|
|
Auteur
|
Message
|
1
|
|
|
|
Bonsoir
Depuis 2 jours je rencontre des problèmes avec mon pc. Avast détecte des virus (cheval de troie, adwares) dont je n'arrive pas à me débarrasser.
A chaque alerte je choisi de supprimer le virus détecter le système m'informe que l'opération a été 1 succès mais tout de suite après une nouvelle alerte m'informe d'un nouveau virus. J'ai effectué un grand nombre de scan qui indique ke tout é supprimé mais j'ai toujours des messages informant de la présence de virus. J'ai installé avast nettoyeur mais pas de résultat, le problème persiste.
Je ne sais plus quoi faire. J'ai des tas de fenêtre intempestive qui s'ouvre sans rien demander (exemple: myfuncards.com, ad.derectaclick.com, adnetserver.com...etc).
Si cela peut vous aider les virus sont tout le temps identifié dans les dossier suivants:
les virus sont souvent identifiés dans les emplacements: "C/système32" et "F/volume système information" (F= mon disque dur externe)qui sont tous 2 des fichiers cachés.
Le problème est survenu suite à la réception d'un lien que l'on m'a envoyé par msn sur lequel j'ai malheureusement cliqué.
Merci par avance de l'aide que vous m'apporterez car je ne sais plus quoi faire et je ne suis pas une experte en informatique. Je désespère de pouvoir utiliser de nouveau mon pc sans aucune gêne.
Merci.
-->Message édité par galsen999 le 25/05/2008 21:32:40<--
|
|
Imagine ...
|
|
|
 galsen999
Fais ce scan en ligne avec BitDefender, pour voir :
http://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1
Poste (copie-colle) le rapport dans ton prochain message.
|
|
|
|
|
Kmisol
merci d'avoir répondu a mon message.
j'ai effectuer le scan en ligne bitdefender avec pas mal de diffilcutés mais j'y suis tout de même parvenue.
voila le rapport ci dessous.
merci par avance pour ta réponse et tes conseils
BitDefender Online Scanner
Rapport d'analyse généré à: Sat, May 17, 2008 - 09:27:17
Voie d'analyse: C:\;D:\;E:\;F:\;H:\;I:\;
Statistiques
Temps 00:35:01
Fichiers 48947
Directoires 5229
Secteurs de boot 5
Archives 1200
Paquets programmes 4238
Résultats
Virus identifiés 11
Fichiers infectés 21
Fichiers suspects 3
Avertissements 0
Désinfectés 0
Fichiers effacés 21
Info sur les moteurs
Définition virus 1193287
Version des moteurs AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Analyse des plugins 16
Archive des plugins 42
Unpack des plugins 7
E-mail plugins 6
Système plugins 5
Paramètres d'analyse
Première action Désinfecté
Seconde Action Supprimé
Heuristique Oui
Acceptez les avertissements Oui
Extensions analysées exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;
Excludez les extensions
Analyse d'emails Oui
Analyse des Archives Oui
Analyser paquets programmes Oui
Analyse des fichiers Oui
Analyse de boot Oui
Fichier analysé Statut
C:\Documents and Settings\Mendy\Local Settings\Temp\snapsnet.exe=>(NSIS o)=>zlib_nsis0004 Infecté par: Trojan.Downloader.VB.VPG
C:\Documents and Settings\Mendy\Local Settings\Temp\snapsnet.exe=>(NSIS o)=>zlib_nsis0004 Supprimé
C:\Documents and Settings\Mendy\Local Settings\Temp\snapsnet.exe=>(NSIS o) Echec de la mise à jour
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe Infecté par: Trojan.Downloader.JJRI
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe Echec de la désinfection
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe Echec de la suppression
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028623.dll Infecté par: Trojan.Vundo.ELK
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028623.dll Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028624.dll Infecté par: Trojan.Vundo.ELK
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028624.dll Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028625.exe Infecté par: Trojan.Downloader.JJRI
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028625.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028625.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028626.exe Infecté par: Trojan.Injector.AR
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028626.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028626.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028627.exe Infecté par: Trojan.Downloader.JJRI
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028627.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028627.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028628.exe Infecté par: Packer.Krunchy.A
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028628.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028628.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028629.exe Infecté par: DeepScan:Generic.Sdbot.7D6232C5
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028629.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028629.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028630.exe Infecté par: Backdoor.Vanbot.AV
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028630.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028631.exe Infecté par: DeepScan:Generic.Malware.Q!w.6652023C
