High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Infecté par IEXPLORE.EXE et Tinyproxy.exe

Dernière réponse le 18 mar 2009 à 17:17:14 mouffe, le 13 jan 2009 à 05:52:14 
 Signaler ce message aux modérateurs

Bonjour,

Voilà, un processus IEXPLORE.EXE se lance au démarrage de Windows, sans que mon navigateur ne soit ouvert, ce qui me semble plus que louche.......

De plus, ma navigation est désormais impossible. Je suis constamment redirigé vers de nombreux sites sans rapport avec ce que je veux visiter...... Le processus Tintproxy.exe est dans mon gestionnaitre des tâches et selon google est le responsable de ces tracas. INFECTION ??

Besoin d'aide s.v.p.

Merci d'avance.

Configuration: Windows XP sp2
Internet explorer v ??

Meilleures réponses pour « Infecté par IEXPLORE.EXE et Tinyproxy.exe » dans :
Infection virus iexplorer.exe Voir
[virus] iexplore.exe Voir
Iexplore - iexplore.exe Voir iexplore - iexplore.exe Le processus iexplore.exe (iexplore signifiant Internet Explorer) est un processus de Windows correspondant au navigateur Internet Explorer. Le processus iexplore n'est en aucun cas un Virus résident, un ver, un cheval de...
Posez votre question Répondre

1

mouffe, le 13 jan 2009 à 06:00:26

Juste une petite précision,
C'est mon coloc qui est infecté, mais j'utilise mon ordinateur pour le premier post (je veux lui donner un coup de main et j'ai déjà mon inscription dans ce forum alors ça explique pourquoi je ne connais pas sa version d'explorer). Moi j'utilise Firefox :)........

Pour la suite (rapports Hijackthis etc...), j'utiliserai sa machine infectée pour les scans et la suite.

À bientôt.

   
Répondre à mouffe

2

chimay8, le 13 jan 2009 à 06:25:11

Bonjour,

- Télécharge TrendMicro™ HijackThis™ de Merijn(prog de diagnostic) sur ton bureau.
- Cette version est sans installateur! ( Zip à décompresser )
- Enregistre le sur ton bureau.

-A l'installation,
****Place le dans son répertoire par défaut, c'est à dire : C:\program files***

Important : Sous Vista, clic droit sur le fichier Hijackthis.exe ou sur le raccourci, Propriétés, Onglet Compatibilité, cocher :
"Exécuter ce programme en tant qu'administrateur"

installer hijackthis correctement:
http://www.pcentraide.com/index.php?showtopic=89046

*** Ferme toute les fenêtres ouvertes , et déconnecte toi du web***

- Double-clique dessus
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur "Do a scan and save log file".
- Le rapport s'ouvre sur le Bloc-Note.
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
- ** ne pas fixer de lignes sans notre avis **
Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
En image
Bouh!! Les méchants virus...

   
Répondre à chimay8

3

mouffe, le 13 jan 2009 à 06:57:54

Bonjour ou bonsoir (je suis Canadien alors je ne sais trop)

merci pour la réponse rapide. Voilà le rapport de Hijackthis. (renommé et tout....)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:53:49, on 2009-01-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\tintinyproxyy\tinyproxy.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9090
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {1CCF45E2-956F-4E4D-B648-2A5682932D7A} - C:\WINDOWS\system32\rqRLebXQ.dll (file missing)
O2 - BHO: (no name) - {3078FADF-0BC4-4D0A-99CA-33990748670C} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {77AB59B4-55A3-4737-9FD5-B93C64307F78} - C:\WINDOWS\system32\fgswsrkd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {F30B1B0B-C305-414E-A4FF-AC93A08DE0AC} - C:\WINDOWS\system32\tuvTmNEv.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs: ppabvg.dll dzzktv.dll iqpykm.dll agajie.dll nalpsl.dll ngjani.dll
O20 - Winlogon Notify: tuvTmNEv - tuvTmNEv.dll (file missing)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NLA (Network Location Awareness) (Nla) - Unknown owner - C:\Program Files\tintinyproxyy\tinyproxy.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
End of file - 6192 bytes

À +++

   
Répondre à mouffe

31

 fifou, le 18 mar 2009 à 17:17:14

Bonjour
voici mon rapport pouvez-vous me dire que faut-il que je fasse merci

Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

   
Répondre à fifou

4

chimay8, le 13 jan 2009 à 07:32:59

C'est plutôt le matin ici ;)

y a du vundo

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

**Désactive les logiciels de protection** (Antivirus, Antispywares) puis :
deconnecte toi d'internet,ferme tout les programmes

Double-clique sur combofix,si il te demande d'installer la console,fais le(voir plus bas)
ensuite,
il va te poser une question, réponds par la touche 1 et entrée pour valider.
ne touche plus à rien, même pas ta souris!!

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

-----------------------------------------------------

installer la Console de Récupération sur ton pc(cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection.)

Clique sur le lien ci-dessous pour aller sur le site Web de Microsoft:

http://support.microsoft.com/kb/310994

descend jusqu'à "Téléchargement du fichier programme des disquettes d'installation" et clique sur le téléchargement correspondant à ta version de Windows XP (Édition familiale ou Professionnel) et au Service Pack que tu as installé.
**note: pour le SP3 charge le Service Pack 2
pour Windows XP Media Center charge XP Pro Service Pack 2.

enregistre le sur ton bureau.

fais un glisser/déposer du fichier sur l'icone de combofix comme ceci
http://img.bleepingcomputer.com/combofix/usage/rc.gif

Combofix va installer la console de récupération sur ton pc

a la fin de l'installation,combofix va afficher un message qui te signale que la console est installée.

