[Résolu] PC avec multiples infections importantes - Sécurité, virus et assimilés::Virus

Auteur

Message

1 2 3

naheulbeuk

Posté le 03/06/2008 18:37:01

il a pas supprimé les clés registre, ca doit être à cause des caractères chinois ca doit pas fonctionner...

tu vas devoir le faire à la mimine...

démarrer -> executer -> tape regedit

commence par sauvegarder la base de registre (en cas de problème, il suffira de l'importer en double cliquant sur le fichier registre créé) :
http://www.commentcamarche.net/faq/sujet-239-base-de-registre-sauvegarde-et-r(...)

puis navigue dans la base de registre (sortes de dossiers à gauche)
va ici :
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options
et supprime toutes les clés (clic droit sur les clés dans le menu de gauche -> supprimer) qui portent ces noms :

360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AppSvc32.exe
auto.exe
AutoRun.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
cross.exe
enc98.EXE
FileDsty.exe
FTCleanerShell.exe
guangd.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.COM
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
KVwsc.exe
KvXP.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
NAVSetup.exe
nod32kui.exe
PFW.exe
PFWLiveUpdate.exe
QHSET.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
RAVmonD.exe
RavStub.exe
RavTask.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwProxy.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
SCAN32.exe
SDGames.exe
shcfg32.exe
ShuiNiu.exe
SmartUp.exe
sos.exe
SREng.exe
svch0st.exe
symlcsvc.exe
SysSafe.exe
Systom.exe
taskmgr.exe
TNT.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
TxoMoU.exe
UFO.exe
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
WoptiClean.exe
XP.exe
zxsweep.exe

désolé de pas pouvoir t'aider davantage mais windows version chinois on n'a pas l'habitude ici

tiens moi au jus :hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

Yangxiao

Posté le 03/06/2008 19:04:35

Re, OMG efffectivement dans le répertoire image file execution options
il y a toute la liste que vous avez mentionné, mais meme en manuel
je ne peux pas les supprimer!! :ouch:

ça explique peut etre pourquoi
combofix n'a pas pu supprimé ces clés registre ....

Yangxiao

Posté le 03/06/2008 19:21:43

OMG je viens de comprendre pourquoi ces putin de clé je ne pouvais pas
les supprimer parce que je n'avais pas les AUTORISATIONS !!!!
j'ai comparé entre mon PC et celui du PC en réparation j'ai remarqué que j'avais pas le "controle total" donc j'ai coché la case et je retente de
supprimer la clé et ça marche ! :jap:

ça y est je n'ai plus les messages
d'erreur...!!! toutefois la liste que vous m'avez sorti sur le post précedent
je dois aussi entierement les supprimer à la main ?

naheulbeuk

Posté le 03/06/2008 19:42:53

relance le script CFScript_naheulbeuk ca devrait dégommer toutes les clés :super:

en tous cas bien vu, le coup des permissions :super:

dis mois quand tout sera rentré dans l'ordre

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

Yangxiao

Posté le 03/06/2008 20:28:23

J ai relance le combofix et apres verification cette fois ci les registres
dans image file execution options sont bel et bien supprime !!

je repost le rapport au cas ou

ComboFix 08-06-01.6 - user 2008-06-03 20:13:35.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.936.1.2052.18.316 [GMT 2:00]
執行位置: C:\Documents and Settings\user\桌面\ComboFix.exe
Command switches used :: C:\Documents and Settings\user\桌面\CFScript_naheulbeuk.txt
* 已建立新的還原點