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028631.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028631.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028632.dll Infecté par: Trojan.Vundo.ELK
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028632.dll Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028633.exe Infecté par: Packer.Krunchy.A
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028633.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028633.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028634.exe Infecté par: Trojan.PrivacySet.A
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028634.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028634.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028637.exe Infecté par: Trojan.PrivacySet.A
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028637.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028637.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028638.dll Infecté par: Trojan.Vundo.ELK
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028638.dll Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028639.exe Infecté par: Trojan.Injector.AR
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028639.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028639.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028640.exe Infecté par: Worm.IrcBot.F
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028640.exe Supprimé
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028641.exe Infecté par: Packer.Krunchy.A
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028641.exe Echec de la désinfection
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0028641.exe Supprimé
C:\WINDOWS\system32\a.exe Suspecté de: BehavesLike:Win32.ProcessHijack
C:\WINDOWS\system32\a.exe Echec de la désinfection
C:\WINDOWS\system32\a.exe Supprimé
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\mixit[1].exe Suspecté de: BehavesLike:Win32.ProcessHijack
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\mixit[1].exe Echec de la désinfection
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\EHKLYHEH\mixit[1].exe Supprimé
C:\WINDOWS\system32\mdm.exe Suspecté de: BehavesLike:Win32.ProcessHijack
C:\WINDOWS\system32\mdm.exe Echec de la désinfection
C:\WINDOWS\system32\mdm.exe Echec de la suppression
C:\WINDOWS\system32\nuqkp.exe Infecté par: Packer.Krunchy.A
C:\WINDOWS\system32\nuqkp.exe Echec de la désinfection
C:\WINDOWS\system32\nuqkp.exe Echec de la suppression
C:\WINDOWS\system32\obllo.exe Infecté par: Trojan.Agent.AHJN.Dam
C:\WINDOWS\system32\obllo.exe Supprimé
|
|
Imagine ...
|
|
|
...
(si ce n’ est déjà fait) Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …
Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».
Ensuite, va dans > Démarrer > Poste de travail > C:\
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\nuqkp.exe
Supprime le(s) fichier(s) en gras ci-dessus, si tu le(s) trouves.
Vide la Corbeille.
![[:lolo 1:7]](/data/globaldata/usmilies/lolo1-7.gif "[:lolo 1:7]") Remet les fichiers et dossiers cachés comme tu les as trouvés.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
Fais un scan avec Malwarebytes Anti-malware et poste le rapport.
PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.
Fais un scan HijackThis et poste, aussi le rapport.
|
|
|
|
|
bonjour,
j'ai supprimé les 2 fichiers indiqué, et nettoyer avec ccleaner.
j'ai fais les scan avec hijackthis et spysweeper car je n'ai pas traouver malwarebytes.
Voici donc les rapports que j'ai obtenus.
hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:08:07, on 17/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\yhofxckr.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\System32\mdm.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
G:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\System32\yhofxckr.exe
O4 - HKLM\..\Run: [7c65cac7] rundll32.exe "C:\WINDOWS\System32\hmyggmui.dll",b
O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [BM7f56f95b] Rundll32.exe "C:\WINDOWS\System32\gibhyxcp.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
--
End of file - 7438 bytes
Spysweeper:
00:10: Traces trouvées : 5
00:10: Analyse complète a terminé. Durée 00:29:55
00:10: Analyse des fichiers terminée, temps passé : 00:19:21
00:10: Protection anti-détournement d’IE: Réinitialisation de la page d’accueil
00:07: Avertissement: SweepDirectories: Cannot find directory "i:". This directory was not added to the list of paths to be scanned.
00:07: Avertissement: SweepDirectories: Cannot find directory "h:". This directory was not added to the list of paths to be scanned.
00:03: Avertissement: The file sweep got stuck and had to be terminated and restarted in "safe" (slow) mode.
00:01: Avertissement: SweepDirectories: Cannot find directory "e:". This directory was not added to the list of paths to be scanned.
00:01: Avertissement: SweepDirectories: Cannot find directory "d:". This directory was not added to the list of paths to be scanned.