--------------------------------------------------------------------- Bouh!! Les méchants virus...

   
Répondre à chimay8

5

mouffe, le 13 jan 2009 à 07:55:09

Petit problème,
Incapable d'installer combofix ( indique que des fichiers sont corrompus ??). Un autre lien pour le programme ?

   
Répondre à mouffe

6

chimay8, le 13 jan 2009 à 08:09:45

Non,le lien est bon

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Avant de telecharger clic sur enregistrer renomme le en killbagle et enregistre le sur le bureau

puis continue la procédure


dis moi si cela fonctionne Bouh!! Les méchants virus...

   
Répondre à chimay8

7

mouffe, le 13 jan 2009 à 08:18:59

Some files are corrupted.
Please download a fresh copy and try the installation again........

Même en renommant en Killbagle....... WTF ?? :)
En passant j'utilise ton lien pour ne pas que tu penses que.............. (LOL)

   
Répondre à mouffe

8

chimay8, le 13 jan 2009 à 08:22:54

Mmmm!


zut,dommage

fais ceci stp

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton Bureau.
http://www.malwarebytes.org/

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : http://www.malekal.com/download/comctl32.ocx )

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications n'apporte aucune modification aux réglages par défaut et en fin d'installation, vérifie que les options "Update Malwarebytes' Anti-Malware" et "Launch Malwarebytes' Anti-Malware" soit cochées.
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.
La fenêtre principale de MBAM s'affiche :
Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
MBAM analyse ton ordinateur.
L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
Si des malwares sont détectés, leur liste s'affiche.
***EN CLIQUANT SUR SUPPRESSION(?)FAIT LE*** , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
Ferme MBAM en cliquant sur Quitter.
Poste le rapport dans ta réponse Bouh!! Les méchants virus...

   
Répondre à chimay8

9

mouffe, le 13 jan 2009 à 08:48:47

Salut,
Là je pense que le problème est BEAUCOUP plus grave que prévu......
Impossible d'installer ce programme non plus. Même message de fichiers corrompus. Alors là je pense que c'est plutôt le Windows de mon coloc qui est vachement corrompu !! (LOL)

As-tu déjà rencontré ce type de problèmes ? QUeeeeeee faire ?? Ca sent le formatage là......

Et ce qu'on s'amuse.. (je ne suis pas infecté moi !!) LOL

AH oui, au dernier redémarrage, je me suis rendu compte qu'il y a maintenant 3 IEXPLORE.EXE dans le gestionnaire !!
Ça se multiplie !!
À ++

   
Répondre à mouffe

10

chimay8, le 13 jan 2009 à 08:59:41

Arff

ça pue le trojan tibs alias TDSS

je vais t'envoyer une manip à faire
mais je te l'envoie par MP
(clique sur l'enveloppe à droite,tout en haut de la page, sous ton pseudo!) Bouh!! Les méchants virus...

   
Répondre à chimay8

11

mouffe, le 13 jan 2009 à 09:18:18

Juste à titre d'information,

Mon coloc a fait un scan avec NOD32 hier et le programme aurait trouvé jusqu'à 16 infections alors j'imagine qu'elle ne sont pas toutes erradiquées, de la façon dont se comporte son ordinateur.... ) LMAO

Par contre, je n'ai pas vu les résultats du scan alors je ne peux t'en dire d'avantage. Seulement je pense qu'on a du pain sur la planche !!

   
Répondre à mouffe

12

chimay8, le 13 jan 2009 à 09:20:39

Oui,
mais des que je saurai ce que c'est
ca va ch*** pour leur matricules

Télécharge Rooter de l'équipe IDN sur ton bureau :
http://eric.71.mespages.googlepages.com/Rooter.exe

/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

~> Exécute Rooter et laisse travailler l'outil .

~> Une fois terminé, poste le rapport obtenu. Bouh!! Les méchants virus...

   
Répondre à chimay8

13

mouffe, le 13 jan 2009 à 09:33:58

Re-salut,

Il commence à se faire tard ici, mais j'ai trop de plaisir pour aller me coucher !!

Voici le rapport demandé sur l'ordinateur de mon "pirate" de coloc !!.....


Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.66GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : yanick lussier ( Administrator )
BOOT : Normal boot

Antivirus : ESET NOD32 Antivirus 3.0 3.0 (Not Activated)


C:\ (Local Disk) - NTFS - Total:74 Go (Free:49 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
F:\ (CD or DVD)

2009-01-13| 3:27

----------------------\\ Search..

C:\WINDOWS\system32\QXbeLRqr.ini
C:\WINDOWS\system32\QXbeLRqr.ini2
[b]==> VUNDO <==/b

----------------------\\ Cracks & Keygens..

C:\DOCUME~1\YANICK~1\Application Data\uTorrent\windows vista ultimat integral avec crack et cover.torrent
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Cover Windows Vista dition Int‚grale
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Crack Activation Windows Vista dition Int‚grale
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Windows Vista dition Int‚grale (Iso Alcohol)
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Cover Windows Vista dition Int‚grale\(CD) Windows Vista dition Int‚grale.jpg
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Cover Windows Vista dition Int‚grale\Thumbs.db
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Cover Windows Vista dition Int‚grale\Windows Vista dition Int‚grale.jpg
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Crack Activation Windows Vista dition Int‚grale\Instal Crack.doc
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Windows Vista dition Int‚grale (Iso Alcohol)\LRMCFRE_FR_DVD.mdf
C:\DOCUME~1\YANICK~1\Mes documents\Downloads\windows vista ultimat integral avec crack et cover\Windows Vista dition Int‚grale (Iso Alcohol)\LRMCFRE_FR_DVD.mds
C:\DOCUME~1\YANICK~1\Mes documents\programme\windows vista\Crack Activation Windows Vista dition Int‚grale
C:\DOCUME~1\YANICK~1\Mes documents\programme\windows vista\Crack Activation Windows Vista dition Int‚grale\Instal Crack.doc
C:\DOCUME~1\YANICK~1\Mes documents\programme\windows vista\Crack Activation Windows Vista dition Int‚grale\VAT_setup.exe


1 - "C:\Rooter$\Rooter_1.txt" - 2009-01-13| 3:28

----------------------\\ Scan completed at 3:28

   
Répondre à mouffe

14

chimay8, le 13 jan 2009 à 09:49:03

Bien

on remercie au passage les cracks qui ont lancé la merdouille!!


