Signaler

Supprimer trojan [Résolu]

Posez votre question yoyo - Dernière réponse le 9 oct. 2010 à 02:47
Bonjour a tous

j'ai un trojan impossible a supprimer : TR/Agent.564800

HEEEEEEEELP !!!!!!!!

je laisse mon rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:42:15, on 06/10/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.live.com/?mkt=en-us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Gadwin PrintScreen 3.1] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'Default user')
O4 - Startup: setup_9.0.0.722_04.10.2010_04-33.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: PokerStars.fr - {90EAE591-7E7E-434a-8E28-ECFD00071806} - C:\Program Files\PokerStars.FR\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Unknown owner - c:\Program Files\Norton Internet Security\ISSVC.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SAVScan - Unknown owner - c:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe (file missing)
Afficher la suite 
Utile
+0
moins plus
non je n'ai pas eu le temps de l'installer
Ajouter un commentaire
Utile
+0
moins plus
bon

on fait une restauration systeme à une date la plus proche possible mais avant l'heure du plantage

http://www.commentcamarche.net/...
Ajouter un commentaire
Utile
+0
moins plus
je vais essayer de le redemarrer et d'installer rapidement list killem et combofix
Ajouter un commentaire
Utile
+0
moins plus
non

http://www.commentcamarche.net/forum/affich-19408229-supprimer-trojan?page=3#58
Ajouter un commentaire
Utile
+0
moins plus
au redemarrage les ports USB sont revenus, j'execute list killem ?

puis combofix, mais si j'ai pas de connexion c'est peut etre risqué ?
Ajouter un commentaire
Utile
+0
moins plus
allons y pour killem

combofix on attends

Ajouter un commentaire
Utile
+0
moins plus
tu m'as l'air depité !!!!!!!! :s
moment de grace 29060Messages postés samedi 6 décembre 2008Date d'inscription Contributeur sécuritéStatut 18 juillet 2013 Dernière intervention - 8 oct. 2010 à 01:16
moi non..

mais j'aimerai bien qu'internet fonctionne
Répondre
Ajouter un commentaire
Utile
+0
moins plus
je n ai pas de rapport list killem
Ajouter un commentaire
Utile
+0
moins plus
si tu n'as toujours pas internet

essaie ceci
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore

ou bien encore

Télécharge Zeb Restore
http://telechargement.zebulon.fr/zeb-restore.html
Zeb-Restore est un petit utilitaire de restauration de clés de la base de registre. Le but du programme n'est pas de restaurer l'ensemble du système mais uniquement les points les plus souvent touchés afin de solutionner différents problèmes qui peuvent revenir de façon récurrente.

Voici les éléments qui peuvent être restaurés : coche les lignes en gras
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le Bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg. Pif.cmd.scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
Ajouter un commentaire
Utile
+0
moins plus
c'est le rapport combofix que tu attends et pas celui de list killem.
je teste la connexion internet et j'envois combofix
tu m'avais dit d'attendre pour combofix
moment de grace 29060Messages postés samedi 6 décembre 2008Date d'inscription Contributeur sécuritéStatut 18 juillet 2013 Dernière intervention - 8 oct. 2010 à 01:47
attends pour combofix

et essayons d'avoir internet avant
Répondre
Ajouter un commentaire
Utile
+0
moins plus
et bien tjrs le meme probleme recurant, pas de connexion.

TCP/IP n'est pas activé pour cette connexion
Ajouter un commentaire
Utile
+0
moins plus
bon fait combofix comme indiqué ici http://www.commentcamarche.net/forum/affich-19408229-supprimer-trojan?page=2#41
Ajouter un commentaire
Utile
+0
moins plus
j'ai l'impression que list killem ne fonctionne pas. je l'ai peut etre mal installé.