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms630dfd7b-604d-4a6a-8ab4-462d230a4947.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsd40a121b-094f-420d-9ac3-e25713fb18f7.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms4ac044f4-5b85-4aef-852e-68a8c174aa62.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmse8e75e0d-f47f-4725-9c21-4358f858155d.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms907ef46b-9044-4712-8542-5a5f54ddaec0.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms760e41c8-c2a4-41fb-9250-9d40c7d10316.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssms0ef4fd07-56fc-4a30-b046-d357c9a0e4c9.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\documents and settings\localservice\application data\webroot\spy sweeper\temp\ssmsbc45a5aa-705b-4a6b-979b-af723046561c.tmp". Opération réussie
00:00: Avertissement: Failed to open file "c:\windows\temp\_avast4_\webshlock.txt". Opération réussie
23:51: Démarrage de l’analyse des fichiers
23:51: Analyse des cookies terminée, temps passé : 00:00:00
23:51: Démarrage de l’analyse des cookies
23:51: Analyse du Registre terminée, temps passé :00:00:27
23:51: HKU\S-1-5-21-3628494173-1130964548-3351707819-1007\software\microsoft\rdfa\ (ID = 2128564)
23:51: HKLM\software\microsoft\removerp\ (ID = 3160720)
23:51: HKLM\software\microsoft\windows\currentversion\run\ || advanced dhtml enable (ID = 3129392)
23:51: Trouvé Trojan Horse: trojan-backdoor-ranky
23:51: HKLM\software\microsoft\aoprndtws\ (ID = 2128500)
23:50: Démarrage de l’analyse du Registre
23:50: Analyse de la mémoire terminée, temps passé : 00:09:41
23:44: Menace en cours d'exécution détectée : C:\WINDOWS\system32\jkkLEvTN.dll (ID = 676)
23:44: Trouvé Adware: virtumonde
23:41: Démarrage de l’analyse de la mémoire
23:40: Démarrer l’analyse complète
23:40: Analyse lancée avec la version des définitions 1036
Anti-enregistreur de frappe: Désactivé
23:40: Informatif: ShieldEmail: Start monitoring port 25 for mail activities
Pièces jointes de message électronique: Activé
23:40: Informatif: ShieldEmail: Start monitoring port 110 for mail activities
Protection anti-aide de navigation: Activé
Protection Sécurité IE: Activé
Protection Exécution Alternate Data Stream (ADS): Activé
Protection au démarrage: Activé
Sites publicitaires connus: Désactivé
Protection du fichier d'hôtes: Activé
Protection communication Internet: Activé
23:40: Le service Messenger a été désactivé.
Protection anti-ActiveX.: Activé
Protection Service Windows Messenger: Activé
Protection des Favoris IE: Activé
Protection du système de fichiers: Activé
Protection anti-exécution: Activé
Protections des services système: Activé
Protection anti-détournement d’IE: Activé
Protection anti-cookies de suivi IE: Désactivé
23:40: État des Protections
23:40: Définitions de logiciels espions : 1036
23:37: Spy Sweeper 5.5.7.124 démarrée
23:37: Spy Sweeper 5.5.7.124 démarrée
23:37: | Début de session, samedi 17 mai 2008 |
***************
J'ai de plus en plus de mal a me connecté a internet explorer.
Merci par avance
galsen9999
|
|
Imagine ...
|
|
|
|
|
je viens de procéder à l'analyse via GenRoc dont le rapport se trouve ci-dessus.
Qu'entends tu par "il va falloir songer à passer en XP SP 2 "
Cela voudrais t-il dire que je dois changer mon système d'explotation?
Si c'est le cas comment dois_je procéder et pourquoi?
Rapport GenProc:
Rapport GenProc 1.951 [1] effectué le 18/05/2008 à 18:32:32,50 - Windows XP
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
# Etape 1/ Télécharge :
- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.
- SDfix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (créé par AndyManchesta) et sauvegarde le sur ton Bureau. Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Mendy") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra
# Etape 3/
Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
# Etape 4/
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer, fais-le pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
N.B.: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
# Etape 5/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 6/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 7/
Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du fichier Report.txt ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
|
|
Imagine ...
|
|
|
...
Tu vois ce qu' il te reste à faire !
Bon courage  .
|
|
|
|
|
bonsoir,
je viens d'effectuer toutes les démarches demandées suite au rapport GenProc et voici les rapports:
Nouveau rapport Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:28, on 18/05/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
G:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AdslTaskBar] "rundll32.exe" stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [7c65cac7] "rundll32.exe" "C:\WINDOWS\System32\txkbhiqv.dll",b
O4 - HKLM\..\Run: [BM7f56f95b] Rundll32.exe "C:\WINDOWS\System32\vfvyurfo.dll",s
O4 - HKLM\..\Run: [SpySweeper] C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: Moteur Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
--
End of file - 7125 bytes
Rapport VUNDOFIX:
VundoFix V7.0.3
Scan started at 19:51:23 18/05/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
VundoFix V7.0.3
Scan started at 20:04:00 18/05/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
Rapport COMBOFIX:
ComboFix 08-05-15.3 - Mendy 2008-05-18 20:18:15.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.96 [GMT 2:00]
Endroit: C:\Documents and Settings\Mendy\Bureau\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files\setup.dll
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\firewall.exe
C:\WINDOWS\system32\fndvhrgt.ini
C:\WINDOWS\system32\hjTwaJjl.ini
C:\WINDOWS\system32\hjTwaJjl.ini2
C:\WINDOWS\system32\iumggymh.ini
C:\WINDOWS\system32\kvvdiacv.ini
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\vqihbkxt.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-18 to 2008-05-18 ))))))))))))))))))))))))))))))))))))
.