Télécharge OTMoveIt3( de Old Timer )
http://oldtimer.geekstogo.com/OTMoveIt3.exe
Une fois téléchargé double-clique sur OTMoveIt3.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" est cochée
Copie les lignes(qui sont en gras) qui se trouvent en dessous :

:Processes
explorer.exe

:Files
C:\WINDOWS\system32\QXbeLRqr.ini
C:\WINDOWS\system32\QXbeLRqr.ini2


:Commands
[emptytemp]
[start explorer]
[Reboot]

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
Clique sur "MoveIt!" pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
-Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau. Bouh!! Les méchants virus...

   
Répondre à chimay8

15

mouffe, le 13 jan 2009 à 10:03:04

Voilà,
On avance.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\system32\QXbeLRqr.ini moved successfully.
C:\WINDOWS\system32\QXbeLRqr.ini2 moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_764.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01132009_035712

À + pour la suite

   
Répondre à mouffe

16

chimay8, le 13 jan 2009 à 10:05:48

Ok,

essaye de lancer combofix stp Bouh!! Les méchants virus...

   
Répondre à chimay8

17

mouffe, le 13 jan 2009 à 10:51:11

Voici le log de combofix tel que demandé.......

ComboFix 09-01-11.04 - yanick lussier 2009-01-13 4:33:26.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1527.1227 [GMT -5:00]
Lancé depuis: c:\documents and settings\yanick lussier\Bureau\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated)
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\program files\tintinyproxyy\tinyproxy.exe
c:\windows\kernel32.exe
c:\windows\system32\agajie.dll
c:\windows\system32\agylcong.dll
c:\windows\system32\cgtptyqw.dll
c:\windows\system32\drivers\seneka.sys
c:\windows\system32\drivers\senekaxbfpxmkx.sys
c:\windows\system32\dzzktv.dll
c:\windows\system32\eKTuFfhk.ini
c:\windows\system32\eygderqb.dll
c:\windows\system32\fgswsrkd.dll
c:\windows\system32\imflanes.dll
c:\windows\system32\iqpykm.dll
c:\windows\system32\jgnhqgeo.ini
c:\windows\system32\jrpapguq.dll
c:\windows\system32\nalpsl.dll
c:\windows\system32\ngjani.dll
c:\windows\system32\nwdtpjia.dll
c:\windows\system32\pgcqrmcq.dll
c:\windows\system32\ppabvg.dll
c:\windows\system32\prunnet.exe
c:\windows\system32\senekakbymsnav.dll
c:\windows\system32\tuvUopom.dll
c:\windows\system32\xfooymdw.dll
c:\windows\system32\yvlvwcho.dll

----- BITS: Il y a peut-être des sites infectés -----

hxxp://b9n.org
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SENEKA
-------\Legacy_NLA_(NETWORK_LOCATION_AWARENESS)_(NLA)_
-------\Service_NLA (Network Location Awareness) (Nla)


((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
.

