Virus xxywWoPj.dll impossible a supprimer
Résolu/Fermé
tibo42
-
26 juin 2008 à 20:54
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 28 juin 2008 à 20:55
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 28 juin 2008 à 20:55
A voir également:
- Virus xxywWoPj.dll impossible a supprimer
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Fichier impossible à supprimer - Guide
- Supprimer edge - Guide
- Supprimer bing - Guide
13 réponses
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
26 juin 2008 à 21:00
26 juin 2008 à 21:00
slt,
scan avec vundofix (colle le rapport)
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
________________
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
__________________________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
scan avec vundofix (colle le rapport)
Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4
Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.
Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.
________________
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
__________________________
colle un rapport hijackthis
http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download
manuel :
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html
Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.
ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste
Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
26 juin 2008 à 23:11
26 juin 2008 à 23:11
ok a plus
Re, j'ai tout suivi a la regle ce que tu m'a dit ^^
Voici le rapport CombiFix :
ComboFix 08-06-20.4 - Tibo! 2008-06-27 2:13:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.661 [GMT 2:00]
Endroit: C:\Documents and Settings\Tibo!\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM57432271.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gNTDNqru.ini
C:\WINDOWS\system32\gNTDNqru.ini2
C:\WINDOWS\system32\hgGXQHYP.dll
C:\WINDOWS\system32\jphjwuki.ini
C:\WINDOWS\system32\ljJCtspN.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\NpstCJjl.ini
C:\WINDOWS\system32\NpstCJjl.ini2
C:\WINDOWS\system32\pltorerv.ini
C:\WINDOWS\system32\PYHQXGgh.ini
C:\WINDOWS\system32\PYHQXGgh.ini2
C:\WINDOWS\system32\qvpgvmhy.ini
C:\WINDOWS\system32\urqNDTNg.dll
C:\WINDOWS\system32\wccfpcoi.ini
C:\WINDOWS\system32\wlibtcge.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-27 to 2008-06-27 ))))))))))))))))))))))))))))))))))))
.
2008-06-27 02:17 . 2008-06-27 02:17 294 ---hs---- C:\WINDOWS\system32\qvpgvmhy.ini
2008-06-26 21:10 . 2008-06-26 21:10 <REP> d-------- C:\Program Files\Trend Micro
2008-06-26 21:05 . 2008-06-26 21:20 <REP> d-------- C:\VundoFix Backups
2008-06-26 20:36 . 2008-06-26 20:36 105,984 --a------ C:\WINDOWS\system32\lnlmfymd.dll
2008-06-26 20:34 . 2008-06-26 20:34 91,136 --a------ C:\WINDOWS\system32\aujipyyb.dll
2008-06-26 20:34 . 2008-06-26 20:34 81,920 --a------ C:\WINDOWS\system32\yhmvgpvq.dll
2008-06-26 16:11 . 2008-06-26 16:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-26 15:37 . 2008-06-26 15:31 23,552 --a------ C:\WINDOWS\system32\normaliz.dll
2008-06-25 13:12 . 2008-06-25 13:12 99,328 --a------ C:\WINDOWS\system32\cflbkgwl.dll
2008-06-25 13:10 . 2008-06-25 13:10 91,136 --a------ C:\WINDOWS\system32\gtfdtkig.dll
2008-06-25 13:10 . 2008-06-25 13:10 81,408 --a------ C:\WINDOWS\system32\egctbilw.dll
2008-06-24 21:57 . 2008-06-24 21:58 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-06-24 12:07 . 2008-06-24 12:07 106,496 --a------ C:\WINDOWS\system32\rkktyhuq.dll
2008-06-24 12:04 . 2008-06-24 12:04 81,408 --a------ C:\WINDOWS\system32\vrerotlp.dll
2008-06-24 12:02 . 2008-06-24 12:02 91,648 --a------ C:\WINDOWS\system32\geuiuknx.dll
2008-06-22 12:47 . 2008-06-22 12:47 268 --ah----- C:\sqmdata16.sqm
2008-06-22 12:47 . 2008-06-22 12:47 244 --ah----- C:\sqmnoopt16.sqm
2008-06-21 17:10 . 2008-06-21 17:10 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-20 09:27 . 2008-06-20 09:27 268 --ah----- C:\sqmdata15.sqm
2008-06-20 09:27 . 2008-06-20 09:27 244 --ah----- C:\sqmnoopt15.sqm
2008-06-20 08:26 . 2008-06-20 08:26 268 --ah----- C:\sqmdata14.sqm
2008-06-20 08:26 . 2008-06-20 08:26 244 --ah----- C:\sqmnoopt14.sqm
2008-06-20 08:24 . 2008-06-20 08:24 268 --ah----- C:\sqmdata13.sqm
2008-06-20 08:24 . 2008-06-20 08:24 244 --ah----- C:\sqmnoopt13.sqm
2008-06-17 18:33 . 2008-06-19 18:01 <REP> d-------- C:\Program Files\PKR
2008-06-08 14:46 . 2008-06-08 14:46 268 --ah----- C:\sqmdata12.sqm
2008-06-08 14:46 . 2008-06-08 14:46 244 --ah----- C:\sqmnoopt12.sqm
2008-06-08 14:24 . 2008-06-08 14:24 268 --ah----- C:\sqmdata11.sqm
2008-06-08 14:24 . 2008-06-08 14:24 244 --ah----- C:\sqmnoopt11.sqm
2008-06-08 14:23 . 2008-06-08 14:23 268 --ah----- C:\sqmdata10.sqm
2008-06-08 14:23 . 2008-06-08 14:23 244 --ah----- C:\sqmnoopt10.sqm
2008-06-05 19:29 . 2008-06-05 19:29 <REP> d-------- C:\Program Files\Games-Masters.com
2008-05-27 21:58 . 2007-09-18 23:41 258,352 --a------ C:\WINDOWS\system32\unicows.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-26 14:36 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\mIRC
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-25 21:23 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-25 20:37 --------- d-s---w C:\Program Files\HLSW
2008-06-25 13:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-06-24 14:00 --------- d-----w C:\Program Files\mIRC