et pour combofix j'ai pas de connexion donc pas de console de recuperation.
moment de grace 29060Messages postés samedi 6 décembre 2008Date d'inscription Contributeur sécuritéStatut 18 juillet 2013 Dernière intervention - 8 oct. 2010 à 02:13
tant pis pour la console, continue
Répondre
Ajouter un commentaire
Utile
+0
moins plus
je ne peux pas reactiver le TCP/IP ?
Ajouter un commentaire
Utile
+0
moins plus
si tu sais comment oui fais le

sinon fais combofix

CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Ajouter un commentaire
Utile
+0
moins plus
combofix me detecte norton internet security qui faisait parti de l'ordi quand je l'ai acheté, et que j'avais supprimé des l'achat.
moment de grace 29060Messages postés samedi 6 décembre 2008Date d'inscription Contributeur sécuritéStatut 18 juillet 2013 Dernière intervention - 8 oct. 2010 à 02:51
http://www.commentcamarche.net/...
Répondre
Ajouter un commentaire
Utile
+0
moins plus
voici le rapport combofix:

ComboFix 10-10-07.01 - HP_Propriétaire 08/10/2010 3:16.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.226 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ps2.bat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((((((((( Fichiers créés du 2010-09-08 au 2010-10-08 ))))))))))))))))))))))))))))))))))))
.

2010-10-07 23:17 . 2010-10-08 00:04 -------- d-----w- c:\program files\List_Kill'em
2010-10-07 21:54 . 2010-10-07 21:54 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-10-07 20:27 . 2010-10-08 01:25 840192 ----a-w- c:\windows\system32\drivers\ylerzlej.sys
2010-10-07 16:41 . 2010-10-07 16:41 4325 ----a-w- C:\UsbFix_Upload_Me_YOANN.zip
2010-10-07 16:36 . 2010-10-07 16:41 -------- d-----w- C:\UsbFix
2010-10-07 15:14 . 2010-10-07 19:19 -------- d-----w- c:\program files\ZHPDiag
2010-10-07 14:50 . 2010-10-07 15:10 -------- d-----w- c:\program files\Ad-Remover
2010-10-06 20:41 . 2010-10-06 20:41 -------- d-----w- c:\program files\Trend Micro
2010-10-06 13:41 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-06 13:41 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-06 12:39 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\56632172.sys
2010-10-06 12:39 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\5663217.sys
2010-10-06 12:39 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\56632171.sys
2010-09-22 03:12 . 2010-10-08 01:25 565248 ----a-w- c:\windows\system32\drivers\kqmcbixr.sys
2010-09-20 17:36 . 2010-10-02 12:53 -------- d-----w- c:\program files\PokerStars.FR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 22:42 . 2007-02-06 04:33 58216 ----a-w- c:\windows\system32\perfc040.dat
2010-10-03 22:42 . 2007-02-06 04:33 433972 ----a-w- c:\windows\system32\perfh040.dat
2010-10-03 22:42 . 2004-11-23 21:26 94990 ----a-w- c:\windows\system32\perfc00C.dat
2010-10-03 22:42 . 2004-11-23 21:26 530202 ----a-w- c:\windows\system32\perfh00C.dat
2010-10-01 19:47 . 2010-01-31 19:04 -------- d-----w- c:\program files\PokerStars
2010-08-17 13:17 . 2004-08-05 18:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2004-08-05 18:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen 3.1"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2005-09-27 1073152]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2006-01-24 7094272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-03 98304]

c:\documents and settings\HP_Propri'taire\Menu D'marrer\Programmes\D'marrage\
setup_9.0.0.722_04.10.2010_04-33.lnk - c:\documents and settings\HP_Propri'taire\Bureau\securit'\Virus Removal Tool\setup_9.0.0.722_04.10.2010_04-33\startup.exe [2010-10-6 72208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"navapsvc"=2 (0x2)
"Fax"=3 (0x3)
"Boonty Games"=3 (0x3)
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"WOOKIT"=c:\progra~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PCDrProfiler"=
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe"
"Picasa Media Detector"=c:\program files\Picasa2\PicasaMediaDetector.exe
"PS2"=c:\windows\system32\ps2.exe
"Recguard"=c:\windows\SMINST\RECGUARD.EXE
"WOOTASKBARICON"=c:\progra~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
"AlcxMonitor"=ALCXMNTR.EXE
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\system32\\lsass.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13693:TCP"= 13693:TCP:NortonAV
"13116:TCP"= 13116:TCP:NortonAV
"16519:TCP"= 16519:TCP:NortonAV

