|
|
Auteur
|
Message
|
1
2
3
4
5
|
|
|
|
Bonjour,
J'ai eu le virus msn "c'est pas toi ca ?" et je pense que j'ai reussi a le supprimer mais j'ai un gros probleme:
-Pendant que j'avais le virus ma connexion internet buguais enormement et se coupais 2minutes apres le demarrage d'internet explorer et il fallait redemarrer l'ordinateur pour la retrouver pour qu'elle se recoupe encore...
A aussi, l'eteignait coupait soudainement pendant le virus...
Apres avoir supprimer le virus(ce que je pense ^^)
Ma connexion internet marche mais elle coupe apres 10, 15 minutes...
Apres cela, je redemarre mon routeur et j'ai internet mais pas pour longtemps...
Donc j'ai fait un scan hijack this pour m'aider a m'eclairer et me conseiller pour m'en sortir car vous etes mes derniers espoirs...
-->Message édité par anto100 le 02/08/2008 18:45:49<--
|
|
|
|
|
|
quelqu'un peut-il m'aider ?
|
|
Modérateur/Helper
|
|
|
bonjour 
Pas de rapport avant que l’on ne t’en demande un !!! supprime le en éditant ton premier message avec  .
et de ne laisser que l explication de tes soucis!!
Voir règle du forum !!
Merci de lire ceci ...
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)
|
|
|
|
Modérateur/Helper
|
|
|
1) Télécharge Hijackthis V 2.02, renomme le scanner (si c'est pas fait renomme le avant tout scan) et mets-le dans un dossier nommé hijackthis dans tes program files ! (C:\Program Files\HijackThis)
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
Ferme toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).
Tuto: http://bibou0007.forumpro.fr/tutos-f45/tutorial-de-hijackthis-v202-t108.htm
Clique alors sur "Do a system scan and save a logfile"
Le scan se fait très rapidement, puis un bloc-note apparaît
(le "logfile")
Dans ce bloc-note, va dans "Edition", puis "Selectionner Tout",
le texte est alors sélectionné, retourne dans "Edition" toujours
en laissant le texte sélectionné, et clique sur copier.
Colle le contenu ici dans ta prochaine réponse !
|
|
|
|
|
Bonjour
J'ai un virus Win32 autorun, pouvez m'aidez svp ?
merci
|
|
Modérateur/Helper
|
|
|
bonjour
Pas de rapport avant que l’on ne t’en demande un !!! supprime le en éditant ton premier message avec .
et de ne laisser que l explication de tes soucis!!
Voir règle du forum !!
Merci de lire ceci ...
http://forum.telecharger.01net.com/telecharger/securite_virus_et_assimiles/a_(...)
|
|
|
|
|
voici mon scan hijackthis, j'espere que vous allez vite trouver quelque chose ^^
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:16, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\msiexec.exe
C:\Documents and Settings\Dominique\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: (no name) - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {1962c5bc-e475-465b-823b-133e711bceb9} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RayV] C:\Program Files\RayV\RayV\RayV.exe /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Traduction-online - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file)
O9 - Extra 'Tools' menuitem: Traduction-online - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-a(...)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {76EE578D-314B-4755-8365-6E1722C001A2} (Bahu Photo Uploader) - http://www.bahu.com/BahuPhotoUploader.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
--
End of file - 8899 bytes
|
|
Modérateur/Helper
|
|
|
1) Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».
2) Télécharge Combofix de sUBs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Aide à l’utilisation de combofix ici: http://bibou0007.forumpro.fr/tutos-f45/tutorial-combofix-t121.htm
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_(...)
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
3) Copie/colle un nouveau rapport HiJackThis avec.