2008-06-22 14:59 --------- d-----w C:\Documents and Settings\Marion\Application Data\OpenOffice.org2
2008-06-07 07:54 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\Azureus
2008-06-04 18:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-04 17:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-04 11:41 --------- d-----w C:\Program Files\Azureus
2008-05-27 17:18 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\OpenOffice.org2
2008-05-27 08:46 --------- d-----w C:\Documents and Settings\Brigitte\Application Data\OpenOffice.org2
2008-05-15 08:54 --------- d-----w C:\Program Files\Google
2008-05-13 19:25 --------- d-----w C:\Program Files\Free Keylogger
2008-05-13 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\ATI
2008-05-13 19:15 --------- d-----w C:\Program Files\ATI Technologies
2008-05-13 18:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-08 11:57 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-05-08 11:56 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-05-08 11:50 --------- d-----w C:\Program Files\Java
2008-05-05 17:18 --------- d-----w C:\Program Files\Radeon Omega Drivers
2008-04-17 14:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.231 Uninstall.exe
2008-04-17 13:45 472,576 ----a-w C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
2008-04-08 17:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.421 Uninstall.exe
2008-01-12 15:48 22,328 ----a-w C:\Documents and Settings\Tibo!\Application Data\PnkBstrK.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b9f4cd23-2f9c-4686-b9d3-75e0adcb9cb8}]
2008-06-26 20:36 105984 --a------ C:\WINDOWS\system32\lnlmfymd.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"IntelliPoint"="c:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 12:01 1037736]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"547011ed"="C:\WINDOWS\system32\yhmvgpvq.dll" [2008-06-26 20:34 81920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=rkktyhuq.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BDARemote.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BDARemote.lnk
backup=C:\WINDOWS\pss\BDARemote.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VIA RAID TOOL.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage Setup]
C:\Program Files\DAEMON Tools Lite\AdVantageSetup.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
--a------ 2005-04-26 11:22 589824 C:\Program Files\VIA\RAID\raid_tool.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike\\hl.exe"=
"C:\\Program Files\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Program Files\\HLSW\\hlsw.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\rodyhmk@msn.com\\counter-strike\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike source\\hl2.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Valve\\Steam\\Steam.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\condition zero\\hl.exe"=
"C:\\Program Files\\TmNationsForever\\TmForever.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 15:26]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 15:26]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 13:29]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-09 11:53:40 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job"
- c:\Program Files\Microsoft IntelliPoint\ipoint.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 02:16:34
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
C:\WINDOWS\system32\qvpgvmhy.ini 294 bytes
Scan termin‚ avec succŠs
Les fichiers cach‚s: 1
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\yhmvgpvq.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-27 2:21:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-27 00:21:06
Pre-Run: 31,270,064,128 octets libres
Post-Run: 31,265,873,920 octets libres
192
__________________________________________________________________________________________
Et voici le rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:36:06, on 27/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ngohq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {8bc9bcda-0e57-3d9b-6864-c9f232dc4f9b} - {b9f4cd23-2f9c-4686-b9d3-75e0adcb9cb8} - C:\WINDOWS\system32\lnlmfymd.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [547011ed] rundll32.exe "C:\WINDOWS\system32\yhmvgpvq.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: rkktyhuq.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
Voici le rapport CombiFix :
ComboFix 08-06-20.4 - Tibo! 2008-06-27 2:13:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.661 [GMT 2:00]
Endroit: C:\Documents and Settings\Tibo!\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BM57432271.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gNTDNqru.ini
C:\WINDOWS\system32\gNTDNqru.ini2
C:\WINDOWS\system32\hgGXQHYP.dll
C:\WINDOWS\system32\jphjwuki.ini
C:\WINDOWS\system32\ljJCtspN.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\NpstCJjl.ini
C:\WINDOWS\system32\NpstCJjl.ini2
C:\WINDOWS\system32\pltorerv.ini
C:\WINDOWS\system32\PYHQXGgh.ini
C:\WINDOWS\system32\PYHQXGgh.ini2
C:\WINDOWS\system32\qvpgvmhy.ini
C:\WINDOWS\system32\urqNDTNg.dll
C:\WINDOWS\system32\wccfpcoi.ini
C:\WINDOWS\system32\wlibtcge.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-27 to 2008-06-27 ))))))))))))))))))))))))))))))))))))
.
