Sujet Précédent Sujet Suivant

Antispyware xp : risque de contamination?

Fermé
mintna - 27 oct. 2008 à 13:16
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 29 oct. 2008 à 13:52
Bonjour,
Comme pas mal de gens ici j'ai eu la joie de récupérer le virus Antispware xp 2009...J'ai vu pas mal de solutions à ce problème, mais toutes impliquent d'aller télécharger des logiciels sur Internet. Dans mon cas, Internet ne fonctionne plus du tout : Mozilla semble avoir disparu de l'ordi et Internet Explorer s'ouvre une demi seconde avant de se fermer.
Je voudrais donc bien passer par un autre ordi pour récupérer tout ça, j'aurais donc aimé savoir si ce virus pouvait infecter une clé usb?
Merci d'avance!
Mintna
A voir également:

35 réponses

  • 1
  • 2
Réponse 1 / 35
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
27 oct. 2008 à 19:39
Bonsoir,

jlpjlp souhaite envoyer certains fichiers à sUBs.

On procède comme ça :

Ouvrez le [b]Bloc-notes[/b] et faites un copier/coller du texte situé dans la boîte Code ci-dessous dans le Bloc-notes:

[*CODE]
http://www.commentcamarche.net/forum/affich 9091814 antispyware xp risque de contamination?#10

Collect::
C:\WINDOWS\system32\TDSSosvd.dat


[*/CODE]

Enregistrez le fichier sous le nom CFScript.txt

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Lorsque l'outil aura terminé, il vous affichera un rapport. Envoyez ce rapport dans votre prochaine réponse.

**Note**

Lorsque CF a fini de travailler, le rapport ComboFix s'ouvre, en même temps qu'une boîte de message--ne vous inquiétez pas. Avec le script ci-dessus, ComboFix va recueillir des fichiers pour les soumettre aux chercheurs/analystes.[list]
[*]Assurez-vous d'être connecté à l'internet puis cliquez sur OK dans la boîte de message.
[*]Un navigateur va s'ouvrir.
[*]Suivez simplement les instructions pour copier/coller/envoyer le fichier demandé.
[/list]
1
Réponse 2 / 35
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 oct. 2008 à 13:21
slt la clé ne devrait pas etre infecté mais si tu as un doute sur ton ordi

branche ta clé et lance RAV qui desinfectera les infections qui transitent par les disques externes


Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!

___________________

ensuite enregistre malwarebyte et combofix sur ta clé et lance les sur ton ordi infécté

___________________

scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/



______________

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

[si je suspecte une infection bagle, j'ajoute :

sous le nom de antibagle. Fais le avant que le fichier ne soit enregistré sur le bureau]

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 3 / 35
mintna
27 oct. 2008 à 13:25
Ok j'essaie tout ça et je poste les rapports ensuite...
Merci pour la rapidité de la réponse!
0
Réponse 4 / 35
mintna
27 oct. 2008 à 13:41
Bon impossible de redémarrer mon ordi en mode sans échec...En fait impossible de le redémarrer tout court...Il se bloque sur un écran noir où il est écrit :

"BIOS ROM check sum error
Detecting floppy drive A media...
Drive A error. System halt"

le tout accompagné d'une série de bip qui ne s'arrête que quand on l'éteint au bouton ou en débranchant...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
mintna
27 oct. 2008 à 13:44
Bon c'est bon il a redémarré...Ce truc est un peu louche mais c'est pas le problème ici ^^
0
Réponse 6 / 35
mintna
27 oct. 2008 à 15:17
Voilà le rapport de MalwareByte's Anti-Malware : (au passage toujours le même souci qu'au dessus quand je veux redémarrer...)

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1327
Windows 5.1.2600 Service Pack 3

27/10/2008 15:07:55
mbam-log-2008-10-27 (15-07-55).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 193980
Temps écoulé: 1 hour(s), 14 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 39

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\AntiSpywareXP2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP617\A0205634.exe (Adware.Zango) -> Quarantined and deleted successfully.
C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\av.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\AVEngn.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\htmlayout.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\Uninstall.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Bureau\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\TDSS321a.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\TDSS3229.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\wrdwn2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\wrdwn3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\wrdwn4 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\wrdwn5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\wrdwn6 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\utilisateur\Local Settings\Temp\wrdwn7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32a.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSbubx.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfum.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfxwp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSofxh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSrhym.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSmhxt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Plus de croix rouge en bas quand je redémarre, mais pas mal de logiciels qui buggent...Je fais la deuxième manip et je poste le rapport ici...
Merci de ton aide en tout cas ^^
0
Réponse 7 / 35
mintna
27 oct. 2008 à 16:04
Et voilà le rapport Combofix :