2009-01-13 03:57 . 2009-01-13 03:57 <REP> d-------- C:\_OTMoveIt
2009-01-13 03:27 . 2009-01-13 03:28 <REP> d-------- C:\Rooter$
2009-01-13 00:48 . 2009-01-13 00:48 <REP> d-------- c:\program files\Trend Micro
2009-01-12 21:42 . 2009-01-12 21:42 211 --a------ c:\windows\wininit.ini
2009-01-12 20:56 . 2009-01-12 20:58 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-12 20:56 . 2009-01-12 20:59 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-12 20:31 . 2009-01-12 20:31 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\Nero
2009-01-12 20:26 . 2009-01-12 20:26 <REP> d-------- c:\program files\Nero
2009-01-12 20:26 . 2009-01-12 20:27 <REP> d-------- c:\program files\Fichiers communs\Nero
2009-01-12 20:26 . 2009-01-12 20:26 <REP> d-------- c:\documents and settings\All Users\Application Data\Nero
2009-01-12 01:13 . 2009-01-12 01:13 <REP> d-------- c:\windows\system32\LogFiles
2009-01-10 22:44 . 2009-01-11 20:16 69 --a------ c:\windows\NeroDigital.ini
2009-01-09 22:47 . 2009-01-12 22:34 1,905 --a------ c:\windows\diagwrn.xml
2009-01-09 22:47 . 2009-01-12 22:34 1,905 --a------ c:\windows\diagerr.xml
2009-01-09 22:34 . 2009-01-09 22:34 <REP> d-------- c:\program files\DAEMON Tools
2009-01-09 18:53 . 2009-01-09 18:53 <REP> d-------- c:\program files\Alcohol Soft
2009-01-09 01:03 . 2009-01-13 04:35 <REP> d-------- c:\program files\tintinyproxyy
2009-01-09 00:33 . 2006-03-02 07:00 25,088 --a------ c:\windows\system32\stus.exe
2009-01-08 19:21 . 2009-01-08 19:21 293 --a------ C:\win32upd.exe
2009-01-08 19:18 . 2009-01-08 19:18 <REP> d-------- c:\windows\Sun
2008-12-26 19:32 . 2006-03-02 07:00 221,184 --a------ c:\windows\system32\wmpns.dll
2008-12-25 16:39 . 2008-12-25 16:39 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\vlc
2008-12-19 06:38 . 2008-12-19 06:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2008-12-19 06:17 . 2009-01-11 00:28 <REP> d-------- c:\documents and settings\yanick lussier\Shared
2008-12-19 06:17 . 2009-01-11 00:28 <REP> d-------- c:\documents and settings\yanick lussier\Incomplete
2008-12-19 06:16 . 2008-12-27 22:17 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\LimeWire
2008-12-19 05:37 . 2008-12-19 05:36 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-19 05:10 . 2008-12-19 05:10 <REP> d-------- c:\program files\ESET
2008-12-19 05:10 . 2008-12-19 05:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET
2008-12-19 05:09 . 2008-12-19 05:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-19 05:08 . 2008-12-19 05:09 <REP> d-------- c:\program files\LimeWire
2008-12-19 05:08 . 2008-12-19 05:36 <REP> d-------- c:\program files\Java
2008-12-19 05:08 . 2008-12-19 05:08 <REP> d-------- c:\program files\Fichiers communs\Java
2008-12-19 05:03 . 2008-12-19 05:05 <REP> d-------- c:\windows\Internet Logs
2008-12-19 04:48 . 2008-12-27 20:35 <REP> d-------- c:\program files\eMule
2008-12-19 04:47 . 2008-12-19 04:47 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\DAEMON Tools
2008-12-19 04:47 . 2008-12-19 04:47 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-19 04:45 . 2008-12-19 04:45 <REP> d-------- c:\program files\uTorrent
2008-12-19 04:45 . 2009-01-12 21:43 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\uTorrent
2008-12-19 04:44 . 2008-12-19 04:44 <REP> d-------- c:\program files\Yahoo!
2008-12-19 04:44 . 2008-12-19 04:44 <REP> d-------- c:\program files\VideoLAN
2008-12-19 04:44 . 2008-12-19 04:44 <REP> d-------- c:\program files\Ares
2008-12-19 04:43 . 2008-12-19 04:43 <REP> d-------- c:\program files\K-Lite Codec Pack
2008-12-19 04:43 . 2008-12-19 04:43 <REP> d-------- c:\program files\DVD Shrink
2008-12-19 04:43 . 2008-12-19 04:44 <REP> d-------- c:\program files\CCleaner
2008-12-19 04:43 . 2008-12-19 04:43 <REP> d-------- c:\documents and settings\All Users\Application Data\DVD Shrink
2008-12-19 04:40 . 2004-11-01 20:04 167,936 -ra------ c:\windows\system32\igfxres.dll
2008-12-19 04:33 . 2008-12-19 04:33 <REP> d-------- c:\program files\Realtek AC97
2008-12-19 04:33 . 2005-07-22 01:56 18,763,776 -ra------ c:\windows\system32\ALSNDMGR.CPL
2008-12-19 04:32 . 2004-11-01 20:17 2,289,664 -ra------ c:\windows\system32\ialmgicd.dll
2008-12-19 04:31 . 2008-12-19 04:31 <REP> d-------- c:\program files\Intel
2008-12-19 04:22 . 2008-12-19 04:22 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-19 04:01 . 2009-01-12 03:33 <REP> d-------- c:\program files\Fichiers communs\Ahead
2008-12-19 04:00 . 2008-12-19 04:33 <REP> d--h----- c:\program files\InstallShield Installation Information
2008-12-19 04:00 . 2008-12-19 04:32 <REP> d-------- c:\program files\Fichiers communs\InstallShield
2008-12-19 04:00 . 2008-12-19 04:00 <REP> d-------- c:\program files\CyberLink DVD Solution
2008-12-19 04:00 . 2004-10-01 15:00 40,960 --a------ c:\program files\Uninstall_CDS.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-19 08:33 --------- d-----w c:\program files\microsoft frontpage
2008-12-19 08:31 --------- d-----w c:\program files\Services en ligne
2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"ares"="c:\program files\Ares\Ares.exe" [2007-07-16 961536]
"PowerBar"="c:\program files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 86016]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 1688872]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-11-01 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-01 126976]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-19 136600]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-09-14 157592]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\eMule\\emule.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-02-20 33800]
R4 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2007-12-21 468224]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{1CCF45E2-956F-4E4D-B648-2A5682932D7A} - c:\windows\system32\rqRLebXQ.dll
BHO-{3078FADF-0BC4-4D0A-99CA-33990748670C} - (no file)
BHO-{77AB59B4-55A3-4737-9FD5-B93C64307F78} - c:\windows\system32\fgswsrkd.dll
BHO-{F30B1B0B-C305-414E-A4FF-AC93A08DE0AC} - c:\windows\system32\tuvTmNEv.dll
ShellExecuteHooks-{F30B1B0B-C305-414E-A4FF-AC93A08DE0AC} - c:\windows\system32\tuvTmNEv.dll
Notify-tuvTmNEv - tuvTmNEv.dll


.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local;<local>
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 04:36:47
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Fichiers communs\Nero\Lib\NMIndexingService.exe
c:\windows\system32\wscntfy.exe
c:\windows\SoftwareDistribution\Download\8d1470bed452b5d6aa1e9ba186868288\update\update.exe
c:\windows\SoftwareDistribution\Download\9c06474eecd82d62769df810138d093c\update\update.exe
.
**************************************************************************
.
Heure de fin: 2009-01-13 4:39:11 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-13 09:39:05

Avant-CF: 53,280,481,280 octets libres
Après-CF: 53,693,464,576 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

203 --- E O F --- 2008-12-19 08:40:44

Autre chose après ce rootkit ?