2008-05-18 19:51 . 2008-05-18 19:51 <REP> d-------- C:\VundoFix Backups
2008-05-18 19:49 . 2008-05-18 19:49 <REP> d-------- C:\WINDOWS\system32\config\systemprofile\Application Data\Webroot
2008-05-18 19:42 . 2008-05-18 19:42 3,508 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-18 19:38 . 2008-05-17 02:23 <REP> d-------- C:\SDFix
2008-05-18 00:30 . 2008-05-18 00:37 115,776 --a------ C:\WINDOWS\system32\txkbhiqv.dll
2008-05-18 00:28 . 2008-05-18 00:28 133,696 --a------ C:\WINDOWS\system32\ogsqtcwy.dll
2008-05-18 00:27 . 2008-05-18 00:27 57,344 --a------ C:\WINDOWS\system32\yayxwvsr.dll
2008-05-18 00:25 . 2008-05-18 00:25 127,552 --a------ C:\WINDOWS\system32\vfvyurfo.dll
2008-05-18 00:25 . 2008-05-18 00:25 23,040 --a------ C:\WINDOWS\system32\fmewjn.exe
2008-05-18 00:25 . 2008-05-18 00:25 9,216 --a------ C:\WINDOWS\system32\pmup.exe
2008-05-18 00:25 . 2008-05-18 00:25 1,635 --a------ C:\WINDOWS\system32\jgjnw.exe
2008-05-18 00:25 . 2008-05-18 00:25 1,635 --a------ C:\WINDOWS\system32\esab.exe
2008-05-17 23:31 . 2008-05-17 23:31 <REP> d-------- C:\Program Files\Webroot
2008-05-17 23:31 . 2008-05-17 23:31 <REP> d-------- C:\Documents and Settings\Mendy\Application Data\Webroot
2008-05-17 23:31 . 2008-05-17 23:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Webroot
2008-05-17 23:31 . 2008-01-04 20:56 1,526,640 --a------ C:\WINDOWS\WRSetup.dll
2008-05-17 23:31 . 2008-01-04 20:34 163,696 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2008-05-17 23:31 . 2008-01-04 20:34 23,920 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2008-05-17 23:31 . 2008-01-04 20:34 21,872 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2008-05-17 23:31 . 2008-01-04 20:34 20,336 --a------ C:\WINDOWS\system32\drivers\SSFS0BB9.sys
2008-05-17 23:11 . 2005-08-27 02:38 1,435,272 --a------ C:\WINDOWS\system32\Flash.ocx
2008-05-17 23:11 . 2003-11-19 13:59 512,688 --a------ C:\WINDOWS\system32\XceedCry.dll
2008-05-17 23:11 . 2004-05-11 09:56 423,784 --a------ C:\WINDOWS\system32\XceedBkp.dll
2008-05-17 23:11 . 2004-02-05 20:53 389,120 --a------ C:\WINDOWS\system32\ACTSKN43.OCX
2008-05-17 23:11 . 2004-01-09 10:54 188,416 --a------ C:\WINDOWS\system32\actsplash.ocx
2008-05-17 23:11 . 2004-03-08 23:00 131,856 --a------ C:\WINDOWS\system32\MSADODC.ocx
2008-05-17 23:11 . 2001-03-28 22:02 89,088 --a------ C:\WINDOWS\system32\ProgressBar4.ocx
2008-05-17 23:11 . 1999-01-26 19:36 11,012 --a------ C:\WINDOWS\system32\threadapi.tlb
2008-05-17 21:29 . 2008-05-17 21:39 127,552 --a------ C:\WINDOWS\system32\gibhyxcp.dll
2008-05-17 21:00 . 2008-05-17 21:00 50,110 ---hs---- C:\WINDOWS\system32\mdm.exe
2008-05-17 20:55 . 2008-05-17 20:55 <REP> d-------- C:\Program Files\CCleaner
2008-05-17 20:11 . 2008-05-17 20:12 57,344 --a------ C:\WINDOWS\system32\awtqnlIx.dll
2008-05-17 20:11 . 2008-05-17 20:11 23,040 --a------ C:\WINDOWS\system32\yhofxckr.exe
2008-05-17 20:11 . 2008-05-17 20:11 9,216 --a------ C:\WINDOWS\system32\pfkjngc.exe
2008-05-17 20:11 . 2008-05-17 20:11 1,635 --a------ C:\WINDOWS\system32\srzcqc.exe
2008-05-17 20:11 . 2008-05-17 20:11 1,635 --a------ C:\WINDOWS\system32\duiz.exe
2008-05-17 19:54 . 2008-05-17 19:54 57,344 --a------ C:\WINDOWS\system32\cbXRHwtt.dll
2008-05-17 19:53 . 2008-05-17 19:53 23,040 --a------ C:\WINDOWS\system32\gkytu.exe
2008-05-17 19:53 . 2008-05-17 19:53 9,216 --a------ C:\WINDOWS\system32\rrhgiv.exe
2008-05-17 19:53 . 2008-05-17 19:53 1,635 --a------ C:\WINDOWS\system32\tfcc.exe
2008-05-17 19:53 . 2008-05-17 19:53 1,635 --a------ C:\WINDOWS\system32\hrmmmuxw.exe
2008-05-17 11:50 . 2008-05-17 11:50 57,344 --a------ C:\WINDOWS\system32\urqNGwWq.dll
2008-05-17 11:47 . 2008-05-17 11:48 23,040 --a------ C:\WINDOWS\system32\tifyct.exe
2008-05-17 11:47 . 2008-05-17 11:47 9,216 --a------ C:\WINDOWS\system32\cggafibg.exe
2008-05-17 11:47 . 2008-05-17 11:47 1,635 --a------ C:\WINDOWS\system32\zzhy.exe