2008-06-27 02:17 . 2008-06-27 02:17 294 ---hs---- C:\WINDOWS\system32\qvpgvmhy.ini
2008-06-26 21:10 . 2008-06-26 21:10 <REP> d-------- C:\Program Files\Trend Micro
2008-06-26 21:05 . 2008-06-26 21:20 <REP> d-------- C:\VundoFix Backups
2008-06-26 20:36 . 2008-06-26 20:36 105,984 --a------ C:\WINDOWS\system32\lnlmfymd.dll
2008-06-26 20:34 . 2008-06-26 20:34 91,136 --a------ C:\WINDOWS\system32\aujipyyb.dll
2008-06-26 20:34 . 2008-06-26 20:34 81,920 --a------ C:\WINDOWS\system32\yhmvgpvq.dll
2008-06-26 16:11 . 2008-06-26 16:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-26 15:37 . 2008-06-26 15:31 23,552 --a------ C:\WINDOWS\system32\normaliz.dll
2008-06-25 13:12 . 2008-06-25 13:12 99,328 --a------ C:\WINDOWS\system32\cflbkgwl.dll
2008-06-25 13:10 . 2008-06-25 13:10 91,136 --a------ C:\WINDOWS\system32\gtfdtkig.dll
2008-06-25 13:10 . 2008-06-25 13:10 81,408 --a------ C:\WINDOWS\system32\egctbilw.dll
2008-06-24 21:57 . 2008-06-24 21:58 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-06-24 12:07 . 2008-06-24 12:07 106,496 --a------ C:\WINDOWS\system32\rkktyhuq.dll
2008-06-24 12:04 . 2008-06-24 12:04 81,408 --a------ C:\WINDOWS\system32\vrerotlp.dll
2008-06-24 12:02 . 2008-06-24 12:02 91,648 --a------ C:\WINDOWS\system32\geuiuknx.dll
2008-06-22 12:47 . 2008-06-22 12:47 268 --ah----- C:\sqmdata16.sqm
2008-06-22 12:47 . 2008-06-22 12:47 244 --ah----- C:\sqmnoopt16.sqm
2008-06-21 17:10 . 2008-06-21 17:10 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-20 09:27 . 2008-06-20 09:27 268 --ah----- C:\sqmdata15.sqm
2008-06-20 09:27 . 2008-06-20 09:27 244 --ah----- C:\sqmnoopt15.sqm
2008-06-20 08:26 . 2008-06-20 08:26 268 --ah----- C:\sqmdata14.sqm
2008-06-20 08:26 . 2008-06-20 08:26 244 --ah----- C:\sqmnoopt14.sqm
2008-06-20 08:24 . 2008-06-20 08:24 268 --ah----- C:\sqmdata13.sqm
2008-06-20 08:24 . 2008-06-20 08:24 244 --ah----- C:\sqmnoopt13.sqm
2008-06-17 18:33 . 2008-06-19 18:01 <REP> d-------- C:\Program Files\PKR
2008-06-08 14:46 . 2008-06-08 14:46 268 --ah----- C:\sqmdata12.sqm
2008-06-08 14:46 . 2008-06-08 14:46 244 --ah----- C:\sqmnoopt12.sqm
2008-06-08 14:24 . 2008-06-08 14:24 268 --ah----- C:\sqmdata11.sqm
2008-06-08 14:24 . 2008-06-08 14:24 244 --ah----- C:\sqmnoopt11.sqm
2008-06-08 14:23 . 2008-06-08 14:23 268 --ah----- C:\sqmdata10.sqm
2008-06-08 14:23 . 2008-06-08 14:23 244 --ah----- C:\sqmnoopt10.sqm
2008-06-05 19:29 . 2008-06-05 19:29 <REP> d-------- C:\Program Files\Games-Masters.com
2008-05-27 21:58 . 2007-09-18 23:41 258,352 --a------ C:\WINDOWS\system32\unicows.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-26 14:36 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\mIRC
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-25 21:23 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-25 20:37 --------- d-s---w C:\Program Files\HLSW
2008-06-25 13:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-06-24 14:00 --------- d-----w C:\Program Files\mIRC
2008-06-22 14:59 --------- d-----w C:\Documents and Settings\Marion\Application Data\OpenOffice.org2
2008-06-07 07:54 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\Azureus
2008-06-04 18:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-04 17:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-04 11:41 --------- d-----w C:\Program Files\Azureus
2008-05-27 17:18 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\OpenOffice.org2
2008-05-27 08:46 --------- d-----w C:\Documents and Settings\Brigitte\Application Data\OpenOffice.org2
2008-05-15 08:54 --------- d-----w C:\Program Files\Google
2008-05-13 19:25 --------- d-----w C:\Program Files\Free Keylogger
2008-05-13 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\ATI
2008-05-13 19:15 --------- d-----w C:\Program Files\ATI Technologies
2008-05-13 18:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-08 11:57 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-05-08 11:56 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-05-08 11:50 --------- d-----w C:\Program Files\Java
2008-05-05 17:18 --------- d-----w C:\Program Files\Radeon Omega Drivers
2008-04-17 14:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.231 Uninstall.exe
2008-04-17 13:45 472,576 ----a-w C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
2008-04-08 17:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.421 Uninstall.exe
2008-01-12 15:48 22,328 ----a-w C:\Documents and Settings\Tibo!\Application Data\PnkBstrK.sys
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b9f4cd23-2f9c-4686-b9d3-75e0adcb9cb8}]