   
Répondre à mouffe

18

chimay8, le 13 jan 2009 à 11:17:51

Wow,

beau travail de combofix

vire le dossier Qoobox qui est sur le C:/

ensuite

http://www.commentcamarche.net/forum/affich 10468890 infecte par iexplore exe et tinyproxy exe?#8

poste ensuite un nouveau rapport Hijack avec stp
merci Bouh!! Les méchants virus...

   
Répondre à chimay8

19

mouffe, le 13 jan 2009 à 11:28:25

Salut,
En effet, Combofix a supprimé plusieurs dll's dans windows. J'appelle même plus ça corrompu rendu là !!
Bon ben le lit m'appelle pour l'instant (5h du matin ici ...)

Je vais faire la manipulation du #8 et poster le rapport et un HJT plus tard dans MA journée !!

Bonne journée à toi.

Merci.

À ++

   
Répondre à mouffe

20

mouffe, le 13 jan 2009 à 20:20:19

Salut,
Voici le rapport de MBAM (il y avait bel et bien du TDSS !!).

Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1648
Windows 5.1.2600 Service Pack 2

2009-01-13 14:11:24
mbam-log-2009-01-13 (14-11-24).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 62611
Temps écoulé: 7 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\R­P13\A0005227.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005192.sys (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005206.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005208.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005210.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005211.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005212.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005213.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005215.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005216.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005217.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005218.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005220.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005221.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005222.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005223.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005224.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005225.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B0909D8-DD2F-4611-A1E7-43D8B266E7D7}\RP13\A0005228.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\win32upd.exe (Trojan.Agent) -> Quarantined and deleted successfully.

et un scan HJT neuf:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:19:34, on 2009-01-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
End of file - 5299 bytes


À ++

   
Répondre à mouffe

21

chimay8, le 13 jan 2009 à 21:32:46

Re,

vérifie si ce programme est encore là

c:\program files\tintinyproxyy

si oui poubelle


Copie le texte ci-dessous :


File::
c:\windows\system32\stus.exe



Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports. Bouh!! Les méchants virus...

   
Répondre à chimay8

22

mouffe, le 13 jan 2009 à 21:47:49

Salut,

Voici les 2 rapports:

ComboFix 09-01-11.04 - yanick lussier 2009-01-13 15:38:37.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.1527.1154 [GMT -5:00]
Lancé depuis: c:\documents and settings\yanick lussier\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\yanick lussier\Bureau\CFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
.