2008-05-17 11:47 . 2008-05-17 11:47 1,635 --a------ C:\WINDOWS\system32\qhwgerby.exe
2008-05-17 09:24 . 2008-05-17 09:24 57,344 --a------ C:\WINDOWS\system32\efcyvWml.dll
2008-05-17 09:24 . 2008-05-17 09:24 23,040 --a------ C:\WINDOWS\system32\durh.exe
2008-05-17 09:24 . 2008-05-17 09:24 9,216 --a------ C:\WINDOWS\system32\idhfft.exe
2008-05-17 09:24 . 2008-05-17 09:24 1,635 --a------ C:\WINDOWS\system32\jfvss.exe
2008-05-17 09:24 . 2008-05-17 09:24 1,635 --a------ C:\WINDOWS\system32\hphgs.exe
2008-05-16 21:43 . 2008-05-16 21:43 1,635 --a------ C:\WINDOWS\system32\vtrkopev.exe
2008-05-16 21:43 . 2008-05-16 21:43 1,635 --a------ C:\WINDOWS\system32\sxcq.exe
2008-05-16 21:20 . 2008-05-16 21:24 125,504 --a------ C:\WINDOWS\system32\xnklmqgx.dll
2008-05-16 21:16 . 2008-05-17 09:56 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-05-16 20:26 . 2008-05-16 20:26 1,635 --a------ C:\WINDOWS\system32\yrjg.exe
2008-05-16 20:26 . 2008-05-16 20:26 1,635 --a------ C:\WINDOWS\system32\hgjhjr.exe
2008-05-16 18:52 . 2008-05-16 18:52 1,635 --a------ C:\WINDOWS\system32\ybrlzy.exe
2008-05-16 18:52 . 2008-05-16 18:52 1,635 --a------ C:\WINDOWS\system32\nqbvm.exe
2008-05-15 21:45 . 2008-05-15 21:45 1,635 --a------ C:\WINDOWS\system32\sbywfnh.exe
2008-05-15 21:45 . 2008-05-15 21:45 1,635 --a------ C:\WINDOWS\system32\jecaz.exe
2008-05-15 21:27 . 2008-05-15 21:30 133,696 --a------ C:\WINDOWS\system32\fcckgbyc.dll
2008-05-15 21:16 . 2008-05-15 21:20 126,528 --a------ C:\WINDOWS\system32\infrgyma.dll
2008-05-14 21:14 . 2008-05-14 21:15 133,184 --a------ C:\WINDOWS\system32\tfuvjqyi.dll
2008-05-14 21:12 . 2008-05-14 21:13 126,016 --a------ C:\WINDOWS\system32\jrhlilyw.dll
2008-05-14 20:19 . 2008-05-14 20:19 1,635 --a------ C:\WINDOWS\system32\vxjdo.exe
2008-05-14 20:19 . 2008-05-14 20:19 1,635 --a------ C:\WINDOWS\system32\elutimpz.exe
2008-05-14 14:26 . 2008-05-14 14:26 1,635 --a------ C:\WINDOWS\system32\ison.exe
2008-05-14 14:26 . 2008-05-14 14:26 1,635 --a------ C:\WINDOWS\system32\fvnx.exe
2008-05-13 21:19 . 2008-05-13 21:19 135,232 --a------ C:\WINDOWS\system32\xyxcqvpj.dll
2008-05-13 21:10 . 2008-05-13 21:10 124,480 --a------ C:\WINDOWS\system32\thcyuufr.dll
2008-05-12 22:23 . 2008-05-17 21:15 109,807 --a------ C:\WINDOWS\BM7f56f95b.xml
2008-05-12 22:21 . 2008-05-12 22:21 370,176 --a------ C:\WINDOWS\system32\ljJawTjh.dll
2008-05-12 22:13 . 2008-05-12 22:13 52,736 --a------ C:\WINDOWS\system32\ddcDvvUO.dll
2008-05-12 22:07 . 2008-05-12 22:07 <REP> d-------- C:\WINDOWS\system32\dFrnx01
2008-05-12 22:07 . 2008-05-12 22:07 <REP> d-------- C:\Temp\tmpvc14
2008-05-12 22:07 . 2008-05-12 22:07 <REP> d-------- C:\Temp
2008-05-12 22:07 . 2008-05-12 22:07 52,736 --a------ C:\WINDOWS\system32\jkkLEvTN.dll
2008-04-19 21:27 . 2008-04-19 21:27 <REP> d-------- C:\Program Files\Alwil Software
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-16 16:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-04-30 17:00 --------- d-----w C:\Documents and Settings\Mendy\Application Data\Shareaza
2008-04-19 20:18 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-15 18:00 --------- d-----w C:\Documents and Settings\Mendy\Application Data\MobileAction
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1f535c6d-3f0e-4736-ad88-9149d6c4b49c}]
2008-05-18 00:28 133696 --a------ C:\WINDOWS\System32\ogsqtcwy.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32FE9689-40CF-4D21-86E8-7CC1ABC7A905}]
2008-05-12 22:21 370176 --a------ C:\WINDOWS\System32\ljJawTjh.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}]
2008-05-12 22:07 52736 --a------ C:\WINDOWS\System32\jkkLEvTN.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-05-17 21:00 50110]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-04-24 16:53 54784 C:\WINDOWS\SOUNDMAN.EXE]
"EM_EXEC"="C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-01-28 09:43 35328]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-19 13:31 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-08-15 20:15 271672]