2008-06-26 20:36 105984 --a------ C:\WINDOWS\system32\lnlmfymd.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"IntelliPoint"="c:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 12:01 1037736]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"547011ed"="C:\WINDOWS\system32\yhmvgpvq.dll" [2008-06-26 20:34 81920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=rkktyhuq.dll
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BDARemote.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BDARemote.lnk
backup=C:\WINDOWS\pss\BDARemote.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VIA RAID TOOL.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage Setup]
C:\Program Files\DAEMON Tools Lite\AdVantageSetup.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
--a------ 2005-04-26 11:22 589824 C:\Program Files\VIA\RAID\raid_tool.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike\\hl.exe"=
"C:\\Program Files\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Program Files\\HLSW\\hlsw.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\rodyhmk@msn.com\\counter-strike\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike source\\hl2.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Valve\\Steam\\Steam.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\condition zero\\hl.exe"=
"C:\\Program Files\\TmNationsForever\\TmForever.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 15:26]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 15:26]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 13:29]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-09 11:53:40 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job"
- c:\Program Files\Microsoft IntelliPoint\ipoint.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 02:16:34
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
C:\WINDOWS\system32\qvpgvmhy.ini 294 bytes
Scan termin‚ avec succŠs
Les fichiers cach‚s: 1
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\yhmvgpvq.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-27 2:21:11 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-27 00:21:06
Pre-Run: 31,270,064,128 octets libres
Post-Run: 31,265,873,920 octets libres
192
__________________________________________________________________________________________
Et voici le rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:36:06, on 27/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ngohq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {8bc9bcda-0e57-3d9b-6864-c9f232dc4f9b} - {b9f4cd23-2f9c-4686-b9d3-75e0adcb9cb8} - C:\WINDOWS\system32\lnlmfymd.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [547011ed] rundll32.exe "C:\WINDOWS\system32\yhmvgpvq.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: rkktyhuq.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
27 juin 2008 à 13:27
27 juin 2008 à 13:27
analyse ces fichiers sur virus total et si inféctés tu les rajoutes dans la partie file de la citation suivante:
https://www.virustotal.com/gui/
C:\WINDOWS\system32\qvpgvmhy.ini
C:\WINDOWS\system32\aujipyyb.dll
C:\WINDOWS\system32\normaliz.dll
C:\WINDOWS\system32\cflbkgwl.dll
C:\WINDOWS\system32\gtfdtkig.dll
C:\WINDOWS\system32\egctbilw.dll
C:\WINDOWS\system32\vrerotlp.dll
C:\WINDOWS\system32\geuiuknx.dll
__________________
pour fusionner:
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
_________________
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\WINDOWS\system32\yhmvgpvq.dll
C:\WINDOWS\system32\lnlmfymd.dll
C:\WINDOWS\system32\rkktyhuq.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b9f4cd23-2f9c-4686-b9d3-75e0adcb9cb8}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"547011ed"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
https://www.virustotal.com/gui/
C:\WINDOWS\system32\qvpgvmhy.ini
C:\WINDOWS\system32\aujipyyb.dll
C:\WINDOWS\system32\normaliz.dll
C:\WINDOWS\system32\cflbkgwl.dll
C:\WINDOWS\system32\gtfdtkig.dll
C:\WINDOWS\system32\egctbilw.dll
C:\WINDOWS\system32\vrerotlp.dll
C:\WINDOWS\system32\geuiuknx.dll
__________________
pour fusionner:
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
_________________
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
C:\WINDOWS\system32\yhmvgpvq.dll
C:\WINDOWS\system32\lnlmfymd.dll
C:\WINDOWS\system32\rkktyhuq.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b9f4cd23-2f9c-4686-b9d3-75e0adcb9cb8}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"547011ed"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Remets aussi un rapport Hijackthis
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Salut,
J'ai fait l'analyse des fichiers et parmi eux certains étaient détectés comme infectés. Je les ais donc rajoutés comme tu m'a dit.