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\360rpt.exe
C:\WINDOWS\system32\360Safe.exe
C:\WINDOWS\system32\360tray.exe
C:\WINDOWS\system32\adam.exe
C:\WINDOWS\system32\AgentSvr.exe
C:\WINDOWS\system32\AppSvc32.exe
C:\WINDOWS\system32\auto.exe
C:\WINDOWS\system32\AutoRun.exe
C:\WINDOWS\system32\autoruns.exe
C:\WINDOWS\system32\avgrssvc.exe
C:\WINDOWS\system32\AvMonitor.exe
C:\WINDOWS\system32\avp.com
C:\WINDOWS\system32\avp.exe
C:\WINDOWS\system32\CCenter.exe
C:\WINDOWS\system32\ccSvcHst.exe
C:\WINDOWS\system32\cross.exe
C:\WINDOWS\system32\enc98.EXE
C:\WINDOWS\system32\FileDsty.exe
C:\WINDOWS\system32\FTCleanerShell.exe
C:\WINDOWS\system32\guangd.exe
C:\WINDOWS\system32\HijackThis.exe
C:\WINDOWS\system32\IceSword.exe
C:\WINDOWS\system32\iparmo.exe
C:\WINDOWS\system32\Iparmor.exe
C:\WINDOWS\system32\isPwdSvc.exe
C:\WINDOWS\system32\kabaload.exe
C:\WINDOWS\system32\KaScrScn.SCR
C:\WINDOWS\system32\KASMain.exe
C:\WINDOWS\system32\KASTask.exe
C:\WINDOWS\system32\KAV32.exe
C:\WINDOWS\system32\KAVDX.exe
C:\WINDOWS\system32\KAVPFW.exe
C:\WINDOWS\system32\KAVSetup.exe
C:\WINDOWS\system32\KAVStart.exe
C:\WINDOWS\system32\KISLnchr.exe
C:\WINDOWS\system32\KMailMon.exe
C:\WINDOWS\system32\KMFilter.exe
C:\WINDOWS\system32\KPFW32.exe
C:\WINDOWS\system32\KPFW32X.exe
C:\WINDOWS\system32\KPFWSvc.exe
C:\WINDOWS\system32\KRegEx.exe
C:\WINDOWS\system32\KRepair.COM
C:\WINDOWS\system32\KsLoader.exe
C:\WINDOWS\system32\KVCenter.kxp
C:\WINDOWS\system32\KvDetect.exe
C:\WINDOWS\system32\KvfwMcl.exe
C:\WINDOWS\system32\KVMonXP.kxp
C:\WINDOWS\system32\KVMonXP_1.kxp
C:\WINDOWS\system32\kvol.exe
C:\WINDOWS\system32\kvolself.exe
C:\WINDOWS\system32\KvReport.kxp
C:\WINDOWS\system32\KVSrvXP.exe
C:\WINDOWS\system32\KVStub.kxp
C:\WINDOWS\system32\kvupload.exe
C:\WINDOWS\system32\KVwsc.exe
C:\WINDOWS\system32\KvXP.kxp
C:\WINDOWS\system32\KWatch.exe
C:\WINDOWS\system32\KWatch9x.exe
C:\WINDOWS\system32\KWatchX.exe
C:\WINDOWS\system32\loaddll.exe
C:\WINDOWS\system32\MagicSet.exe
C:\WINDOWS\system32\mcconsol.exe
C:\WINDOWS\system32\mmqczj.exe
C:\WINDOWS\system32\mmsk.exe
C:\WINDOWS\system32\NAVSetup.exe
C:\WINDOWS\system32\nod32kui.exe
C:\WINDOWS\system32\PFW.exe
C:\WINDOWS\system32\PFWLiveUpdate.exe
C:\WINDOWS\system32\QHSET.exe
C:\WINDOWS\system32\QQDoctor.exe
C:\WINDOWS\system32\Ras.exe
C:\WINDOWS\system32\Rav.exe
C:\WINDOWS\system32\RavMon.exe
C:\WINDOWS\system32\RAVmonD.exe
C:\WINDOWS\system32\RavStub.exe
C:\WINDOWS\system32\RavTask.exe
C:\WINDOWS\system32\RegClean.exe
C:\WINDOWS\system32\rfwcfg.exe
C:\WINDOWS\system32\RfwMain.exe
C:\WINDOWS\system32\rfwProxy.exe
C:\WINDOWS\system32\rfwsrv.exe
C:\WINDOWS\system32\RsAgent.exe
C:\WINDOWS\system32\Rsaupd.exe
C:\WINDOWS\system32\runiep.exe
C:\WINDOWS\system32\safelive.exe
C:\WINDOWS\system32\SCAN32.exe
C:\WINDOWS\system32\SDGames.exe
C:\WINDOWS\system32\shcfg32.exe
C:\WINDOWS\system32\ShuiNiu.exe
C:\WINDOWS\system32\SmartUp.exe
C:\WINDOWS\system32\sos.exe
C:\WINDOWS\system32\SREng.exe
C:\WINDOWS\system32\svch0st.exe
C:\WINDOWS\system32\symlcsvc.exe
C:\WINDOWS\system32\SysSafe.exe
C:\WINDOWS\system32\Systom.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\TNT.exe
C:\WINDOWS\system32\TrojanDetector.exe
C:\WINDOWS\system32\Trojanwall.exe
C:\WINDOWS\system32\TrojDie.kxp
C:\WINDOWS\system32\TxoMoU.exe
C:\WINDOWS\system32\UFO.exe
C:\WINDOWS\system32\UIHost.exe
C:\WINDOWS\system32\UmxAgent.exe
C:\WINDOWS\system32\UmxAttachment.exe
C:\WINDOWS\system32\UmxCfg.exe
C:\WINDOWS\system32\UmxFwHlp.exe
C:\WINDOWS\system32\UmxPol.exe
C:\WINDOWS\system32\UpLive.exe
C:\WINDOWS\system32\WoptiClean.exe
C:\WINDOWS\system32\XP.exe
C:\WINDOWS\system32\zxsweep.exe
.