"AdslTaskBar"="rundll32.exe" [2002-08-30 13:00 32256 C:\WINDOWS\system32\rundll32.exe]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-07-28 22:30 151597]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-01-24 19:58 81920]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-12 18:39 79224]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-05-17 21:00 50110]
"Windows Network Firewall"="C:\WINDOWS\System32\firewall.exe" [ ]
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2002-06-07 12:34 299008]
"7c65cac7"="rundll32.exe" [2002-08-30 13:00 32256 C:\WINDOWS\system32\rundll32.exe]
"BM7f56f95b"="C:\WINDOWS\System32\vfvyurfo.dll" [2008-05-18 00:25 127552]
"SpySweeper"="C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe" [2008-01-04 20:56 5367664]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 13:00 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-05-17 21:00 50110]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}"= C:\WINDOWS\System32\jkkLEvTN.dll [2008-05-12 22:07 52736]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkLEvTN]
jkkLEvTN.dll 2008-05-12 22:07 52736 C:\WINDOWS\system32\jkkLEvTN.dll
R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-05-12 18:36]
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\System32\DRIVERS\vcsmpdrv.sys [2002-06-07 12:38]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 12:17]
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
S3 mad600m;mad600m;C:\WINDOWS\System32\Drivers\mad600m.sys [2005-06-16 12:13]
S3 mad600u;mad600u;C:\WINDOWS\System32\Drivers\mad600u.sys [2005-11-08 05:10]
S3 MaRdPnp;MaRdPnp;C:\WINDOWS\System32\DRIVERS\MaRdP2K.sys [2005-08-18 05:44]
S3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-14 17:20:09 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-17 22:30:05 C:\WINDOWS\Tasks\HDReg.job"
- c:\Apps\HDReg\HDRegRem.exe
"2007-08-23 20:05:00 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2007-08-29 20:35:01 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2007-09-05 19:50:00 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job"
- C:\WINDOWS\System32\OOBE\oobebaln.exe
"2008-05-17 21:31:57 C:\WINDOWS\Tasks\wrSpySweeperTrialSweep.job"
- C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe&/ScheduleSweep=wrSpySweeperTrialSweep
- C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.ex
- C:\
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 20:23:37
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
C:\WINDOWS\system32\vqihbkxt.ini 294 bytes
Scan termin‚ avec succŠs
Les fichiers cach‚s: 1
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\jkkLEvTN.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\System32\txkbhiqv.dll
-> C:\WINDOWS\System32\vfvyurfo.dll
-> C:\WINDOWS\System32\jkkLEvTN.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\MDM.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Webroot\Spy Sweeper\ssu.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-18 20:33:36 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-18 18:33:11
Pre-Run: 68,027,645,952 octets libres
Post-Run: 67,679,358,976 octets libres
224 --- E O F --- 2007-08-22 19:17:30
Rapport SmitFraudix
SmitFraudFix v2.320
Rapport fait à 21:18:22,93, 18/05/2008
Executé à partir de G:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Rapport SDFix:
SDFix: Version 1.183
Run by Mendy on 18/05/2008 at 21:39
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\SYSTEM32\MDM.EXE - Deleted
C:\WINDOWS\system32\dFrnx01\dFrnx011065.exe - Deleted
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe - Deleted
Folder C:\Temp\tmpvc14 - Removed
Folder C:\WINDOWS\system32\dFrnx01 - Removed
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-18 21:55:09
Windows 5.1.2600 Service Pack 1 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000030
"TracesSuccessful"=dword:00000000