Ah oui aussi j'ai fait glisser CFScript sur combofix et le scna s'est lancé mais le message Type 1 to continue, or 2 to abort n'est pas apparu donc j'espere que je ne me suis pas trompé
Sinon voici le rapport du scan :
ComboFix 08-06-20.4 - Tibo! 2008-06-27 15:34:56.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.568 [GMT 2:00]
Endroit: C:\Documents and Settings\Tibo!\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Tibo!\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\WINDOWS\system32\aujipyyb.dll
C:\WINDOWS\system32\cflbkgwl.dll
C:\WINDOWS\system32\egctbilw.dll
C:\WINDOWS\system32\geuiuknx.dll
C:\WINDOWS\system32\gtfdtkig.dll
C:\WINDOWS\system32\lnlmfymd.dll
C:\WINDOWS\system32\rkktyhuq.dll
C:\WINDOWS\system32\vrerotlp.dll
C:\WINDOWS\system32\yhmvgpvq.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\aujipyyb.dll
C:\WINDOWS\system32\cflbkgwl.dll
C:\WINDOWS\system32\egctbilw.dll
C:\WINDOWS\system32\geuiuknx.dll
C:\WINDOWS\system32\gtfdtkig.dll
C:\WINDOWS\system32\lnlmfymd.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\rkktyhuq.dll
C:\WINDOWS\system32\vrerotlp.dll
C:\WINDOWS\system32\yhmvgpvq.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-27 to 2008-06-27 ))))))))))))))))))))))))))))))))))))
.
2008-06-27 02:31 . 2008-06-27 02:33 <REP> d-------- C:\hijackthis
2008-06-27 02:17 . 2008-06-27 02:21 354 ---hs---- C:\WINDOWS\system32\qvpgvmhy.ini
2008-06-26 21:10 . 2008-06-26 21:10 <REP> d-------- C:\Program Files\Trend Micro
2008-06-26 21:05 . 2008-06-26 21:20 <REP> d-------- C:\VundoFix Backups
2008-06-26 16:11 . 2008-06-26 16:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-26 15:37 . 2008-06-26 15:31 23,552 --a------ C:\WINDOWS\system32\normaliz.dll
2008-06-24 21:57 . 2008-06-24 21:58 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-06-22 12:47 . 2008-06-22 12:47 268 --ah----- C:\sqmdata16.sqm
2008-06-22 12:47 . 2008-06-22 12:47 244 --ah----- C:\sqmnoopt16.sqm
2008-06-21 17:10 . 2008-06-21 17:10 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-20 09:27 . 2008-06-20 09:27 268 --ah----- C:\sqmdata15.sqm
2008-06-20 09:27 . 2008-06-20 09:27 244 --ah----- C:\sqmnoopt15.sqm
2008-06-20 08:26 . 2008-06-20 08:26 268 --ah----- C:\sqmdata14.sqm
2008-06-20 08:26 . 2008-06-20 08:26 244 --ah----- C:\sqmnoopt14.sqm
2008-06-20 08:24 . 2008-06-20 08:24 268 --ah----- C:\sqmdata13.sqm
2008-06-20 08:24 . 2008-06-20 08:24 244 --ah----- C:\sqmnoopt13.sqm
2008-06-17 18:33 . 2008-06-19 18:01 <REP> d-------- C:\Program Files\PKR
2008-06-08 14:46 . 2008-06-08 14:46 268 --ah----- C:\sqmdata12.sqm
2008-06-08 14:46 . 2008-06-08 14:46 244 --ah----- C:\sqmnoopt12.sqm
2008-06-08 14:24 . 2008-06-08 14:24 268 --ah----- C:\sqmdata11.sqm
2008-06-08 14:24 . 2008-06-08 14:24 244 --ah----- C:\sqmnoopt11.sqm
2008-06-08 14:23 . 2008-06-08 14:23 268 --ah----- C:\sqmdata10.sqm
2008-06-08 14:23 . 2008-06-08 14:23 244 --ah----- C:\sqmnoopt10.sqm
2008-06-05 19:29 . 2008-06-05 19:29 <REP> d-------- C:\Program Files\Games-Masters.com
2008-05-27 21:58 . 2007-09-18 23:41 258,352 --a------ C:\WINDOWS\system32\unicows.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 13:19 --------- d-s---w C:\Program Files\HLSW
2008-06-26 14:36 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\mIRC
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-25 21:23 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-25 13:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-06-24 14:00 --------- d-----w C:\Program Files\mIRC
2008-06-22 14:59 --------- d-----w C:\Documents and Settings\Marion\Application Data\OpenOffice.org2
2008-06-07 07:54 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\Azureus
2008-06-04 18:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-04 18:11 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-06-04 17:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-04 11:41 --------- d-----w C:\Program Files\Azureus
2008-05-27 17:18 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\OpenOffice.org2
2008-05-27 08:46 --------- d-----w C:\Documents and Settings\Brigitte\Application Data\OpenOffice.org2
2008-05-15 08:54 --------- d-----w C:\Program Files\Google
2008-05-13 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\ATI
2008-05-13 19:15 --------- d-----w C:\Program Files\ATI Technologies
2008-05-13 18:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-08 11:57 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-05-08 11:56 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-05-08 11:50 --------- d-----w C:\Program Files\Java
2008-05-05 17:18 --------- d-----w C:\Program Files\Radeon Omega Drivers
2008-04-17 14:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.231 Uninstall.exe
2008-04-17 13:45 472,576 ----a-w C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
2008-04-08 17:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.421 Uninstall.exe