ComboFix 08-10-25.01 - utilisateur 2008-10-27 15:25:15.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.501 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\utilisateur\Bureau\antibagle.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\utilisateur\Cookies\cenu.com
C:\Documents and Settings\utilisateur\Cookies\edadacuno.dll
C:\Documents and Settings\utilisateur\Cookies\wexeky.com
C:\Documents and Settings\utilisateur\Cookies\zitulome.scr
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\myrufurypa.bin
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\ruzan.dll
C:\Documents and Settings\utilisateur\Local Settings\Temporary Internet Files\ynitowifon.bin
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\temp\perflib_perfdata_1cc.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS)
-------\Service_TDSSserv.sys)


((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))
.

2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 13:50 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 10:24 . 2002-08-30 13:00 73,728 --a------ C:\WINDOWS\system32\dllcache\icwtutor.exe
2008-10-27 10:24 . 2002-08-30 13:00 65,536 --a------ C:\WINDOWS\system32\dllcache\icwres.dll
2008-10-27 10:24 . 2002-08-30 13:00 40,960 --a------ C:\WINDOWS\system32\dllcache\trialoc.dll
2008-10-27 10:24 . 2002-08-30 13:00 16,384 --a------ C:\WINDOWS\system32\dllcache\isignup.exe
2008-10-27 10:23 . 2002-08-30 13:00 1,685,606 --a------ C:\WINDOWS\system32\dllcache\sam.spd
2008-10-27 10:23 . 2002-08-30 13:00 774,144 --a------ C:\WINDOWS\system32\dllcache\spttseng.dll
2008-10-27 10:23 . 2002-08-30 13:00 605,050 --a------ C:\WINDOWS\system32\dllcache\r1033tts.lxa
2008-10-27 10:23 . 2002-08-30 13:00 94,720 --a------ C:\WINDOWS\system32\dllcache\ieinfo5.ocx
2008-10-27 10:23 . 2002-08-30 13:00 40,448 --a------ C:\WINDOWS\system32\dllcache\msinfo32.exe
2008-10-27 10:23 . 2002-08-30 13:00 888 --a------ C:\WINDOWS\system32\dllcache\sam.sdf
2008-10-27 07:29 . 2008-10-27 07:29 15,997 --a------ C:\WINDOWS\system32\vymex.reg
2008-10-27 07:29 . 2008-10-27 07:29 15,753 --a------ C:\WINDOWS\pyver.reg
2008-10-27 07:29 . 2008-10-27 07:29 15,661 --a------ C:\WINDOWS\uwugom.dl
2008-10-27 07:29 . 2008-10-27 07:29 14,899 --a------ C:\WINDOWS\tova.ban
2008-10-27 07:29 . 2008-10-27 07:29 13,199 --a------ C:\WINDOWS\idyjoru.bat
2008-10-27 07:29 . 2008-10-27 07:29 12,936 --a------ C:\WINDOWS\laqusy.db
2008-10-27 07:29 . 2008-10-27 07:29 12,252 --a------ C:\WINDOWS\rixelicy.dl
2008-10-27 07:29 . 2008-10-27 07:29 10,972 --a------ C:\Documents and Settings\utilisateur\Application Data\owacuxan.exe
2008-10-27 07:29 . 2008-10-27 07:29 10,200 --a------ C:\Documents and Settings\All Users\Application Data\isamog.dat
2008-10-27 07:17 . 2008-10-27 07:17 164 --a------ C:\WINDOWS\system32\TDSSosvd.dat
2008-10-24 06:10 . 2008-10-15 17:35 337,408 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-15 05:53 . 2008-09-08 11:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 05:52 . 2008-08-14 14:23 2,191,232 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,147,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,068,096 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,025,984 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 05:52 . 2008-09-15 16:26 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 09:41 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Windows Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Wanadoo
2008-10-27 09:25 --------- d-----w C:\Program Files\Tablette
2008-10-27 09:25 --------- d-----w C:\Program Files\Securitoo
2008-10-27 09:25 --------- d-----w C:\Program Files\QuickTime
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Works
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Picture It! 7
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Money
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft AutoRoute
2008-10-27 09:24 --------- d-----w C:\Program Files\Messager Wanadoo
2008-10-27 09:24 --------- d-----w C:\Program Files\Logitech
2008-10-27 09:24 --------- d-----w C:\Program Files\Jardinains 2!
2008-10-27 09:23 --------- d-s---w C:\Program Files\Fichiers communs\Teknum Systems
2008-10-27 09:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-10-27 09:23 --------- d-----w C:\Program Files\EHMINSTALL
2008-10-26 21:24 261,020 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-26 21:24 22,003,744 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 13:09 1,577,984 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-10-12 07:05 12,091,894 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-10-05 14:43 33,280 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-10-05 13:44 2,759,168 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-07-31 11:57 2,688,000 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-07-10 10:54 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008071020080711\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" [2002-07-17 204863]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-20 67128]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-22 53248]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 28672]
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2003-08-13 299008]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-11 32768]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-11-12 151597]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 77824]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-07 98304]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"VIDC.DVSD"= pdvcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-08-06 11264]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys [2003-06-16 49024]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\Securitoo\av_fw\fswsclds.exe [2006-06-30 45056]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 139264]
S2 NetThb;NetThb;\\?\C:\Program Files\Fichiers communs\Microsoft Shared\lpt4.exe [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2aa1856-e518-11db-8bed-00038a000015}]
\Shell\AutoRun\command - explorer.exe
.
Contenu du dossier 'Tâches planifiées'