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Mon 28 Jul 2003 193 A.SHR --- "C:\BOOT.BAK"
Mon 24 Sep 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 3 Mar 2008 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv16.bak"
Fri 30 Aug 2002 76,800 A..H. --- "C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP181\A0025127.exe"
Sat 17 May 2008 50,110 A..H. --- "C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0029707.exe"
Sat 17 May 2008 50,110 A.SH. --- "C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP184\A0030698.exe"
Thu 27 Sep 2007 22,016 A..H. --- "C:\Documents and Settings\Mendy\Mes documents\Travaille\Le Ph‚nix\~WRL3993.tmp"
Mon 24 Sep 2007 4,348 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"
Mon 24 Sep 2007 20 A..H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"
Mon 24 Sep 2007 312 ...H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"
Mon 24 Sep 2007 1,536 A..H. --- "C:\Documents and Settings\Propri‚taire\Mes documents\Ma musique\Sauvegarde de la licence\drmv2lic.bak"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0b94495512074d69b9e8ab1679d608d4\download\BIT6F.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\27efdbd68a382580fdb15dd4f797360e\download\BIT72.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\29f6d57cd4efa945b402cdec2ffedddf\download\BIT71.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2c94fdf84dc55e9a818c8222bafc1812\download\BIT5D.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3887d65d3ab5fa0d45001f504bed5b37\download\BIT63.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3d626d96e6e22b8a5867784640121555\download\BIT6B.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4ad242756613df3e539d49e3db7fff27\download\BIT74.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4cabbc33d9fa3ea879d2330766ba6ff1\download\BIT58.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\773244b80a35d887f4682727f34cdcce\download\BIT5C.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7d67df8d2fa218514bbe5a22ae12a9b3\download\BIT73.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7dfe90ab9679753ce8e3ab64aba594fe\download\BIT68.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8b6d906fd5974a905eb1cc67c000b099\download\BIT60.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8d31f6e93a03bc7a736602ed1adb9986\download\BIT66.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\98e4ab2cb14986b0be91146bef7a2943\download\BIT5F.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b81252ef70e0d4f53d4fb43336030927\download\BIT5A.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b848f7bbcc1590afa157f879b74964b2\download\BIT5E.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b955ba47e5d89f57a5ea6a34838f80ab\download\BIT57.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bfd81cbd42e5265d12677c96600c0804\download\BIT6C.tmp"
Wed 22 Aug 2007 1,810,414 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c8f95ed251aedea843abb9ea5b1a52d3\download\BIT56.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cbee9c95b55c0a7f59376a89c9a3d3c1\download\BIT6E.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cff3276a5659b39e9143e4a62e333028\download\BIT61.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d2543d14ced0177a8154816e15636514\download\BIT6D.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d983f6bace749011714a05db9ad756fb\download\BIT62.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e17d2630592b6b8b86888b3ce879a3ab\download\BIT59.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e2ee6701f2679c24dd339050a068b193\download\BIT69.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eb9fda4f2f8a691ab294ebfcbb58c737\download\BIT5B.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ec9dc63e53c8bf9a1e80cf1489c682bd\download\BIT67.tmp"
Wed 22 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fde0566446f6dd640c536f419fe1216a\download\BIT6A.tmp"
Finished!