2009-01-13 14:00 . 2009-01-13 14:01 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-13 14:00 . 2009-01-13 14:00 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\Malwarebytes
2009-01-13 14:00 . 2009-01-13 14:00 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 14:00 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-13 14:00 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-13 04:38 . 2009-01-13 04:39 1,374 --a------ c:\windows\imsins.BAK
2009-01-13 03:57 . 2009-01-13 03:57 <REP> d-------- C:\_OTMoveIt
2009-01-13 03:27 . 2009-01-13 03:28 <REP> d-------- C:\Rooter$
2009-01-13 00:48 . 2009-01-13 00:48 <REP> d-------- c:\program files\Trend Micro
2009-01-12 21:42 . 2009-01-12 21:42 211 --a------ c:\windows\wininit.ini
2009-01-12 20:56 . 2009-01-12 20:58 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-12 20:56 . 2009-01-12 20:59 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-12 20:31 . 2009-01-12 20:31 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\Nero
2009-01-12 20:26 . 2009-01-12 20:26 <REP> d-------- c:\program files\Nero
2009-01-12 20:26 . 2009-01-12 20:27 <REP> d-------- c:\program files\Fichiers communs\Nero
2009-01-12 20:26 . 2009-01-12 20:26 <REP> d-------- c:\documents and settings\All Users\Application Data\Nero
2009-01-12 01:13 . 2009-01-12 01:13 <REP> d-------- c:\windows\system32\LogFiles
2009-01-10 22:44 . 2009-01-11 20:16 69 --a------ c:\windows\NeroDigital.ini
2009-01-09 22:47 . 2009-01-12 22:34 1,905 --a------ c:\windows\diagwrn.xml
2009-01-09 22:47 . 2009-01-12 22:34 1,905 --a------ c:\windows\diagerr.xml
2009-01-09 22:34 . 2009-01-09 22:34 <REP> d-------- c:\program files\DAEMON Tools
2009-01-09 18:53 . 2009-01-09 18:53 <REP> d-------- c:\program files\Alcohol Soft
2009-01-09 00:33 . 2006-03-02 07:00 25,088 --a------ c:\windows\system32\stus.exe
2009-01-08 19:18 . 2009-01-08 19:18 <REP> d-------- c:\windows\Sun
2008-12-26 19:32 . 2006-03-02 07:00 221,184 --a------ c:\windows\system32\wmpns.dll
2008-12-25 16:39 . 2008-12-25 16:39 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\vlc
2008-12-19 06:38 . 2008-12-19 06:38 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion
2008-12-19 06:17 . 2009-01-11 00:28 <REP> d-------- c:\documents and settings\yanick lussier\Shared
2008-12-19 06:17 . 2009-01-11 00:28 <REP> d-------- c:\documents and settings\yanick lussier\Incomplete
2008-12-19 06:16 . 2008-12-27 22:17 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\LimeWire
2008-12-19 05:37 . 2008-12-19 05:36 410,984 --a------ c:\windows\system32\deploytk.dll
2008-12-19 05:10 . 2008-12-19 05:10 <REP> d-------- c:\program files\ESET
2008-12-19 05:10 . 2008-12-19 05:10 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET
2008-12-19 05:09 . 2008-12-19 05:36 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-19 05:08 . 2008-12-19 05:09 <REP> d-------- c:\program files\LimeWire
2008-12-19 05:08 . 2008-12-19 05:36 <REP> d-------- c:\program files\Java
2008-12-19 05:08 . 2008-12-19 05:08 <REP> d-------- c:\program files\Fichiers communs\Java
2008-12-19 05:03 . 2008-12-19 05:05 <REP> d-------- c:\windows\Internet Logs
2008-12-19 04:48 . 2008-12-27 20:35 <REP> d-------- c:\program files\eMule
2008-12-19 04:47 . 2008-12-19 04:47 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\DAEMON Tools
2008-12-19 04:47 . 2008-12-19 04:47 717,296 --a------ c:\windows\system32\drivers\sptd.sys
2008-12-19 04:45 . 2008-12-19 04:45 <REP> d-------- c:\program files\uTorrent
2008-12-19 04:45 . 2009-01-12 21:43 <REP> d-------- c:\documents and settings\yanick lussier\Application Data\uTorrent
2008-12-19 04:44 . 2008-12-19 04:44 <REP> d-------- c:\program files\Yahoo!
2008-12-19 04:44 . 2008-12-19 04:44 <REP> d-------- c:\program files\VideoLAN
2008-12-19 04:44 . 2008-12-19 04:44 <REP> d-------- c:\program files\Ares
2008-12-19 04:43 . 2008-12-19 04:43 <REP> d-------- c:\program files\K-Lite Codec Pack
2008-12-19 04:43 . 2008-12-19 04:43 <REP> d-------- c:\program files\DVD Shrink
2008-12-19 04:43 . 2008-12-19 04:44 <REP> d-------- c:\program files\CCleaner
2008-12-19 04:43 . 2008-12-19 04:43 <REP> d-------- c:\documents and settings\All Users\Application Data\DVD Shrink
2008-12-19 04:40 . 2004-11-01 20:04 167,936 -ra------ c:\windows\system32\igfxres.dll
2008-12-19 04:33 . 2008-12-19 04:33 <REP> d-------- c:\program files\Realtek AC97
2008-12-19 04:33 . 2005-07-22 01:56 18,763,776 -ra------ c:\windows\system32\ALSNDMGR.CPL
2008-12-19 04:32 . 2004-11-01 20:17 2,289,664 -ra------ c:\windows\system32\ialmgicd.dll
2008-12-19 04:31 . 2008-12-19 04:31 <REP> d-------- c:\program files\Intel
2008-12-19 04:22 . 2008-12-19 04:22 13,646 --a------ c:\windows\system32\wpa.bak
2008-12-19 04:01 . 2009-01-12 03:33 <REP> d-------- c:\program files\Fichiers communs\Ahead
2008-12-19 04:00 . 2008-12-19 04:33 <REP> d--h----- c:\program files\InstallShield Installation Information
2008-12-19 04:00 . 2008-12-19 04:32 <REP> d-------- c:\program files\Fichiers communs\InstallShield
2008-12-19 04:00 . 2008-12-19 04:00 <REP> d-------- c:\program files\CyberLink DVD Solution
2008-12-19 04:00 . 2004-10-01 15:00 40,960 --a------ c:\program files\Uninstall_CDS.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-19 08:33 --------- d-----w c:\program files\microsoft frontpage
2008-12-19 08:31 --------- d-----w c:\program files\Services en ligne
2008-10-23 13:00 283,648 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]
"ares"="c:\program files\Ares\Ares.exe" [2007-07-16 961536]
"PowerBar"="c:\program files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 86016]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 1688872]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-11-01 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-11-01 126976]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-19 136600]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-09-14 157592]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"msacm.imc"= imc32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\eMule\\emule.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-02-20 33800]
R4 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2007-12-21 468224]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local;<local>
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:39:44
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-01-13 15:40:52
ComboFix-quarantined-files.txt 2009-01-13 20:40:50
ComboFix2.txt 2009-01-13 09:39:16

Avant-CF: 53 156 487 168 octets libres
Après-CF: 53,151,891,456 octets libres

146 --- E O F --- 2009-01-13 10:24:48


HJT maintenant:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:22, on 2009-01-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
End of file - 5357 bytes


À +

   
Répondre à mouffe

23

chimay8, le 13 jan 2009 à 22:38:49

c'est important

Lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer.
Fermer Spybot-S&D.
aide

Tu le réactiveras une fois que nous auront terminé la désinfection ( et pas avant ! ) .
Attention , à ce moment là, Spybot te demandera des modifs de registres :
tu les accepteras toutes ! ...

Assure toi que la case "Unregister Dll's and Ocx's" est cochée
Copie les lignes(qui sont en gras) qui se trouvent en dessous :

:Processes
explorer.exe

:Files
c:\windows\system32\stus.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

et colle-les dans le cadre de gauche de OTMoveIt : "Paste List Of Files/Folders to Move."
Clique sur "MoveIt!" pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
-Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître, dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi sur l'onglet "Processus". Clique en haut à gauche sur "Fichiers" et choisis "Exécuter"
Tape "explorer.exe"(sans les guillemèts) et valide. Cela fera réapparaître le Bureau. Bouh!! Les méchants virus...

   
Répondre à chimay8

24

mouffe, le 13 jan 2009 à 22:51:02

Voilà,

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
c:\windows\system32\stus.exe moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_788.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01132009_164540


À +

   
Répondre à mouffe

25

chimay8, le 13 jan 2009 à 23:11:57

Bien,

relance hijack(scan only) et coche ces lignes

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

clic sur fix checked

ensuite

Télécharge ToolsCleaner sur ton bureau.
-->
http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

# Clique sur "Recherche" et laisse le scan agir ...
# Clique sur "Suppression" pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ensuite

Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
http://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

ensuite

fais un scan avec nod32 pour voir stp Bouh!! Les méchants virus...