R0 56632172;56632172 Boot Guard Driver;c:\windows\system32\drivers\56632172.sys [06/10/2010 14:39 37392]
R1 56632171;56632171;c:\windows\system32\drivers\56632171.sys [06/10/2010 14:39 128016]
R1 setup_9.0.0.722_04.10.2010_04-33drv;setup_9.0.0.722_04.10.2010_04-33drv;c:\windows\system32\drivers\5663217.sys [06/10/2010 14:39 315408]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 04:42 108289]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [01/12/2009 16:49 34384]
S3 999ef29d900f8ef2;999ef29d900f8ef2;\??\c:\windows\TEMP\612023701183 --> c:\windows\TEMP\612023701183 [?]
S3 cc67c00fa9718e47;cc67c00fa9718e47;\??\c:\windows\TEMP\600024886dc0 --> c:\windows\TEMP\600024886dc0 [?]
S3 MODRC;DiBcom Infrared Receiver;c:\windows\system32\DRIVERS\modrc.sys --> c:\windows\system32\DRIVERS\modrc.sys [?]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - kqmcbixr
*Deregistered* - ylerzlej
.
.
------- Examen supplémentaire -------
.
IE: &Traduire à partir de l'anglais - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ota8yfne.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKU-Default-Run-AVG7_Run - c:\progra~1\Grisoft\AVGFRE~1\avgw.exe
HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe



[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\999ef29d900f8ef2]
"ImagePath"="\??\c:\windows\TEMP\612023701183"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cc67c00fa9718e47]
"ImagePath"="\??\c:\windows\TEMP\600024886dc0"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kqmcbixr]
Ajouter un commentaire
Utile
+0
moins plus
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

kqmcbixr
ylerzlej



Rootkit::

c:\windows\system32\drivers\ylerzlej.sys
c:\windows\system32\drivers\kqmcbixr.sys



* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
Ajouter un commentaire
Utile
+0
moins plus
ComboFix 10-10-07.01 - HP_Propriétaire 08/10/2010 4:03.2.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.446.170 [GMT 2:00]
Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\HP_Propriétaire\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Norton Internet Security *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KQMCBIXR
-------\Legacy_YLERZLEJ
-------\Service_kqmcbixr
-------\Service_ylerzlej


((((((((((((((((((((((((((((( Fichiers créés du 2010-09-08 au 2010-10-08 ))))))))))))))))))))))))))))))))))))
.

2010-10-07 23:17 . 2010-10-08 00:04 -------- d-----w- c:\program files\List_Kill'em
2010-10-07 21:54 . 2010-10-07 21:54 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-10-07 20:27 . 2010-10-08 02:09 840192 ----a-w- c:\windows\system32\drivers\ylerzlej.sys
2010-10-07 16:41 . 2010-10-07 16:41 4325 ----a-w- C:\UsbFix_Upload_Me_YOANN.zip
2010-10-07 16:36 . 2010-10-07 16:41 -------- d-----w- C:\UsbFix
2010-10-07 15:14 . 2010-10-07 19:19 -------- d-----w- c:\program files\ZHPDiag
2010-10-07 14:50 . 2010-10-07 15:10 -------- d-----w- c:\program files\Ad-Remover
2010-10-06 20:41 . 2010-10-06 20:41 -------- d-----w- c:\program files\Trend Micro
2010-10-06 13:41 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-10-06 13:41 . 2010-10-06 13:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-06 13:41 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-06 12:39 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\56632172.sys
2010-10-06 12:39 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\5663217.sys
2010-10-06 12:39 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\56632171.sys
2010-09-22 03:12 . 2010-10-08 02:09 565248 ----a-w- c:\windows\system32\drivers\kqmcbixr.sys
2010-09-20 17:36 . 2010-10-02 12:53 -------- d-----w- c:\program files\PokerStars.FR