|
|
|
|
|
rapport ComboFix:
ComboFix 08-01-29.3 - Dominique 2008-01-29 21:46:56.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.141 [GMT 1:00]Endroit: C:\Documents and Settings\Dominique\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\All Users\Application Data\Starware370
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\563_button_1b_def.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\563_button_1b_over.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\572_button_1b_def.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\572_button_1b_over.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\573_button_1b_def.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\573_button_1b_over.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\Button_60.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\Button_70.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\Button_80.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\FindIt.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\FindItHot.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\findithotxp.png
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\finditxp.png
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\logo.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\logoxp.bmp
C:\Documents and Settings\All Users\Application Data\Starware370\contexts\error.xml
C:\Documents and Settings\All Users\Application Data\Starware370\contexts\Related.xml
C:\Documents and Settings\All Users\Application Data\Starware370\contexts\Travel.xml
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\ProductMessagingConfig.xml
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\ProductMessagingConfig.xml.backup
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\SimpleUpdateConfig.xml
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\SimpleUpdateConfig.xml.backup
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\TimerManagerConfig.xml
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\TimerManagerConfig.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370
C:\Documents and Settings\Dominique\Application Data\Starware370\BrowserSearch\BrowserSearch.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\BrowserSearch\BrowserSearch.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Button_6\Button_6Options.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Button_6\Button_6Options.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Button_7\Button_7Options.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Button_7\Button_7Options.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Button_8\Button_8Options.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Button_8\Button_8Options.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Configurator\Configurator.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Configurator\Configurator.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\ErrorSearch\ErrorSearchOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\ErrorSearch\ErrorSearchOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Layouts\ToolbarLayout.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Layouts\ToolbarLayout.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Manager\ManagerOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Manager\ManagerOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Paroles\ParolesOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Paroles\ParolesOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Radio_FR\Radio_FROptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Radio_FR\Radio_FROptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Recherche_de_musique\Recherche_de_musiqueOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Recherche_de_musique\Recherche_de_musiqueOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\RelatedSearch\RelatedSearchOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\RelatedSearch\RelatedSearchOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Telechargement\TelechargementOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Telechargement\TelechargementOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\Toolbar\TBProductsOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\Toolbar\TBProductsOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\ToolbarLogo\ToolbarLogoOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\ToolbarLogo\ToolbarLogoOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\ToolbarSearch\ToolbarSearchOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\ToolbarSearch\ToolbarSearchOptions.xml.backup
C:\Documents and Settings\Dominique\Application Data\Starware370\TravelSearch\TravelSearchOptions.xml
C:\Documents and Settings\Dominique\Application Data\Starware370\TravelSearch\TravelSearchOptions.xml.backup
C:\Program Files\Starware370
C:\Program Files\Starware370\bin\Starware370.dll
C:\Program Files\Starware370\icons\star_16.ico
C:\Program Files\Starware370\Starware370Config.xml
C:\Program Files\Starware370\Starware370Uninstall.exe
C:\Program Files\windows
C:\WINDOWS\keyboard101.dat
C:\WINDOWS\keyboard111.dat
C:\WINDOWS\keyboard121.dat
C:\WINDOWS\keyboard131.dat
C:\WINDOWS\keyboard141.dat
C:\WINDOWS\keyboard151.dat
C:\WINDOWS\keyboard161.dat
C:\WINDOWS\keyboard171.dat
C:\WINDOWS\keyboard181.dat
C:\WINDOWS\keyboard191.dat
C:\WINDOWS\keyboard211.dat
C:\WINDOWS\keyboard221.dat
C:\WINDOWS\keyboard231.dat
C:\WINDOWS\keyboard41.dat
C:\WINDOWS\keyboard51.dat
C:\WINDOWS\keyboard61.dat
C:\WINDOWS\keyboard71.dat
C:\WINDOWS\keyboard91.dat
C:\WINDOWS\system32\drivers\PhiBtn.exe
C:\WINDOWS\system32\drivers\Tray900.exe
C:\WINDOWS\system32\NSIS.Library.RegTool.v2.{1AA75DB5-310E-443E-BDA9-9CB237802C26}.exe
C:\WINDOWS\system32\stera.log
----- BITS: Possible sites infect‚s -----
hxxp://gpdl.google.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_FOPN
-------\LEGACY_FWSVC
-------\LEGACY_VSPF
-------\LEGACY_VSPF_HK
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-28 to 2008-01-29 ))))))))))))))))))))))))))))))))))))
.