   
Répondre à chimay8

26

mouffe, le 13 jan 2009 à 23:23:28

Voila le rapport de Toolscleaner

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\yanick lussier\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\yanick lussier\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\yanick lussier\Bureau\OTMoveIt3.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\yanick lussier\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\yanick lussier\Bureau\HJTInstall.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\yanick lussier\Bureau\OTMoveIt3.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !


Je m'occupe de Ccleaner maintenant.

   
Répondre à mouffe

27

mouffe, le 14 jan 2009 à 20:01:37

Salut,

Voici les resultats de mon dernier scan avec NOD32. Rien à signaler.

Scan Log
Version of virus signature database: 3760 (20090112)
Date: 2009-01-13 Time: 17:31:38
Scanned disks, folders and files: C:\
C:\hiberfil.sys - error opening [4]
C:\pagefile.sys - error opening [4]
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AntiSpywareMaster.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\AntiSpywareMaster.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\IRCcrt.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\IRCcrt.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\IRCcrt1.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\IRCcrt1.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\IRCcrt2.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\IRCcrt2.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterdisabled.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde1.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde1.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde2.zip » ZIP » eKTuFfhk.ini2 - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde2.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde3.zip » ZIP » QXbeLRqr.ini2 - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde3.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde4.zip » ZIP » QXbeLRqr.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde4.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde5.zip » ZIP » bqredgye.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde5.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde6.zip » ZIP » dfqkslov.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde6.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde7.zip » ZIP » upcamrrp.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde7.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde8.zip » ZIP » qugpaprj.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumonde8.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll.zip » ZIP » tuvTmNEv.dll - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll1.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll1.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll2.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll2.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll3.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll3.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll4.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll4.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll5.zip » ZIP » rqRLebXQ.dll - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondedll5.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondeprx.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondeprx.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondeprx1.zip » ZIP » oegqhngj.dll - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondeprx1.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci1.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci1.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci2.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci2.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci3.zip » ZIP » sbRecovery.reg - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesci3.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesdn.zip » ZIP » hnlnxy.dll - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesdn.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesdn1.zip » ZIP » dmhkhmux.dll - error - password-protected file
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\Virtumondesdn1.zip » ZIP » sbRecovery.ini - error - password-protected file
C:\Documents and Settings\LocalService\NTUSER.DAT - error opening [4]
C:\Documents and Settings\LocalService\ntuser.dat.LOG - error opening [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening [4]
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening [4]
C:\Documents and Settings\NetworkService\NTUSER.DAT - error opening [4]
C:\Documents and Settings\NetworkService\ntuser.dat.LOG - error opening [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening [4]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening [4]
C:\Documents and Settings\yanick lussier\NTUSER.DAT - error opening [4]
C:\Documents and Settings\yanick lussier\NTUSER.DAT.LOG - error opening [4]
C:\Documents and Settings\yanick lussier\Bureau\ccsetup215.exe » NSIS » ytb.exe » NSIS » file.bin - error - unknown compression method
C:\Documents and Settings\yanick lussier\Bureau\ccsetup215.exe » NSIS » ytb.exe » NSIS » file.bin - error - unknown compression method
C:\Documents and Settings\yanick lussier\Bureau\ccsetup215.exe » NSIS » ytb.exe » NSIS » file.bin » NSIS » file.bin - error - unknown compression method
C:\Documents and Settings\yanick lussier\Bureau\ccsetup215.exe » NSIS » ytb.exe » NSIS » file.bin » NSIS » file.bin - error - unknown compression method
C:\Documents and Settings\yanick lussier\Bureau\pilotesXPacer.rar » RAR » pilotes XP acer\7-carte reseau\Linux\Driver\tg3-3.77d.tar.gz » GZIP » tg3-3.77d.tar » TAR » tg3-3.77d/ChangeLog » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Bureau\pilotesXPacer.rar » RAR » pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\esp\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Bureau\pilotesXPacer.rar » RAR » pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\ita\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Bureau\pilotesXPacer.rar » RAR » pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\ptb\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Bureau\pilotesXPacer.rar » RAR » pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\ptg\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Bureau\pilotesXPacer.rar » RAR » pilotes XP acer\VGA_Intel_6.14.10.4497\Win2000\oemdspif.dll - archive damaged - the file could not be extracted.
C:\Documents and Settings\yanick lussier\Local Settings\Application Data\Identities\{33AFB133-DE68-4780-9205-AE28463DBAE6}\Microsoft\Outlook Express\Boîte de réception.dbx » DBX - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat - error opening [4]
C:\Documents and Settings\yanick lussier\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG - error opening [4]
C:\Documents and Settings\yanick lussier\Mes documents\Downloads\silent hill homecoming\silent hill homecoming.rar » RAR » silent hill homecoming\Bin\g_SilentHill.sgl - archive damaged - the file could not be extracted.
C:\Documents and Settings\yanick lussier\Mes documents\programme\pilotes XP acer\7-carte reseau\Linux\Driver\tg3-3.77d.tar.gz » GZIP » tg3-3.77d.tar » TAR » tg3-3.77d/ChangeLog » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Mes documents\programme\pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\esp\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Mes documents\programme\pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\ita\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Mes documents\programme\pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\ptb\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Mes documents\programme\pilotes XP acer\VGA_Intel_6.14.10.4497\Lang\ptg\license.txt » MIME - is OK (internal scanning not performed)
C:\Documents and Settings\yanick lussier\Mes documents\programme\windows vista\Crack Activation Windows Vista Édition Intégrale\VAT_setup.exe » ZIP » AutoPlay/autorun.cdd » ZIP » _detect.dat - error - password-protected file
C:\Documents and Settings\yanick lussier\Mes documents\programme\windows vista\Crack Activation Windows Vista Édition Intégrale\VAT_setup.exe » ZIP » AutoPlay/autorun.cdd » ZIP » _proj.dat - error - password-protected file
C:\Documents and Settings\yanick lussier\Mes documents\programme\windows vista\Crack Activation Windows Vista Édition Intégrale\VAT_setup.exe » ZIP » AutoPlay/autorun.cdd » ZIP » _fonts.dat - error - password-protected file
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/deploy/ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - is OK (internal scanning not performed)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Fichiers communs\Java\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre1.6.0_02\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre1.6.0_02\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre1.6.0_02\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre1.6.0_02\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}/chrome.manifest » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre6\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre6\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre6\lib\resources.jar » ZIP » javax/xml/bind/Messages.properties » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre6\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}/chrome.manifest » MIME - is OK (internal scanning not performed)
C:\Program Files\Java\jre6\lib\deploy\jqs\ff\chrome.manifest » MIME - is OK (internal scanning not performed)
C:\Program Files\MSN\MSNCoreFiles\Install\MSN9Components\Msncli.exe » CAB » license.txt » MIME - is OK (internal scanning not performed)
C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img » GZIP » - archive damaged
C:\Program Files\Nero\Nero8\Nero Burning Rom\CDI\CDI_VCD.CFG » MIME - is OK (internal scanning not performed)
C:\WINDOWS\$hf_mig$\KB898461\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\08fcc408139b43fa0e9fa6d9360a7752\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\287a58cb69d3630207800fd4dd011739\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\3785f1ad0230e231b0e7dc1f4bb81cd1\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\46faa4cd5c82200be099d1b1e8a12eed\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\4c72f6556ac763ca9bc84c4cf674a87f\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\5f51a5d334ac80a2988bd8848bc695cb\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\7c43cf31471ac5c8600409a70e40c22f\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\8d1470bed452b5d6aa1e9ba186868288\msncli.exe » CAB » license.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\8d1470bed452b5d6aa1e9ba186868288\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\ad9c4c2a779933f83b51a49a2c88838d\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\d3c181d971d83bacdf1ae12100584248\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\e5d795a521bde1cfc36d064ae624a591\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\e842bca2d27f55f2e29bd72d55d48298\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\edcc3f7164a381fb0912c47bc6b94ca4\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\SoftwareDistribution\Download\f3f2705b5fdfd9264b7123a2d283e06d\update\eula.txt » MIME - is OK (internal scanning not performed)
C:\WINDOWS\system32\CatRoot2\edb.log - error opening [4]
C:\WINDOWS\system32\CatRoot2\edbtmp.log - error opening [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - error opening [4]
C:\WINDOWS\system32\config\default - error opening [4]
C:\WINDOWS\system32\config\default.LOG - error opening [4]
C:\WINDOWS\system32\config\SAM - error opening [4]
C:\WINDOWS\system32\config\SAM.LOG - error opening [4]
C:\WINDOWS\system32\config\SECURITY - error opening [4]
C:\WINDOWS\system32\config\SECURITY.LOG - error opening [4]
C:\WINDOWS\system32\config\software - error opening [4]
C:\WINDOWS\system32\config\software.LOG - error opening [4]
C:\WINDOWS\system32\config\system - error opening [4]
C:\WINDOWS\system32\config\system.LOG - error opening [4]
C:\WINDOWS\system32\drivers\sptd.sys - error opening [4]
Number of scanned objects: 124951
Number of threats found: 0
Time of completion: 17:46:09 Total scanning time: 871 sec (00:14:31)