(((((((((((((((((((((((((((((((((((((( 其他遭刪除的檔案 ))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\taskmgr.exe

.
(((((((((((((((((((((((((((( 2008-05-03 - 2008-06-03 之間建立的檔案 )))))))))))))))))))))))))))))))))
.

2008-06-02 12:44 . 2008-06-02 12:44 <DIR> d-------- C:\_OTMoveIt
2008-06-01 18:46 . 2008-06-01 18:46 <DIR> d-------- C:\Program Files\SUPERAntiSpyware
2008-06-01 18:46 . 2008-06-01 18:46 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-06-01 18:46 . 2008-06-01 18:46 <DIR> d-------- C:\Documents and Settings\user\Application Data\SUPERAntiSpyware.com
2008-06-01 18:46 . 2008-06-01 18:46 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-05-29 16:40 . 2006-09-06 17:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-29 16:29 . 2008-05-29 16:29 <DIR> d-------- C:\Program Files\Common Files\Download Manager
2008-05-28 16:16 . 2008-05-28 16:16 <DIR> d-------- C:\fsaua.data
2008-05-28 15:49 . 2008-05-28 15:49 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-28 15:46 . 2008-06-03 16:26 <DIR> d-------- C:\SDFix
2008-05-28 13:37 . 2008-06-02 19:32 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-28 13:23 . 2008-05-28 13:23 <DIR> d-------- C:\Program Files\CCleaner
2008-05-27 18:45 . 2004-08-05 14:00 25,088 --a------ C:\WINDOWS\system32\userinit.exe
2008-05-26 03:04 . 2006-02-14 16:02 32,768 --a------ C:\WINDOWS\system32\drivers\sisnicxp.sys
2008-05-25 12:47 . 2008-05-25 12:47 <DIR> d-------- C:\Documents and Settings\user\Application Data\Malwarebytes
2008-05-25 12:29 . 1982-05-25 15:58 <DIR> d-------- C:\Program Files\Inventel
2008-05-25 00:58 . 2008-05-20 23:38 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-05-25 00:58 . 2008-05-20 23:38 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-05-24 15:39 . 2008-05-24 15:39 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-24 14:30 . 2008-05-24 14:30 <DIR> d-------- C:\Deckard
2008-05-23 20:15 . 2008-05-29 18:57 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-05-23 14:39 . 2008-05-29 16:23 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-23 13:57 . 2008-05-23 13:57 <DIR> d-------- C:\My Music
2008-05-23 13:53 . 2008-05-23 13:53 108,336 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-05-23 13:52 . 2008-05-23 13:52 44,544 --a------ C:\WINDOWS\system32\drivers\lcpjpi.sys
2008-05-23 13:17 . 2008-05-23 13:17 <DIR> d-------- C:\Program Files\Avira
2008-05-23 13:17 . 2008-05-23 13:17 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-09 18:39 . 2008-05-28 15:04 121 --a------ C:\time.bat
2008-05-09 15:25 . 2008-05-09 15:25 268 --ah----- C:\sqmdata07.sqm
2008-05-09 15:25 . 2008-05-09 15:25 244 --ah----- C:\sqmnoopt07.sqm
2008-05-08 20:15 . 2008-05-23 14:03 404 --a------ C:\WINDOWS\system32\WAFKPTXBGKPT.LDO
2008-05-08 19:50 . 1982-05-26 11:52 24 --a------ C:\WINDOWS\system32\pzwmaime.sys
2008-05-08 19:50 . 1982-05-26 11:52 24 --a------ C:\WINDOWS\system32\pzwlaime.sys
2008-05-08 19:46 . 2008-05-08 19:46 256 --a------ C:\WINDOWS\system32\msosfmsq.dat
2008-05-08 18:01 . 2008-05-08 18:01 268 --ah----- C:\sqmdata06.sqm
2008-05-08 18:01 . 2008-05-08 18:01 244 --ah----- C:\sqmnoopt06.sqm
2008-05-07 22:40 . 2008-05-07 22:40 268 --ah----- C:\sqmdata05.sqm
2008-05-07 22:40 . 2008-05-07 22:40 244 --ah----- C:\sqmnoopt05.sqm
2008-05-03 23:07 . 2008-05-03 23:07 268 --ah----- C:\sqmdata04.sqm
2008-05-03 23:07 . 2008-05-03 23:07 244 --ah----- C:\sqmnoopt04.sqm
2008-05-03 22:52 . 2008-05-03 22:52 268 --ah----- C:\sqmdata03.sqm
2008-05-03 22:52 . 2008-05-03 22:52 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((((( 近三個月內更動的檔案 )))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 16:10 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-29 23:06 34,296 ----a-w C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-29 23:06 15,864 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2008-05-29 09:46 --------- d-----w C:\Program Files\Tencent
2008-05-27 13:38 --------- d-----w C:\Program Files\TTPlayer
2008-05-27 13:36 --------- d-----w C:\Program Files\SogouInput
2008-05-27 13:35 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-05-27 13:35 --------- d-----w C:\Program Files\EbayShop
2008-05-27 13:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Storm
2008-04-25 12:20 41,984 ----a-w C:\WINDOWS\system32\drivers\AdProt.sys
2008-04-25 12:17 --------- d-----w C:\Documents and Settings\user\Application Data\Tencent
2008-04-25 12:17 --------- d-----w C:\Documents and Settings\LocalService\Application Data\TENCENT
2008-04-24 15:09 --------- d-----w C:\Documents and Settings\user\Application Data\QQDoctor
2008-04-22 10:50 --------- d-----w C:\Documents and Settings\user\Application Data\BITS
2008-04-18 21:58 --------- d-----w C:\Documents and Settings\user\Application Data\Sierra
2008-04-18 21:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\WildTangent
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
1982-05-26 09:52 1,378 ----a-w C:\Program Files\key.txt
2004-08-08 13:34 1,040 --sh--w C:\WINDOWS\system32\fxwmbime.sys
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2006-01-13 04:28 359808 537f2982b94ee78f3d12415aae6c10b8 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 b4e29943b4b04bd5e7381546848e6669 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2008-02-10 16:15 360064 01307b76a916a8f6d1f1452744ba7ad6 C:\WINDOWS\system32\backup\tcpip.sys
2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\system32\dllcache\tcpip.sys
2007-10-30 19:20 360064 34a663e7f74ae8b2c992c2513343477e C:\WINDOWS\system32\drivers\tcpip.sys