Rapport MSNFix:
MSNFix 1.717
C:\Documents and Settings\Mendy\Bureau\MSNFix
Fix exécuté le 18/05/2008 - 22:01:11,64 By Mendy
mode normal
************************ Recherche les fichiers présents
... C:\FLIPART.EXE
... C:\GETDRIVE.EXE
... C:\WINDOWS\system32\tmp.txt
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\FLIPART.EXE
.. OK ... C:\GETDRIVE.EXE
.. OK ... C:\WINDOWS\system32\tmp.txt
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 18052008_22052148.zip
************************ HKLM\...\Winlogon\Userinit
Userinit = C:\WINDOWS\system32\userinit.exe,
Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Voila j'espère que les résultats de ces rapports disent que le PC est dorénavant "guérri" (lol). J'ai effectué les étapes comme indiqué dans ton précéentd message et j'ai posté dans l'orde indiqué dans le mesage.
En tous cas merci de ton aide.
Peux tu m'en dire plus sur XP SP 2 stp?
Galsen999
|
|
Imagine ...
|
|
|
...
Télécharge OTMoveIt1 (de Old_Timer) sur ton bureau...
----------
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :
O4 - HKLM\..\Run: [7c65cac7] "rundll32.exe" "C:\WINDOWS\System32\txkbhiqv.dll",b
O4 - HKLM\..\Run: [BM7f56f95b] Rundll32.exe "C:\WINDOWS\System32\vfvyurfo.dll",s
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.
Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte qui se trouve dans la citation, ci-dessous, et colle-le dans le cadre
de gauche de OTMoveIt nommé Paste Standard List of Files/Folders to move.
C:\WINDOWS\System32\txkbhiqv.dll",b
C:\WINDOWS\System32\vfvyurfo.dll
Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
Copie-colle le rapport dans ta réponse :
Il est situé sur --> C:\_OTMoveIt\MovedFiles.
Il te sera peut-être demandé de redémarrer le PC pour achever la suppression.
Si c'est le cas, attends la fin de la procédure pour redémarrer.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
Fais un scan avec Malwarebytes Anti-malware et poste le rapport.
PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.
----------
Installer XP SP 2 :
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8(...)
> http://www.vulgarisation-informatique.com/windows-xp-service-pack-2.php
-->Message édité par kmisol le 18/05/2008 23:06:42<--
|
|
|
|
|
bonsoir,
j'ai effectué les scan et analyse, voici les rapports:
RAPPORT OTMoveIt1:
File/Folder C:\windows\System32\txkbhiqv.dll"b not found.
DllUnregisterServer procedure not found in C:\windows\System32\vfvyurfo.dll
C:\windows\System32\vfvyurfo.dll NOT unregistered.
C:\windows\System32\vfvyurfo.dll moved successfully.
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05192008_191512
RAPPORT MALWAREBYTES:
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 768
Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 84981
Temps écoulé: 23 minute(s), 15 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 17
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\ljJawTjh.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\jkkLEvTN.dll (Trojan.Vundo) -> Unloaded module successfully.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0b55139b-e263-4fdb-9927-6df1fe4d8d82} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{0b55139b-e263-4fdb-9927-6df1fe4d8d82} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkklevtn (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjawtjh -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ljjawtjh -> Delete on reboot.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\ljJawTjh.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\hjTwaJjl.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hjTwaJjl.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\txkbhiqv.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vqihbkxt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jkkLEvTN.dll (Trojan.Vundo) -> Delete on reboot.
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP179\A0025034.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP179\A0025035.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP179\A0025036.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbXRHwtt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ddcDvvUO.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\urqNGwWq.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtqnlIx.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\efcyvWml.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\yayxwvsr.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fcckgbyc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xyxcqvpj.dll (Trojan.vundo) -> Quarantined and deleted successfully.
merci d'avance.
galsen999
Ps: Avant d'installer XP2, j'aimerais savoir si en l'installant je risque de perdre les données présentes dans mon disc dur ou si je peux l'installer sans cette crainte.
Merci
|
|
Imagine ...
|
|
|
galsen999
Tu peux l' installer sans crainte ...
http://www.microsoft.com/france/windows/xp/sp2/default.mspx
Reposte un rapport HijackThis, stp .
|
|
|
| |
![[:jean-chretien1:3]](/data/globaldata/usmilies/jeanchretien1-3.gif "[:jean-chretien1:3]")
… et poste ![[:Poulbot:6]](/data/globaldata/usmilies/poulbot-6.gif "[:Poulbot:6]")