Notes:
[4] Object cannot be opened. It may be in use by another application or operating system.


À ++

   
Répondre à mouffe

28

chimay8, le 14 jan 2009 à 20:05:16

Supprime Combofix ainsi :
~>Clique sur " Démarrer " ~> " Exécuter "( ou combine la touche Windows + R ) -> copie/colle cette ligne :

ComboFix /u

( laisse l'espace entre Combofix et /u )

~>Valide .

***très important***

Suppression des points de restauration :
1.Ouvre le Menu Démarrer
2.Clique-droit sur Poste de travail
3.Clique sur Propriétés
4.Positionne-toi dans l'onglet Restauration du système
5.Coche "Désactiver la restauration système"
6.Valide par Ok
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3
9.Décoche "Désactiver la restauration système"
10.Valide par Ok

sous vista
http://www.01net.com/article/349586.html
http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista


Ne pas oublier de créer un nouveau point de restauration en procédant comme indiqué sur le lien ci dessous

http://www.vulgarisation-informatique.com/creer-point-restauration.php


si tu n as pas d autres soucis change le statut du sujet en resolu stp

Bouh!! Les méchants virus...

   
Répondre à chimay8

29

mouffe, le 14 jan 2009 à 20:23:13

Salut,
Merci beacoup de ton aide Chimay8. C'est très apprécié, et tout me semble A1. Très sympa en plus !!

Je mets le statut résolu (et de belle façon !!)


Bonne soirée à toi.

   
Répondre à mouffe

30

chimay8, le 14 jan 2009 à 20:59:09

Ok,
bon surf et prudence
@+ Bouh!! Les méchants virus...

   
Répondre à chimay8
Posez votre question Répondre
Ils ont besoin de votre aide