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-03 22:42 . 2007-02-06 04:33 58216 ----a-w- c:\windows\system32\perfc040.dat
2010-10-03 22:42 . 2007-02-06 04:33 433972 ----a-w- c:\windows\system32\perfh040.dat
2010-10-03 22:42 . 2004-11-23 21:26 94990 ----a-w- c:\windows\system32\perfc00C.dat
2010-10-03 22:42 . 2004-11-23 21:26 530202 ----a-w- c:\windows\system32\perfh00C.dat
2010-10-01 19:47 . 2010-01-31 19:04 -------- d-----w- c:\program files\PokerStars
2010-08-17 13:17 . 2004-08-05 18:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-07-22 15:48 . 2004-08-05 18:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadwin PrintScreen 3.1"="c:\program files\Gadwin Systems\PrintScreen\PrintScreen.exe" [2005-09-27 1073152]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2006-01-24 7094272]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-03 98304]

c:\documents and settings\HP_Propri'taire\Menu D'marrer\Programmes\D'marrage\
setup_9.0.0.722_04.10.2010_04-33.lnk - c:\documents and settings\HP_Propri'taire\Bureau\securit'\Virus Removal Tool\setup_9.0.0.722_04.10.2010_04-33\startup.exe [2010-10-6 72208]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"navapsvc"=2 (0x2)
"Fax"=3 (0x3)
"Boonty Games"=3 (0x3)
"AVGEMS"=2 (0x2)
"Avg7UpdSvc"=2 (0x2)
"Avg7Alrt"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" /background
"WOOKIT"=c:\progra~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
"updateMgr"=c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PCDrProfiler"=
"ATIPTA"=c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
"LSBWatcher"=c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe"
"Picasa Media Detector"=c:\program files\Picasa2\PicasaMediaDetector.exe
"PS2"=c:\windows\system32\ps2.exe
"Recguard"=c:\windows\SMINST\RECGUARD.EXE
"WOOTASKBARICON"=c:\progra~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
"AlcxMonitor"=ALCXMNTR.EXE
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\system32\\lsass.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13693:TCP"= 13693:TCP:NortonAV
"13116:TCP"= 13116:TCP:NortonAV
"16519:TCP"= 16519:TCP:NortonAV

R0 56632172;56632172 Boot Guard Driver;c:\windows\system32\drivers\56632172.sys [06/10/2010 14:39 37392]
R1 56632171;56632171;c:\windows\system32\drivers\56632171.sys [06/10/2010 14:39 128016]
R1 setup_9.0.0.722_04.10.2010_04-33drv;setup_9.0.0.722_04.10.2010_04-33drv;c:\windows\system32\drivers\5663217.sys [06/10/2010 14:39 315408]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 04:42 108289]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [01/12/2009 16:49 34384]
S3 999ef29d900f8ef2;999ef29d900f8ef2;\??\c:\windows\TEMP\612023701183 --> c:\windows\TEMP\612023701183 [?]
S3 cc67c00fa9718e47;cc67c00fa9718e47;\??\c:\windows\TEMP\600024886dc0 --> c:\windows\TEMP\600024886dc0 [?]
S3 MODRC;DiBcom Infrared Receiver;c:\windows\system32\DRIVERS\modrc.sys --> c:\windows\system32\DRIVERS\modrc.sys [?]
.
.
------- Examen supplémentaire -------
.
IE: &Traduire à partir de l'anglais - c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
FF - ProfilePath - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\ota8yfne.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\999ef29d900f8ef2]
"ImagePath"="\??\c:\windows\TEMP\612023701183"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\cc67c00fa9718e47]
"ImagePath"="\??\c:\windows\TEMP\600024886dc0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(400)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2036)
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
.
**************************************************************************
.
Heure de fin: 2010-10-08 04:14:27 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-08 02:14
ComboFix2.txt 2010-10-08 01:28

Avant-CF: 143 332 728 832 octets libres
Après-CF: 143 320 817 664 octets libres

- - End Of File - - 0671F6100318B84A1D6ABEEF061DDEFE
Ajouter un commentaire
Utile
+0
moins plus
Télécharge The Avenger sur ton Bureau.
http://swandog46.geekstogo.com/avenger2/avenger.zip


--> Dézippe le fichier avenger.zip (Clique droit > Extraire).
--> Ferme toutes les fenêtres et toutes les applications en cours et double-clique sur l'icône avenger (Icône avec l'épée).
--> Clique sur OK pour accepter les termes d'utilisation.


. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to disable:

ylerzlej
kqmcbixr

Drivers to delete:

ylerzlej
kqmcbixr

Files to delete:

c:\windows\system32\drivers\ylerzlej.sys
c:\windows\system32\drivers\kqmcbixr.sys





. Colle ce texte (Ctrl+V) dans le cadre :Input script here

. Appuie sur Execute

. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html



CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
Ajouter un commentaire

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !