix2.txt 2008-05-19 17:38:04
Pre-Run: 31,175,892,992 octets libres
Post-Run: 31,172,743,168 octets libres
141
*******************************************************************************
K1Ks a écrit :
Sélectionne tout le texte dans le cadre ci-dessous et copie-colle le dans le bloc-notes:
# Sauvegarde ce fichier sous le nom de CFScript.txt sur ton bureau.
# Fais un glisser/déposer de l'icone de ce fichier CFScript sur l'icone de ComboFix comme sur la capture:
http://www.vista-xp.fr/forum/captures/icones-logiciels/CFScript.gif
# Ne fenêtre bleue va apparaître: A l'invite saisis 1 pour lancer le script.
# Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: Poste son contenu dans ta prochaine réponse.
# Si le fichier ne s'ouvre pas, il se trouve ici >>> C:\ComboFix.txt
|
|
|
|
|
Fais Démarrer/Exécuter copie-colle la commande suivante puis OK:
Code:
"%userprofile%\Bureau\combofix.exe" /u
Ca désinstallera ComboFix, Supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.
Ensuite Execute alors un scan avec Malwarebyte's Anti-Malware (anti malware recommandé )
==>Lien et Tuto ici<==
Suis les indications et poste le rapport obtenu dans ton prochain message.
|
|
|
|
|
salut et voici le rapport Malwarebytes :
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 616
Type de recherche: Examen complet (C:\|)
Eléments examinés: 54587
Temps écoulé: 12 minute(s), 18 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
-------------------------------------------------------------------------------
K1Ks a écrit :
Fais Démarrer/Exécuter copie-colle la commande suivante puis OK:
Code:
Ca désinstallera ComboFix, Supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.
Ensuite Execute alors un scan avec Malwarebyte's Anti-Malware (anti malware recommandé )
==>Lien et Tuto ici<==
Suis les indications et poste le rapport obtenu dans ton prochain message.
|
|
|
|
|
|
|
Plus auncun dysfonctionnement et un Grand Merci pour ton aide.
Salutations.
*******************************************************************************
K1Ks a écrit :
Encore des soucis ??
|
|
|
|
|
Désinstalle et supprime la totalité des programmes que je t'ai fais installé
Supprime tous les rapports qui sont apparus lors des divers scans
Edite ton premier post avec ![[:azerty39:5]](/data/globaldata/usmilies/azerty39-5.gif "[:azerty39:5]") et mets [resolu] devant le titre de ton sujet.
Quelques conseils et mise en garde :
>>> http://bibou0007.com/aide-a-la-desinfection-f8/configuration-conseillee-par-t(...)
>>> http://bibou0007.com/prevention-f47/comment-eviter-la-majorite-des-infections(...)
>>> http://bibou0007.com/aide-a-la-desinfection-f8/mise-en-garde-actualite-t920.h(...)
Merci de prendre le temps de faire ce qui suis
~~ Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
- Voir les Règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton  en haut :
Si tu as plus de 13 ans choisit >>> I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, choisit >>> I Agree to these terms and am under 13 years of age
Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) >>> http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..)
Dans ton cas, il s'agit d'une infection Vundo
Précise le lieu de ta désinfection et avec qui !!! Merci !!
|
|
|
1
|
|
|
|