2005-03-02 20:11 2056576 7ef6b668225e360e1ea0b93332695f60 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2007-02-28 18:06 2059008 50efb1208fa0f0d61a3e08f1ee416011 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2007-02-28 18:02 2057216 c48071f7e65731bd5e30b4267bfeb6bd C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2005-03-02 20:06 2056448 06c8012c1359b3f1d7da5e636e09f27f C:\WINDOWS\SoftwareDistribution\Download\b0d85704174aa9c1b1e76540b179a520\sp2gdr\ntkrnlpa.exe
2005-03-02 20:11 2056576 7ef6b668225e360e1ea0b93332695f60 C:\WINDOWS\SoftwareDistribution\Download\b0d85704174aa9c1b1e76540b179a520\sp2qfe\ntkrnlpa.exe
2007-02-28 18:02 2057216 c48071f7e65731bd5e30b4267bfeb6bd C:\WINDOWS\SoftwareDistribution\Download\b369a9ee634d10e67e4b32f9d2284161\sp2gdr\ntkrnlpa.exe
2007-02-28 18:06 2059008 50efb1208fa0f0d61a3e08f1ee416011 C:\WINDOWS\SoftwareDistribution\Download\b369a9ee634d10e67e4b32f9d2284161\sp2qfe\ntkrnlpa.exe
2007-02-28 18:02 2057216 c48071f7e65731bd5e30b4267bfeb6bd C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
.
((((((((((((((((((((((((((((( snapshot_2008-06-02_11.02.12.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-02 08:57:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-03 18:16:21 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-05-27 01:11:56 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-06-01 17:12:42 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
- 2008-05-28 13:49:29 4,947,968 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-06-03 14:15:37 5,234,688 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
- 2008-05-28 13:49:29 16,384 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-06-03 14:15:37 16,384 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
- 2008-04-18 16:00:10 99,048 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-06-03 18:16:15 99,048 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
(((((((((((((((((((((((((((((((((((((((((( 重要登錄檔 )))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*注意* 空白或合法的登錄值將不會顯示.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-04-15 02:00 15360]
"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-13 12:43 1510640]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\CTFMON.EXE" [2006-04-15 02:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.xivd"= C:\Program Files\StormII\codec\xvidvfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^「开始」菜单^程序^启动^金山网镖 2006.lnk]
path=C:\Documents and Settings\All Users\「开始」菜单\程序\启动\金山网镖 2006.lnk
backup=C:\WINDOWS\pss\金山网镖 2006.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^user^「开始」菜单^程序^启动^PPS.lnk]
path=C:\Documents and Settings\user\「开始」菜单\程序\启动\PPS.lnk
backup=C:\WINDOWS\pss\PPS.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^user^「开始」菜单^程序^启动^QQ游戏启动加速程序.lnk]
path=C:\Documents and Settings\user\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk
backup=C:\WINDOWS\pss\QQ游戏启动加速程序.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^user^「开始」菜单^程序^启动^腾讯QQ.lnk]
path=C:\Documents and Settings\user\「开始」菜单\程序\启动\腾讯QQ.lnk
backup=C:\WINDOWS\pss\腾讯QQ.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Program Files\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PPS Accelerator]
E:\PPStream\ppsap.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QQDownload]
C:\Program Files\Tencent\QQDownload\QQDownload.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 QKeyService;QKeyServiceDisplay;C:\WINDOWS\system32\KeyCrypt.sys [2007-07-22 16:33]
R1 KWatch3;KWatch3;C:\WINDOWS\system32\drivers\KWatch3.SYS [2005-12-06 10:24]
R2 ccosm;Contrl Center of Storm Media;C:\Program Files\StormII\stormliv.exe [2008-05-28 16:57]
R3 DFE528TX;D-Link DFE-528TX PCI Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTL.SYS [2002-06-24 06:30]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 16:02]
S1 ADProt;ADProt;C:\WINDOWS\system32\drivers\ADProt.sys [2008-04-25 14:20]
S2 applications;Windows Presentation Foundation (WPF);C:\WINDOWS\System32\svchost.exe [2006-04-15 02:00]
S3 047671;047671;C:\WINDOWS\system32\drivers\047671.sys [2007-06-13 09:58]
S3 TesSafe;TesSafe;C:\WINDOWS\system32\TesSafe.sys [2008-04-06 15:17]
S4 中国制造荣誉出品;中国制造荣誉出品;C:\WINDOWS\system32\exe2.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
applications REG_MULTI_SZ applications