2004-02-22 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-28 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-03-06 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-22 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE []
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-MessengerPlus3 - C:\Program Files\Messenger Plus! 3\MsgPlus.exe
HKCU-Run-Update Service - C:\PROGRA~1\FICHIE~1\TEKNUM~1\update.exe
HKCU-Run-WOOKIT - C:\PROGRA~1\Wanadoo\Shell.exe
HKLM-Run-CleanEasyImg - c:\apps\easydvd\cleanall.exe
HKLM-Run-LogitechVideoRepair - C:\Program Files\Logitech\Video\ISStart.exe


.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\qf6q9sto.default\
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin8.dll
FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin8.dll
FF -: plugin - C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 15:50:26
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSpqxt.sys"
.
------------------------ Autres processus actifs ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\wanmpsvc.exe
C:\APPS\ABoard\AOSD.EXE
C:\WINDOWS\system32\LVComS.exe
C:\WINDOWS\system32\msiexec.exe
C:\APPS\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Heure de fin: 2008-10-27 16:01:08 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-10-27 15:01:02

Avant-CF: 29 282 017 280 octets libres
Après-CF: 30,721,253,376 octets libres

207 --- E O F --- 2008-10-25 05:56:04

Voilà merci ^^
0
Réponse 8 / 35
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 oct. 2008 à 17:07
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

______________________

remet ensuite un rapport combofix
0
Réponse 9 / 35
mintna
27 oct. 2008 à 18:45
Voilà donc ce que j'obtiens :


[b]SDFix: Version 1.238 [/b]
Run by utilisateur on 27/10/2008 at 18:18

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 18:30:19
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqxt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqxt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"="C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe:*:Enabled:Kaspersky AV Scanner"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Wed 12 Nov 2003 193 A.SHR --- "C:\BOOT.BAK"
Wed 28 May 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sat 14 Jul 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Tue 26 Feb 2008 5,815,712 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0dc0cd248a1e330b1c8d60afcf364e70\BIT6F.tmp"
Tue 29 Jan 2008 43,008 A..H. --- "C:\Documents and Settings\utilisateur\Mes documents\Elodie\m‚moire master pro\m‚moire master pro\~WRL0204.tmp"
Mon 2 Jun 2008 25,600 A..H. --- "C:\Documents and Settings\utilisateur\Mes documents\Elodie\m‚moire master pro\m‚moire master pro\~WRL0282.tmp"
Tue 3 Jun 2008 25,088 A..H. --- "C:\Documents and Settings\utilisateur\Mes documents\Elodie\m‚moire master pro\m‚moire master pro\~WRL0420.tmp"
Mon 28 Jan 2008 22,016 A..H. --- "C:\Documents and Settings\utilisateur\Mes documents\Elodie\m‚moire master pro\m‚moire master pro\~WRL1061.tmp"
Tue 25 Mar 2008 44,544 A..H. --- "C:\Documents and Settings\utilisateur\Mes documents\Elodie\m‚moire master pro\m‚moire master pro\~WRL1134.tmp"

[b]Finished![/b]

Et j'ai un beau bazar sur mon ordi : visiblement, plus de virus mais les 3/4 de mes programmes ne fonctionnent plus (avas, mozilla entre autres), et j'ai toujours le même problème au démarrage (série de bip + message précisé dans un précédent post) mais je sais pas si ça a un rapport avec le virus...
Merci beaucoup pour ton aide en tout cas!
0
Réponse 10 / 35
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 oct. 2008 à 18:48
remet ensuite un rapport combofix
0
Réponse 11 / 35
mintna
27 oct. 2008 à 18:53
Je l'avais oublié ^^ Le voilà :

ComboFix 08-10-25.01 - utilisateur 2008-10-27 18:46:47.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.480 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\utilisateur\Bureau\antibagle.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))
.