2008-03-29 05:19 9,801,728 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-03-29 04:40 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-03-29 04:05 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-03-29 04:04 299,008 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-03-29 03:56 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-03-29 03:56 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-03-29 03:55 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-03-29 03:55 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-03-29 03:55 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-03-29 03:54 536,576 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-03-29 03:52 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-03-29 03:43 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-03-29 03:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-03-29 03:36 1,765,120 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-03-29 03:24 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-03-29 03:21 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-03-29 03:19 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-03-29 03:12 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-03-28 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-01-12 15:48 22,328 ----a-w C:\Documents and Settings\Tibo!\Application Data\PnkBstrK.sys
.
((((((((((((((((((((((((((((( snapshot@2008-06-27_ 2.20.53.28 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-27 00:16:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 13:37:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 13:38:05 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5c4.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"IntelliPoint"="c:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 12:01 1037736]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BDARemote.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BDARemote.lnk
backup=C:\WINDOWS\pss\BDARemote.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VIA RAID TOOL.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage Setup]
C:\Program Files\DAEMON Tools Lite\AdVantageSetup.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
--a------ 2005-04-26 11:22 589824 C:\Program Files\VIA\RAID\raid_tool.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike\\hl.exe"=
"C:\\Program Files\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Program Files\\HLSW\\hlsw.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\rodyhmk@msn.com\\counter-strike\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike source\\hl2.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Valve\\Steam\\Steam.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\condition zero\\hl.exe"=
"C:\\Program Files\\TmNationsForever\\TmForever.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 15:26]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 15:26]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 13:29]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-09 11:53:40 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job"
- c:\Program Files\Microsoft IntelliPoint\ipoint.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 15:38:19
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-27 15:42:54 - machine was rebooted [Tibo!]
ComboFix-quarantined-files.txt 2008-06-27 13:42:49
ComboFix2.txt 2008-06-27 00:21:12
Pre-Run: 31,208,624,128 octets libres
Post-Run: 31,208,681,472 octets libres
200
___________________________________________________________________________________________
ET le rapport de hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:46, on 27/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ngohq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
J'ai fait l'analyse des fichiers et parmi eux certains étaient détectés comme infectés. Je les ais donc rajoutés comme tu m'a dit.
Ah oui aussi j'ai fait glisser CFScript sur combofix et le scna s'est lancé mais le message Type 1 to continue, or 2 to abort n'est pas apparu donc j'espere que je ne me suis pas trompé
Sinon voici le rapport du scan :
ComboFix 08-06-20.4 - Tibo! 2008-06-27 15:34:56.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.568 [GMT 2:00]
Endroit: C:\Documents and Settings\Tibo!\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Tibo!\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\WINDOWS\system32\aujipyyb.dll
C:\WINDOWS\system32\cflbkgwl.dll
C:\WINDOWS\system32\egctbilw.dll
C:\WINDOWS\system32\geuiuknx.dll
C:\WINDOWS\system32\gtfdtkig.dll
C:\WINDOWS\system32\lnlmfymd.dll
C:\WINDOWS\system32\rkktyhuq.dll
C:\WINDOWS\system32\vrerotlp.dll
C:\WINDOWS\system32\yhmvgpvq.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\aujipyyb.dll
C:\WINDOWS\system32\cflbkgwl.dll
C:\WINDOWS\system32\egctbilw.dll
C:\WINDOWS\system32\geuiuknx.dll
C:\WINDOWS\system32\gtfdtkig.dll
C:\WINDOWS\system32\lnlmfymd.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\rkktyhuq.dll
C:\WINDOWS\system32\vrerotlp.dll
C:\WINDOWS\system32\yhmvgpvq.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-27 to 2008-06-27 ))))))))))))))))))))))))))))))))))))
.