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 20:17:10
Windows 5.1.2600 Service Pack 2 NTFS

掃描隱藏的程序 ...

掃描隱藏的進程 ...

掃描隱藏的檔案 ...

C:\WINDOWS\system32\taskmgr.exe 122880 bytes executable

掃描完成
隱藏檔案: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\-N齎6R 恈儔婜Q罷]
"ImagePath"="C:\WINDOWS\system32\exe2.exe"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
完成時間: 2008-06-03 20:20:35 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-03 18:20:27
ComboFix2.txt 2008-06-03 16:23:51
ComboFix3.txt 2008-06-02 09:02:40
ComboFix4.txt 2008-05-29 09:52:45
ComboFix5.txt 2008-05-28 15:13:00

11 个目录 13,578,330,112 可用字节
12 个目录 13,572,497,408 可用字节

304 --- E O F --- 2008-05-29 17:02:16

naheulbeuk

Posté le 03/06/2008 20:41:21

héhé bien joué, cette fois c'est bon :super:

Suppression des outils :

Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner-34055291-avis-opinion(...)

# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
Tutorial ici : http://bibou0007.com/tutos-f45/tutorial-toolscleaner-2-t375.htm

Supprime tous les rapports qui sont apparus lors des divers scans

Edite ton premier post avec < inclued picture >

et mets [resolu] devant le titre de ton sujet.

Voici quelques liens pour des conseils en sécurité :

Mon site Web sur la sécurité informatique !
Comment protéger son PC pour éviter d'être infecté ?

Prends le temps de les lire car elles sont très enréchissantes.

Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapporte ton infection :
- Voir les règles de Malware-Complaints
- Enregistre sur le forum à partir du bouton register en haut :
Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10&sid=0ea0981a2025873f(...)

Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10

au plaisir et bonne continuation :hello:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

Yangxiao

Posté le 04/06/2008 00:29:23

Re bonsoir,

et voila le rapport de toolscleaner

-->- Recherche:

C:\Qoobox: trouv?!
C:\_OtMoveIt: trouv?!
C:\Deckard\System Scanner\backup\DOCUME~1\user\LOCALS~1\Temp\~tsqafnr.tmp\HijackThis.exe: trouv?!
C:\Documents and Settings\All Users\「开始」菜单\程序\HijackThis: trouv?!
C:\Documents and Settings\All Users\「开始」菜单\程序\HijackThis\HijackThis.lnk: trouv?!
C:\Documents and Settings\user\Recent\HijackThis.lnk: trouv?!
C:\Documents and Settings\user\桌面\SdFix.exe: trouv?!
C:\Documents and Settings\user\桌面\ComboFix.exe: trouv?!
C:\Documents and Settings\user\桌面\HJTInstall.exe: trouv?!
C:\Program Files\Trend Micro\HijackThis: trouv?!
C:\QooBox\Quarantine\C\Qoobox: trouv?!
C:\QooBox\Quarantine\C\QooBox\Quarantine\C\Qoobox: trouv?!
C:\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\Qoobox: trouv?!
C:\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\Qoobox: trouv?!
C:\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\Qoobox: trouv?!
C:\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\Qoobox: trouv?!
C:\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\QooBox\Quarantine\C\Qoobox: trouv?!

---------------------------------
-->- Suppression:

C:\Deckard\System Scanner\backup\DOCUME~1\user\LOCALS~1\Temp\~tsqafnr.tmp\HijackThis.exe: supprim?!
C:\Documents and Settings\All Users\「开始」菜单\程序\HijackThis\HijackThis.lnk: supprim?!
C:\Documents and Settings\user\Recent\HijackThis.lnk: supprim?!
C:\Documents and Settings\user\桌面\SdFix.exe: supprim?!
C:\Documents and Settings\user\桌面\ComboFix.exe: supprim?!
C:\Documents and Settings\user\桌面\HJTInstall.exe: supprim?!
C:\Qoobox: supprim?!
C:\_OtMoveIt: supprim?!
C:\Documents and Settings\All Users\「开始」菜单\程序\HijackThis: supprim?!
C:\Program Files\Trend Micro\HijackThis: supprim?!

Corbeille vid閑!

Voila enfin termine!! il ne me reste plus qu'a reinstaller un antivirus et
c'est parfait je pense que mon petit frere va etre content

Et enfin je vous remercie d'avoir consacre votre temps pour moi, et qui
m'a permis ainsi de resoudre la quasi totalite du problem de ce PC :jap:

j'avoue j'en ai bien chier :pt1cable:

(vu que vous avez repris le relai
je sais pas si vous avez lu ce que j'ai du faire a la 1ere page :lol:

)
Encore heureux que j'avais du materiel, sinon ca partait en Formatage
complet et adieu Windows XP professionel version chinois

Bonne continuation a vous aussi.

PS: Ah oui juste pour savoir comment on désactive et supprimer tous les anciens
restauration du systeme puis le réactivé ? ^^

-->Message édité par Yangxiao le 04/06/2008 01:42:43<--

naheulbeuk

Posté le 04/06/2008 09:01:41

tiens :
http://www.site-naheulbeuk.com/desinfection.php#restauration_systeme

bonne journée :super:

-------
Visitez mon site sur la sécurité informatique : http://www.site-naheulbeuk.com
Et son forum : http://www.site-naheulbeuk.com/forum/

1 2 3

[sélection] Téléchargement : les dix meilleurs logiciels de la semaine

[banc d'essai] Le classement des fournisseurs d'accès à Internet (2 au 8 octobre)

[bureautique] La version définitive d'OpenOffice.org 3.0 à télécharger

[très haut-débit] Fibre optique : les règles du jeu sont fixées

[desktops] Chez Packard Bell, l'achat d'un PC à 499 euros donne droit à une Xbox 360 à 30 euros

[pc] L'Eee Box d'Asus fourni avec virus

[jeu vidéo] Ça va sortir : James Bond, Quantum of Solace

[microsoft] RIM pourrait être une proie tentante pour Microsoft