|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
j'ai attrapé un trojan qui s'appelle virtumonde et je n'arrive pas à m en débarasser.
Qq un pourrait il m aider ?
merci
-->Message édité par alex_tdkprod le 29/05/2008 13:29:30<--
|
|
|
|
|
bonjour,
Télécharge ComboFix (créé par sUBs) sur ton Bureau
Démarre en mode sans échec : http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
|
|
|
|
|
voici le rapport :
ComboFix 08-05-25.4 - Administrateur 2008-05-26 14:05:53.2 - NTFSx86 MINIMAL
Endroit: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM0b276aae.xml
C:\WINDOWS\pskt.ini
.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-26 to 2008-05-26 ))))))))))))))))))))))))))))))))))))
.
2008-05-26 12:01 . 2008-05-26 12:01 116,736 --a------ C:\WINDOWS\system32\pumhryvr.dll
2008-05-26 11:59 . 2008-05-26 11:59 371,200 --a------ C:\WINDOWS\system32\iifDULfc.dll.vir
2008-05-26 11:59 . 2008-05-26 11:59 58,880 --a------ C:\WINDOWS\system32\hgGWMdAp.dll.vir
2008-05-26 11:58 . 2008-05-26 11:58 134,144 --a------ C:\WINDOWS\system32\ycdoxehx.dll
2008-05-26 11:56 . 2008-05-26 11:56 124,928 --a------ C:\WINDOWS\system32\voxsqwcs.dll
2008-05-26 11:55 . 2008-05-26 11:55 371,200 --a------ C:\WINDOWS\system32\iifDULfc.dll
2008-05-26 11:44 . 2008-05-26 11:44 370,688 --a------ C:\WINDOWS\system32\tuvUNhHA.dll.vir
2008-05-26 11:43 . 2008-05-26 12:02 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-26 11:42 . 2008-05-26 11:42 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Simply Super Software
2008-05-26 11:38 . 2008-05-26 11:54 <REP> d-------- C:\Program Files\Enigma Software Group
2008-05-26 08:18 . 2008-05-26 08:18 136,704 --a------ C:\WINDOWS\system32\solhrmbj.dll
2008-05-26 08:09 . 2008-05-26 08:09 95 --a------ C:\WINDOWS\wininit.ini
2008-05-26 07:41 . 2008-05-26 12:00 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-05-26 07:41 . 2008-05-26 12:00 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-26 07:41 . 2008-05-26 07:41 136,704 --a------ C:\WINDOWS\system32\vgaswqjv.dll
2008-05-25 16:24 . 2008-05-25 16:24 58,880 --a------ C:\WINDOWS\system32\hgGWMdAp.dll
2008-05-20 16:45 . 2008-05-20 17:07 <REP> d-------- C:\Program Files\DC++
2008-05-14 12:20 . 2008-05-15 10:18 <REP> d-------- C:\Program Files\VeryPDF PDF2Word v3.0
2008-05-07 08:29 . 2008-05-19 12:08 <REP> d-------- C:\Program Files\uTorrent
2008-05-04 17:57 . 2008-05-04 17:57 244 --ah----- C:\sqmnoopt03.sqm
2008-05-04 17:57 . 2008-05-04 17:57 232 --ah----- C:\sqmdata03.sqm
2008-05-04 16:02 . 2008-05-04 16:02 244 --ah----- C:\sqmnoopt02.sqm
2008-05-04 16:02 . 2008-05-04 16:02 232 --ah----- C:\sqmdata02.sqm
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 10:57 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-05-26 09:59 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent
2008-05-23 15:34 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\FileZilla
2008-05-23 10:55 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\foobar2000
2008-05-14 10:06 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-05-14 09:45 --------- d-----w C:\Program Files\TuneUp Utilities 2004
2008-04-16 10:27 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-04-16 10:08 --------- d-----w C:\Program Files\Real
2008-04-05 08:50 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2006-10-08 23:18 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
2006-07-29 17:18 112 --sha-w C:\WINDOWS\system32\Vistadrive\unistl.cmd
.
------- Sigcheck -------
2006-10-09 01:19 578048 c1ba2463a2689d0ee0375de076454248 C:\WINDOWS\system32\user32.dll
2006-09-08 01:01 1022464 19c3e5cc81402b28875e6d1696ab813b C:\WINDOWS\system32\wininet.dll
2006-10-09 01:26 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\system32\drivers\tcpip.sys
2006-10-09 01:16 506880 1d5b0b4d441f8543b0e899adadb83356 C:\WINDOWS\system32\winlogon.exe
2006-10-09 01:36 2018304 269e335b5b14a25a7a7d3caf3a31fffd C:\WINDOWS\system32\ntkrnlpa.exe
2006-10-09 01:24 2139136 226d482721db84f3b40efeaf8016485d C:\WINDOWS\system32\ntoskrnl.exe
2006-10-04 09:05 3116032 70342280d7bac042be4afdedc81c1ce7 C:\WINDOWS\explorer.exe
.