2008-06-27 02:31 . 2008-06-27 02:33 <REP> d-------- C:\hijackthis
2008-06-27 02:17 . 2008-06-27 02:21 354 ---hs---- C:\WINDOWS\system32\qvpgvmhy.ini
2008-06-26 21:10 . 2008-06-26 21:10 <REP> d-------- C:\Program Files\Trend Micro
2008-06-26 21:05 . 2008-06-26 21:20 <REP> d-------- C:\VundoFix Backups
2008-06-26 16:11 . 2008-06-26 16:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-26 15:37 . 2008-06-26 15:31 23,552 --a------ C:\WINDOWS\system32\normaliz.dll
2008-06-24 21:57 . 2008-06-24 21:58 <REP> d-------- C:\WINDOWS\system32\NtmsData
2008-06-22 12:47 . 2008-06-22 12:47 268 --ah----- C:\sqmdata16.sqm
2008-06-22 12:47 . 2008-06-22 12:47 244 --ah----- C:\sqmnoopt16.sqm
2008-06-21 17:10 . 2008-06-21 17:10 <REP> d-------- C:\Documents and Settings\Marion\Application Data\DivX
2008-06-20 09:27 . 2008-06-20 09:27 268 --ah----- C:\sqmdata15.sqm
2008-06-20 09:27 . 2008-06-20 09:27 244 --ah----- C:\sqmnoopt15.sqm
2008-06-20 08:26 . 2008-06-20 08:26 268 --ah----- C:\sqmdata14.sqm
2008-06-20 08:26 . 2008-06-20 08:26 244 --ah----- C:\sqmnoopt14.sqm
2008-06-20 08:24 . 2008-06-20 08:24 268 --ah----- C:\sqmdata13.sqm
2008-06-20 08:24 . 2008-06-20 08:24 244 --ah----- C:\sqmnoopt13.sqm
2008-06-17 18:33 . 2008-06-19 18:01 <REP> d-------- C:\Program Files\PKR
2008-06-08 14:46 . 2008-06-08 14:46 268 --ah----- C:\sqmdata12.sqm
2008-06-08 14:46 . 2008-06-08 14:46 244 --ah----- C:\sqmnoopt12.sqm
2008-06-08 14:24 . 2008-06-08 14:24 268 --ah----- C:\sqmdata11.sqm
2008-06-08 14:24 . 2008-06-08 14:24 244 --ah----- C:\sqmnoopt11.sqm
2008-06-08 14:23 . 2008-06-08 14:23 268 --ah----- C:\sqmdata10.sqm
2008-06-08 14:23 . 2008-06-08 14:23 244 --ah----- C:\sqmnoopt10.sqm
2008-06-05 19:29 . 2008-06-05 19:29 <REP> d-------- C:\Program Files\Games-Masters.com
2008-05-27 21:58 . 2007-09-18 23:41 258,352 --a------ C:\WINDOWS\system32\unicows.dll
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-27 13:19 --------- d-s---w C:\Program Files\HLSW
2008-06-26 14:36 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\mIRC
2008-06-26 14:36 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-25 21:23 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-06-25 13:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-06-24 14:00 --------- d-----w C:\Program Files\mIRC
2008-06-22 14:59 --------- d-----w C:\Documents and Settings\Marion\Application Data\OpenOffice.org2
2008-06-07 07:54 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\Azureus
2008-06-04 18:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-04 18:11 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-06-04 17:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-06-04 11:41 --------- d-----w C:\Program Files\Azureus
2008-05-27 17:18 --------- d-----w C:\Documents and Settings\Tibo!\Application Data\OpenOffice.org2
2008-05-27 08:46 --------- d-----w C:\Documents and Settings\Brigitte\Application Data\OpenOffice.org2
2008-05-15 08:54 --------- d-----w C:\Program Files\Google
2008-05-13 19:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\ATI
2008-05-13 19:15 --------- d-----w C:\Program Files\ATI Technologies
2008-05-13 18:21 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-08 11:57 --------- d-----w C:\Program Files\OpenOffice.org 2.4
2008-05-08 11:56 --------- d-----w C:\Program Files\OpenOffice.org 2.3
2008-05-08 11:50 --------- d-----w C:\Program Files\Java
2008-05-05 17:18 --------- d-----w C:\Program Files\Radeon Omega Drivers
2008-04-17 14:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.231 Uninstall.exe
2008-04-17 13:45 472,576 ----a-w C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
2008-04-08 17:19 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.421 Uninstall.exe
2008-03-29 05:19 9,801,728 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-03-29 04:40 167,936 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-03-29 04:05 372,736 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-03-29 04:04 299,008 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-03-29 03:56 172,032 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-03-29 03:56 126,976 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-03-29 03:55 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-03-29 03:55 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-03-29 03:55 126,976 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-03-29 03:54 536,576 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-03-29 03:52 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-03-29 03:43 3,176,480 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-03-29 03:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-03-29 03:36 1,765,120 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-03-29 03:24 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-03-29 03:21 393,216 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-03-29 03:19 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-03-29 03:12 520,192 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-03-28 19:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2008-01-12 15:48 22,328 ----a-w C:\Documents and Settings\Tibo!\Application Data\PnkBstrK.sys
.