2008-01-27 22:05 . 2008-01-27 22:05 <REP> d-------- C:\Program Files\Avira
2008-01-27 22:05 . 2008-01-27 22:05 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-27 20:07 . 2008-01-27 20:09 <REP> d-------- C:\Documents and Settings\Dominique\Application Data\GlarySoft
2008-01-27 19:14 . 2008-01-28 17:39 <REP> d-------- C:\Program Files\Glary Utilities
2008-01-25 21:25 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-25 21:25 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-01-25 21:25 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-25 17:25 . 2008-01-25 17:25 <REP> d-------- C:\WINDOWS\ERUNT
2008-01-24 18:27 . 2008-01-24 18:27 25,984 --a------ C:\WINDOWS\system32\drivers\Xpb78.sys
2008-01-24 18:26 . 2008-01-24 18:26 54,764 --a------ C:\WINDOWS\system32\drivers\srtwe.sys
2008-01-23 15:19 . 2008-01-23 15:19 54,764 --a------ C:\WINDOWS\system32\nested.sys
2008-01-23 15:17 . 2003-10-07 13:54 180,224 --------- C:\WINDOWS\cfg1400U.exe
2008-01-23 15:17 . 2003-06-19 16:53 94,208 --a------ C:\WINDOWS\system32\coclassfast.dll
2008-01-23 13:19 . 2008-01-23 13:19 25,984 --a------ C:\WINDOWS\system32\drivers\Kbe31.sys
2008-01-23 12:40 . 2008-01-23 12:40 54,764 --a------ C:\WINDOWS\system32\fvelwow.sys
2008-01-19 19:57 . 2008-01-27 20:59 <REP> d-------- C:\Program Files\Windows Live
2008-01-19 19:57 . 2008-01-19 20:01 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-01-19 19:56 . 2008-01-19 19:56 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-01-04 22:14 . 2008-01-14 16:01 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-04 22:14 . 2008-01-04 22:14 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-04 17:17 . 2008-01-04 17:17 <REP> d-------- C:\Program Files\CFWebAdvancedU
2008-01-04 17:17 . 2008-01-04 17:17 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\CamfrogWEB
2008-01-01 12:47 . 2008-01-01 12:55 <REP> d-------- C:\Program Files\NTFS Undelete
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-29 18:54 --------- d-----w C:\Documents and Settings\All Users\Application Data\Google Updater
2008-01-29 17:49 --------- d-----w C:\Program Files\MSN Messenger
2008-01-24 20:05 --------- d-----w C:\Program Files\SC
2008-01-24 19:01 --------- d-----w C:\Program Files\Pvm
2008-01-09 11:11 --------- d-----w C:\Program Files\Fritivi
2008-01-03 18:46 --------- d-----w C:\Program Files\DivX
2007-12-28 19:06 --------- d-----w C:\Documents and Settings\Dominique\Application Data\FreeCall
2007-12-26 12:22 --------- d-----w C:\Program Files\Fichiers communs\3DO Shared
2007-12-26 12:22 --------- d-----w C:\Program Files\3DO
2007-12-25 19:03 --------- d-----w C:\Program Files\GameSpy Arcade
2007-12-25 19:03 --------- d-----w C:\Program Files\Fx Audio Conveter
2007-12-25 19:03 --------- d-----w C:\Program Files\eMule
2007-12-25 17:42 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-18 16:33 --------- d-----w C:\Program Files\Visual IP Locator
2007-12-17 20:31 --------- d-----w C:\Program Files\DLDIrc
2007-12-02 18:24 --------- d-----w C:\Documents and Settings\Dominique\Application Data\XnView
2007-08-05 09:01 108,808 ----a-w C:\Documents and Settings\Dominique\Application Data\GDIPFONTCACHEV1.DAT
2006-12-23 22:43 11,826 ----a-w C:\Program Files\Hewlett-Packa
2006-05-14 15:19 54 ----a-w C:\Program Files\delir.gio
2005-11-26 19:22 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2006-05-28 14:24 14 --sh--w C:\WINDOWS\mswtpdxp.dll
2006-05-28 14:25 21 --sh--w C:\WINDOWS\prwttrxp.dll
2005-07-29 15:24 472 --sha-r C:\WINDOWS\RG9taW5pcXVlIEJFRFU\l36QuqcDwrp5KHLIlIo.vbs
2006-05-28 14:24 21 --sh--w C:\WINDOWS\system32\dpwttaxp.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2006-05-28 14:24 14 --sh--w C:\WINDOWS\system32\mswtpaxp.dll
2006-05-28 14:24 2 --sh--w C:\WINDOWS\system32\verwttxp.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIEW"="nview.dll" [2002-12-12 09:00 798789 C:\WINDOWS\system32\nview.dll]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-19 22:15 68856]
"RayV"="C:\Program Files\RayV\RayV\RayV.exe" [2007-11-20 09:14 4306208]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 15:36 28672]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-27 22:11 249896]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-09-13 23:06 185632]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Kbe31.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sxr73.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xpb78.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySpotter]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
R3 BENDER;Pinnacle DV/AV Capture;C:\WINDOWS\system32\drivers\bender.sys [2003-07-09 13:35]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]
S3 camvid40;Philips SPC 900NC PC Camera;C:\WINDOWS\system32\DRIVERS\camdrv41.sys [2005-08-25 11:28]
S3 Kbe31;Kbe31;C:\WINDOWS\System32\drivers\Kbe31.sys [2008-01-23 13:19]
S3 Sxr73;Sxr73;C:\WINDOWS\System32\drivers\Sxr73.sys []
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 07:58]
S3 VNUSB;VN Series Device;C:\WINDOWS\system32\DRIVERS\VNUSB.sys [2006-04-07 16:06]
S3 Xpb78;Xpb78;C:\WINDOWS\System32\drivers\Xpb78.sys [2008-01-24 18:27]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{380c8470-6173-11dc-b597-000c760584ad}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Boot.exe e
\Shell\Open\command - Boot.exe e
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}]
rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserstub
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-08-08 21:01:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-01-29 19:00:00 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job"
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-29 22:00:28
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-01-29 22:07:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-29 21:06:56
.