((((((((((((((((((((((((((((( snapshot@2008-05-26_14.00.18.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-26 11:53:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-26 12:05:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0CF5D165-517E-48B6-B3C7-3054A24F8BF6}]
2008-05-25 16:24 58880 --a------ C:\WINDOWS\system32\hgGWMdAp.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{435D446B-EE3A-4DD4-8E9D-2097A51284F4}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{46532644-7e2d-47a9-a9ba-aaab7cec828c}]
2008-05-26 11:58 134144 --a------ C:\WINDOWS\system32\ycdoxehx.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5B9E15F2-C04B-40C2-B629-05A94C7B75DE}]
2008-05-26 11:55 371200 --a------ C:\WINDOWS\system32\iifDULfc.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8529586B-3A40-4B63-B571-33D2E7C90E12}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 18:07 907264]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-04-12 12:08 921600]
"Look 'n' Stop"="C:\Program Files\Soft4Ever\looknstop\looknstop.exe" [2006-03-28 01:53 25474]
"BM0b276aae"="C:\WINDOWS\system32\voxsqwcs.dll" [2008-05-26 11:56 124928]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"UberIcon"="C:\Program Files\UberIcon\UberIcon Manager.exe" [2005-08-12 20:52 180224]
"VisualTaskTips"="C:\Windows\System32\VisualTaskTips.exe" [2006-07-05 04:23 36864]
"Vistadrv"="C:\Windows\System32\Vistadrive\vsdrv.exe" [2006-07-30 03:37 121089]
"TweakRAM"="C:\Program Files\TweakRAM\TweakRAM.exe" [2006-04-15 18:07 907264]
"LClock"="C:\Program Files\LClock\lclock.exe" [2004-09-19 20:27 65536]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide3"="cmd.exe" [2006-06-20 12:15 403968 C:\WINDOWS\system32\cmd.exe]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WiFi Station.lnk - C:\Program Files\Hercules\WiFi Station\WifiStation.exe [2007-10-16 12:16:36 650240]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{0CF5D165-517E-48B6-B3C7-3054A24F8BF6}"= C:\WINDOWS\system32\hgGWMdAp.dll [2008-05-25 16:24 58880]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGWMdAp]
hgGWMdAp.dll 2008-05-25 16:24 58880 C:\WINDOWS\system32\hgGWMdAp.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.CDVC"= cdvccodc.dll
"msacm.l3codec"= l3codecp.acm
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Outil de mise à jour Google.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Outil de mise à jour Google.lnk
backup=C:\WINDOWS\pss\Outil de mise à jour Google.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2006-10-09 01:33 69632 C:\WINDOWS\ALCMTR.EXE
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2004-09-02 23:57 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2006-10-30 09:36 256576 C:\Program Files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-10-25 18:58 282624 C:\Program Files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
--a------ 2006-10-09 01:34 2879488 C:\WINDOWS\SkyTel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2006-11-10 12:35 90112 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-10-16 16:02 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LClock"=C:\Program Files\LClock\lclock.exe
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
"Vistadrv"=C:\Windows\System32\Vistadrive\vsdrv.exe
"VisualTaskTips"=C:\Windows\System32\VisualTaskTips.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"DiskeeperSystray"="C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"RTHDCPL"=RTHDCPL.EXE
"Vistadrv"=C:\WINDOWS\system32\Vistadrive\vsdrv.exe
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
"BM0b276aae"=Rundll32.exe "C:\WINDOWS\system32\svsfueyr.dll",s
"08145932"=rundll32.exe "C:\WINDOWS\system32\wcykojqx.dll",b
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"E:\\mule\\eMule\\emule.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\TribalWeb\\tribalweb.exe"=
"C:\\Program Files\\DC++\\DCPlusPlus.exe"=
R0 Si3112;Si3112;C:\WINDOWS\system32\drivers\Si3112.sys [2006-10-09 01:30]
R0 tffsport;M-Systems DiskOnChip 2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys [2004-08-03 23:00]
R1 GhPciScan;GhostPciScanner;C:\Program Files\Symantec\Norton Ghost 2003\ghpciscan.sys [2003-05-28 19:01]
S1 lnsfw1;lnsfw1;C:\WINDOWS\system32\drivers\lnsfw1.sys [2007-04-12 12:08]
S1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 22:05]
S3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 22:05]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-12-29 01:58]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d56d1624-e609-11dc-8c45-0008d33522b6}]
\Shell\AutoRun\command - wscript.exe VirusRemoval.vbs
\Shell\open\Command - wscript.exe VirusRemoval.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e44742b2-057f-11dd-8c99-0008d33522b6}]
\Shell\AutoRun\command - I:\LaunchU3.exe -a
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-05-02 12:12:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-05-09 15:15:51 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2004\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 14:08:05
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\hgGWMdAp.dll
.
Temps d'accomplissement: 2008-05-26 14:10:09
ComboFix-quarantined-files.txt 2008-05-26 12:09:08
Pre-Run: 11,260,674,048 octets libres
Post-Run: 11,255,308,288 octets libres
184
Merci pour ton aide
|
|
|
|
|
Passe un coup de MalwareBytes et nettoie tout ce qu'il trouve
Aide : http://mickael.barroux.free.fr/securite/malwarebytes.php
Post moi le rapport généré à la fin dans ta prochaine réponse 
|
|
|
|
|
J ai suivi ton tuto sur ton site.
J ai fait tout d abord un scan rapide avec malwarebyte, il a trouve une quinzaine de problemes. Apres ca j ai rebooté, j ai refait un scan complet. Il n'y avait pas d'erreur. Et j ai utilisé HijackThis comme il est expliqué dans ton tuto.
Mon pc se porte mieux mais j ai encore qq pubs qui apparaissent. Je refais un scan et je te l envoie apres.
En tout cas, je te remercie encore pour ton interet à ma cause perdue :)et pour tes tutos.
|
|
|
|
|
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 788
Type de recherche: Examen complet (C:\|E:\|G:\|H:\|)
Eléments examinés: 105757
Temps écoulé: 37 minute(s), 5 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
|
|
|
|
|
Télécharge HijackThis
Guide d'utilisation : http://mickael.barroux.free.fr/securite/hijackthis.php
Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors séléctionné, retourne dans "Edition" toujours
en laissant le texte séléctionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !
|
|
|
|
|
voila le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:46, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Soft4Ever\looknstop\_looknstop.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
H:\scanner.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&rlz=(...)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {c828cec7-baaa-ab9a-9a74-d2e744623564} - {46532644-7e2d-47a9-a9ba-aaab7cec828c} - C:\WINDOWS\system32\ycdoxehx.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKCU\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe
O4 - HKUS\S-1-5-19\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [VisualTaskTips] C:\Windows\System32\VisualTaskTips.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Vistadrv] C:\Windows\System32\Vistadrive\vsdrv.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [TweakRAM] C:\Program Files\TweakRAM\TweakRAM.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [LClock] C:\Program Files\LClock\lclock.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe" (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide3] cmd.exe /C rundll32 advpack.dll,LaunchINFSection nLite.inf,C (User 'Default user')
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
--
End of file - 5429 bytes
|
|
|
|
|
bonjour, c'est beaucoup mieux 
Fais un scan BitDefender en ligne (avec Internet Explorer pas avec Firefox !)
(clique à gauche sur scan online).
et post moi le rapport de ce scan ici une fois terminé !
Guide d'utilisation de Bitdefender en ligne (merci Bruce Lee) : http://cybersecurite.xooit.com/t201-Scan-en-ligne-BitDefender.htm
|
|
|
|
|
voila le rapport
BitDefender Online Scanner
Scan report generated at: Tue, May 27, 2008 - 12:55:47
Scan path: A:\;C:\;D:\;E:\;G:\;H:\;
Statistics
Time
00:56:26
Files
155588
Folders
7256
Boot Sectors
6
Archives
2018
Packed Files
10240
Results
Identified Viruses
13
Infected Files
16
Suspect Files
0
Warnings
0
Disinfected
0
Deleted Files
18
Engines Info
Virus Definitions
1243518
Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)
Scan plugins
16
Archive plugins
42
Unpack plugins
7
E-mail plugins
6
System plugins
5
Scan Settings
First Action
Disinfect
Second Action
Delete
Heuristics
Yes
Enable Warnings
Yes
Scanned Extensions
*;
Exclude Extensions
Scan Emails
Yes
Scan Archives
Yes
Scan Packed
Yes
Scan Files
Yes
Scan Boot
Yes
Scanned File
Status
C:\Program Files\DAEMON Tools\SetupDTSB.exe
Detected with: Application.Adware.Savenow.G
C:\Program Files\DAEMON Tools\SetupDTSB.exe
Disinfection failed
C:\Program Files\DAEMON Tools\SetupDTSB.exe
Deleted
C:\Program Files\DaemonTools_WhenUSaveNow_Installer\SET11.tmp
Detected with: Adware.Savenow.CA
C:\Program Files\DaemonTools_WhenUSaveNow_Installer\SET11.tmp
Disinfection failed
C:\Program Files\DaemonTools_WhenUSaveNow_Installer\SET11.tmp
Deleted
C:\Program Files\Eset\infected\1SCXXADA.NQF=>(Quarantine-PE)
Detected with: Application.P2p.Networking.D
C:\Program Files\Eset\infected\1SCXXADA.NQF=>(Quarantine-PE)
Disinfection failed
C:\Program Files\Eset\infected\1SCXXADA.NQF=>(Quarantine-PE)
Deleted
C:\Program Files\Eset\infected\A1TNW2AA.NQF=>(Quarantine-PE)
Detected with: Adware.Savenow.CA
C:\Program Files\Eset\infected\A1TNW2AA.NQF=>(Quarantine-PE)
Deleted
C:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP236\A0151977.exe
Detected with: Application.Adware.Savenow.G
C:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP236\A0151977.exe
Disinfection failed
C:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP236\A0151977.exe
Deleted
C:\WINDOWS\system32\cmdow.exe
Detected with: Application.Tool.Hidewindow.G
C:\WINDOWS\system32\cmdow.exe
Disinfection failed
C:\WINDOWS\system32\cmdow.exe
Deleted
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0013252.exe
Detected with: Application.Keygen.Xpstyle.U
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0013252.exe
Disinfection failed
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0013252.exe
Deleted
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0013545.exe
Infected with: Trojan.Generic.259571
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0013545.exe
Deleted
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0014133.exe
Detected with: Application.Joke.Stressrelief.B
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0014133.exe
Disinfection failed
E:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP78\A0014133.exe
Deleted
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP227\A0139565.exe
Infected with: Backdoor.Hupigon.17266
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP227\A0139565.exe
Deleted
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP227\A0139566.exe
Infected with: Backdoor.Hupigon.17266
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP227\A0139566.exe
Deleted
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP227\A0139568.exe
Detected with: Application.Binder.B
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP227\A0139568.exe
Disinfection failed
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP227\A0139568.exe
Deleted
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146141.exe
Infected with: Trojan.Generic.259571
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146141.exe
Deleted
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146223.exe
Detected with: Application.Keygen.Xpstyle.U
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146223.exe
Disinfection failed
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146223.exe
Deleted
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146230.exe
Infected with: Packer.FSG.A
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146230.exe
Disinfection failed
H:\System Volume Information\_restore{167DC5FB-62DD-4FC0-AD43-C96C1A570882}\RP232\A0146230.exe
Deleted
H:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP100\A0021151.exe
Detected with: Application.Joke.Stressrelief.B
H:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP100\A0021151.exe
Disinfection failed
H:\System Volume Information\_restore{3CEB81C2-A252-4DC7-8B7F-4F37DA7BD7CB}\RP100\A0021151.exe
Deleted
|
|
|
|
|
re,
tu n'as plus de souci ?
|
|
|
|
|
J ai toujours un trojan qui persiste. C'est le MS Juan.
J ai refait un scan avec Malwarebyte, voila le rapport :
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 788
Type de recherche: Examen rapide
Eléments examinés: 34381
Temps écoulé: 1 minute(s), 25 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
|
|
|
|
|
|
post moi un nouveau rapport combofix alors stp
|
|
|
|
|
je crois l'avoir supprimer pour de bon. J'ai refait un combo fix, apres un hackhjis (comme dans ton tuto) et j ai supprimé une clé du registre detecté par malawarebytes.
En espèrant l'avoir réellement, je tiens encore à te remercier pour ton aide et tes précieux tutos.
|
|
|
|
|
de rien
Suppression des outils :
Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner-34055291-avis-opinion(...)
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
Tutorial ici : http://bibou0007.com/tutos-f45/tutorial-toolscleaner-2-t375.htm
Supprime tous les rapports qui sont apparus lors des divers scans
Edite ton premier post avec  et mets [resolu] devant le titre de ton sujet.
Voici quelques liens pour des conseils en sécurité :
Mon site Web sur la sécurité informatique !
Comment protéger son PC pour éviter d'être infecté ?
Prends le temps de les lire car elles sont très enréchissantes.
Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapporte ton infection :
- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age
Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10
au plaisir et bonne journée 
|
|
|
|
|
le rapport :
-->- Recherche:
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
---------------------------------
-->- Suppression:
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
Corbeille vidée!
Fichiers temporaires nettoyés !
|
|
|
1
|
|
|
|