((((((((((((((((((((((((((((( snapshot@2008-06-27_ 2.20.53.28 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-27 00:16:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 13:37:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-27 13:38:05 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5c4.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"IntelliPoint"="c:\Program Files\Microsoft IntelliPoint\ipoint.exe" [2007-08-31 12:01 1037736]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BDARemote.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\BDARemote.lnk
backup=C:\WINDOWS\pss\BDARemote.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^VIA RAID TOOL.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\VIA RAID TOOL.lnk
backup=C:\WINDOWS\pss\VIA RAID TOOL.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdVantage Setup]
C:\Program Files\DAEMON Tools Lite\AdVantageSetup.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
--a------ 2005-04-26 11:22 589824 C:\Program Files\VIA\RAID\raid_tool.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike\\hl.exe"=
"C:\\Program Files\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Program Files\\HLSW\\hlsw.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\rodyhmk@msn.com\\counter-strike\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\counter-strike source\\hl2.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Valve\\Steam\\Steam.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\tiboss42\\condition zero\\hl.exe"=
"C:\\Program Files\\TmNationsForever\\TmForever.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-03-26 15:26]
R0 vIdeBus;vIdeBus;C:\WINDOWS\system32\DRIVERS\vIdeBus.sys [2004-10-22 11:28]
R0 vIdePort;VIA IDE Controller PORT Driver;C:\WINDOWS\system32\DRIVERS\vIdePort.sys [2004-10-22 11:28]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-03-29 11:36]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-03-26 15:26]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
S3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 13:29]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-09 11:53:40 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job"
- c:\Program Files\Microsoft IntelliPoint\ipoint.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-27 15:38:19
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-27 15:42:54 - machine was rebooted [Tibo!]
ComboFix-quarantined-files.txt 2008-06-27 13:42:49
ComboFix2.txt 2008-06-27 00:21:12
Pre-Run: 31,208,624,128 octets libres
Post-Run: 31,208,681,472 octets libres
200
___________________________________________________________________________________________
ET le rapport de hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:46, on 27/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Program Files\Microsoft IntelliPoint\dpupdchk.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ngohq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [IntelliPoint] "c:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
pas bon de supprimer la clé comme ca:
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
ça c'est préférable:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
ça c'est préférable:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
si tout va bien combofix aura refusé de supprimer la clé.inutile de refaire un script
elle ne se voit plus dans HijackThis.
elle ne se voit plus dans HijackThis.
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
27 juin 2008 à 20:51
27 juin 2008 à 20:51
Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ngohq.com/
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
____________________
mettre a jour internet explorer
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html
______________________
comme tu n'as aucun antiespion:
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport (tu le gardera par la suite)
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
_______________________
installe aussi spybot
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
encore des soucis ??????????
pour protéger gratos ton ordi
http://www.commentcamarche.net/telecharger/logiciel 4 securite
mettre un antivirus
AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm
-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ngohq.com/
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
____________________
mettre a jour internet explorer
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html
______________________
comme tu n'as aucun antiespion:
scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport (tu le gardera par la suite)
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
_______________________
installe aussi spybot
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html
encore des soucis ??????????
pour protéger gratos ton ordi
http://www.commentcamarche.net/telecharger/logiciel 4 securite
mettre un antivirus
AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT
+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...
Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)
http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm
-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/
Bonjour
Merci de m'avoir répondu et aidé je crois que mon problème s'est reglé grâce a ces méthodes car aujourd'hui regedit est revenu tout seul :)
ce qui est sur c'est que le virus xxywWoPj.dll n'est plus la ^^
Merci et a bientot
Merci de m'avoir répondu et aidé je crois que mon problème s'est reglé grâce a ces méthodes car aujourd'hui regedit est revenu tout seul :)
ce qui est sur c'est que le virus xxywWoPj.dll n'est plus la ^^
Merci et a bientot
jlpjlp
Messages postés
51580
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
3 mai 2022
5 040
28 juin 2008 à 20:55
28 juin 2008 à 20:55
ok parfait
bonne suite
bonne suite