2008-01-29 17:26:02 --- E O F ---
Rapport HijackThis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:56, on 29/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Dominique\Bureau\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aliceadsl.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} - c:\Program Files\Microsoft Money\System\mnyside.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: (no name) - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RayV] C:\Program Files\RayV\RayV\RayV.exe /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Device Detector 3.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: hp center.lnk = C:\Program Files\hp center\137903\Program\BackWeb-137903.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Traduction-online - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file)
O9 - Extra 'Tools' menuitem: Traduction-online - {4F75DC45-5A92-4352-BEC4-4C32FB7DF2A8} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - c:\Program Files\Microsoft Money\System\mnyside.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-a(...)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {76EE578D-314B-4755-8365-6E1722C001A2} (Bahu Photo Uploader) - http://www.bahu.com/BahuPhotoUploader.cab
O16 - DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} (VirginMega DownloadManager) - https://www.virginmega.fr/DownloadManager/Release/Prod/DownMan.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
--
End of file - 8866 bytes
|
|
Modérateur/Helper
|
|
|
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Guide d'utilisation : http://mickael.barroux.free.fr/securite/sdfix.php
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
Déroule la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
|
|
|
|
|
Voici le rapport de SDFix:
SDFix: Version 1.133
Run by Administrateur on 31/01/2008 at 21:26
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix
Safe Mode:
Checking Services:
Name:
fvelwow
nested
srtwe
Path:
\??\C:\WINDOWS\system32\fvelwow.sys
\??\C:\WINDOWS\system32\nested.sys
\??\C:\WINDOWS\system32\drivers\srtwe.sys
fvelwow - Deleted
nested - Deleted
srtwe - Deleted
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
Trojan Files Found:
C:\WINDOWS\system32\drivers\srtwe.sys - Deleted
C:\WINDOWS\system32\fvelwow.sys - Deleted
C:\WINDOWS\system32\nested.sys - Deleted
Removing Temp Files...
ADS Check:
Final Check:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-31 21:38:33
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 183
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\RayV\\RayV\\RayV.exe"="C:\\Program Files\\RayV\\RayV\\RayV.exe:*:Enabled:RayV"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Messenger"
"C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe"="C:\\Program Files\\hp center\\137903\\Program\\BackWeb-137903.exe:*:Enabled:BackWeb-137903"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip
Files with Hidden Attributes:
Tue 21 Jan 2003 1,152 A.SH. --- "C:\tlxjaw3o.sys"
Sun 28 May 2006 14 ..SH. --- "C:\WINDOWS\mswtpdxp.dll"
Sun 28 May 2006 21 ..SH. --- "C:\WINDOWS\prwttrxp.dll"
Sat 27 Oct 2007 5,903,928 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Sun 28 May 2006 21 ..SH. --- "C:\WINDOWS\system32\dpwttaxp.dll"
Wed 3 May 2006 163,328 ..SHR --- "C:\WINDOWS\system32\flvDX.dll"
Wed 21 Feb 2007 31,232 ..SHR --- "C:\WINDOWS\system32\msfDX.dll"
Sun 28 May 2006 14 ..SH. --- "C:\WINDOWS\system32\mswtpaxp.dll"
Sun 28 May 2006 2 ..SH. --- "C:\WINDOWS\system32\verwttxp.dll"
Tue 24 Jan 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 26 Jun 2005 616,448 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygwin1.dll"
Tue 21 Jun 2005 45,568 ..SHR --- "C:\Program Files\eRightSoft\SUPER\cygz.dll"
Mon 17 Sep 2007 72,704 ..SHR --- "C:\Program Files\eRightSoft\SUPER\Setup.exe"
Fri 27 Oct 2006 15,872 A.SHR --- "C:\Program Files\eRightSoft\SUPER\_Setup.dll"
Fri 15 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Tue 4 Jun 2002 84,992 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\14_43260.dll"
Tue 4 Jun 2002 44,032 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\28_83260.dll"
Tue 10 Dec 2002 73,766 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\atrc3260.dll"
Tue 10 Dec 2002 65,575 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\cook3260.dll"
Sun 9 Jun 2002 36,864 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ddnt3260.dll"
Tue 4 Jun 2002 20,480 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dnet3260.dll"
Tue 10 Dec 2002 102,437 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv13260.dll"
Tue 10 Dec 2002 176,165 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv23260.dll"
Tue 10 Dec 2002 208,935 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv33260.dll"
Tue 10 Dec 2002 217,127 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\drv43260.dll"
Sun 9 Jun 2002 40,448 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\dspr3260.dll"
Sat 3 Nov 2001 225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\ivvideo.dll"
Tue 10 Apr 2001 225,280 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\qtmlClient.dll"
Fri 20 Feb 2004 232,960 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\raac.dll"
Sun 9 Jun 2002 525,824 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rnco3260.dll"
Tue 10 Dec 2002 245,805 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rnlt3260.dll"
Tue 10 Dec 2002 45,093 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv103260.dll"
Tue 10 Dec 2002 98,341 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv203260.dll"
Tue 10 Dec 2002 94,247 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv303260.dll"
Tue 10 Dec 2002 90,151 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\rv403260.dll"
Tue 10 Dec 2002 102,439 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\sipr3260.dll"
Sun 9 Jun 2002 49,152 ...HR --- "C:\Program Files\eRightSoft\SUPER\mencoder\tokr3260.dll"
Sun 27 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT40.tmp"
Finished!
|
|
Modérateur/Helper
|
|
Modérateur/Helper
|
|
|
Et peux-tu me refaire un combofix normal stp ?
Sinon, tu as trois drivers rootkités... c'est une vraie sal******  Donc je te conseille de sauvegarder tes données les plus impportantes, mesure de précaution 
J'attends les rapports
Bonne nuit à demain 
|
|
|
|
|
je te fais les scans necessairent, mais j'ai une petites question:
-Les 3 drivers rootkités, ce sont ceux-la qui influent sur mon probleme de
connection internet ?
|
|
Modérateur/Helper
|
|
|
Ben écoute, je ne peux te l'affirmer avec certitude, mais c'est la seule infection que je vois.
Donc oui ça peut expliquer.
Je me répète sur la nécessité suivante : sauvegarde tes données importantes, style document de travail etc.
J'attends les rapports demandés 
|
|
|
|
|
Désolé d'intervenir dans ce post, mais merci pour pour SdFix , je ne connaissais pas du tout ce logiciel et en effet, il est super 
|
|
|
|
|
ok, je vais faire les scans etc...
mais une autre question s'impose ^^
-Pourquoi faut-il que je sauvegarde mes données importante et ou ?
|
|
Modérateur/Helper
|
|
|
Sauvegarde sur une clé usb, un disque dur externe, un cd, un dvd etc.
Pourquoi ? Parce que je va te faire enlver ces 3 drivers rootkités, mais leur suppression peut provoquer des problèmes éventuels, qu'en général on résout, mais mesure de précaution.
De toutes façons, ne pas avoir des sauvegardes de ses données importantes, c'est prendre le risque de tout perdre. L'informatique, des fois ça plante sans raison...
|
|
|
|
|
oui, mais aussi j'ai beaucoup de fichier importants, enfin c'est surtout mon pére ^^
Avec les images, les musiques, les fichiers Word...
Ce serait possible de faire une sauvegarde du systeme, et si on perd quelques données les recuperer par cette sauvegarde ?
Si oui, expliquez-moi comment on fait une sauvegarde du systeme ^^
|
|
Modérateur/Helper
|
|
|
Le plus important ce sont les fichiers words, excel, power point de ton père, les tiens etc.
La musique, les images, c'est moins important.
Donc je te conseille de voir avec ton père pour les sauvegardes
C'est une mesure de précaution que je prends
|
|
Modérateur/Helper
|
|
|
Pour sauvegarder pas de solutions miracles : disque dur externe, clé usb, graver sur CD, DVD, enoyer par mails...
Préviens-moi quand l'irremplaçable a été sauvegardé Ne t'inquiète pas normalement ça devrait bien se passer, surtout que je n'en suis pas à ma première fois avec ce genre de drivers rootikités.
Mais je préfère être prudent, dans ton intérêt
Bonne nuit à demain
|
|
|
|
|
c'est bizarre car internet remarhce normalement....
Le probleme serait-il arrangé ?
Sinon sa veut dire quoi rootkités ?
|
|
Modérateur/Helper
|
|
|
Ecoute c'est comme tu veux, sinon pour informations : http://mickael.barroux.free.fr/securite/pe386.php
Tu es libre de vouloir que je t'aide ou pas
|
|
|
| |