2008-10-27 18:17 . 2008-10-27 18:17 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-10-27 18:14 . 2008-10-27 18:14 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-27 18:12 . 2008-10-27 18:38 <REP> d-------- C:\SDFix
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 13:50 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 10:24 . 2002-08-30 13:00 73,728 --a------ C:\WINDOWS\system32\dllcache\icwtutor.exe
2008-10-27 10:24 . 2002-08-30 13:00 65,536 --a------ C:\WINDOWS\system32\dllcache\icwres.dll
2008-10-27 10:24 . 2002-08-30 13:00 40,960 --a------ C:\WINDOWS\system32\dllcache\trialoc.dll
2008-10-27 10:24 . 2002-08-30 13:00 16,384 --a------ C:\WINDOWS\system32\dllcache\isignup.exe
2008-10-27 10:23 . 2002-08-30 13:00 1,685,606 --a------ C:\WINDOWS\system32\dllcache\sam.spd
2008-10-27 10:23 . 2002-08-30 13:00 774,144 --a------ C:\WINDOWS\system32\dllcache\spttseng.dll
2008-10-27 10:23 . 2002-08-30 13:00 605,050 --a------ C:\WINDOWS\system32\dllcache\r1033tts.lxa
2008-10-27 10:23 . 2002-08-30 13:00 94,720 --a------ C:\WINDOWS\system32\dllcache\ieinfo5.ocx
2008-10-27 10:23 . 2002-08-30 13:00 40,448 --a------ C:\WINDOWS\system32\dllcache\msinfo32.exe
2008-10-27 10:23 . 2002-08-30 13:00 888 --a------ C:\WINDOWS\system32\dllcache\sam.sdf
2008-10-27 07:29 . 2008-10-27 07:29 15,997 --a------ C:\WINDOWS\system32\vymex.reg
2008-10-27 07:29 . 2008-10-27 07:29 15,753 --a------ C:\WINDOWS\pyver.reg
2008-10-27 07:29 . 2008-10-27 07:29 15,661 --a------ C:\WINDOWS\uwugom.dl
2008-10-27 07:29 . 2008-10-27 07:29 14,899 --a------ C:\WINDOWS\tova.ban
2008-10-27 07:29 . 2008-10-27 07:29 13,199 --a------ C:\WINDOWS\idyjoru.bat
2008-10-27 07:29 . 2008-10-27 07:29 12,936 --a------ C:\WINDOWS\laqusy.db
2008-10-27 07:29 . 2008-10-27 07:29 12,252 --a------ C:\WINDOWS\rixelicy.dl
2008-10-27 07:29 . 2008-10-27 07:29 10,972 --a------ C:\Documents and Settings\utilisateur\Application Data\owacuxan.exe
2008-10-27 07:29 . 2008-10-27 07:29 10,200 --a------ C:\Documents and Settings\All Users\Application Data\isamog.dat
2008-10-27 07:17 . 2008-10-27 07:17 164 --a------ C:\WINDOWS\system32\TDSSosvd.dat
2008-10-24 06:10 . 2008-10-15 17:35 337,408 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-15 05:53 . 2008-09-08 11:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 05:52 . 2008-08-14 14:23 2,191,232 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,147,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,068,096 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,025,984 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 05:52 . 2008-09-15 16:26 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 09:41 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Windows Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Wanadoo
2008-10-27 09:25 --------- d-----w C:\Program Files\Tablette
2008-10-27 09:25 --------- d-----w C:\Program Files\Securitoo
2008-10-27 09:25 --------- d-----w C:\Program Files\QuickTime
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Works
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Picture It! 7
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Money
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft AutoRoute
2008-10-27 09:24 --------- d-----w C:\Program Files\Messager Wanadoo
2008-10-27 09:24 --------- d-----w C:\Program Files\Logitech
2008-10-27 09:24 --------- d-----w C:\Program Files\Jardinains 2!
2008-10-27 09:23 --------- d-s---w C:\Program Files\Fichiers communs\Teknum Systems
2008-10-27 09:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-10-27 09:23 --------- d-----w C:\Program Files\EHMINSTALL
2008-10-26 21:24 261,020 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-26 21:24 22,003,744 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 13:09 1,577,984 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-10-12 07:05 12,091,894 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-10-05 14:43 33,280 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-10-05 13:44 2,759,168 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-10-03 17:12 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-27 09:11 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-25 08:39 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-14 13:23 2,191,232 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-31 11:57 2,688,000 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-07-10 10:54 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008071020080711\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-27_16.00.32.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-27 17:14:57 7,565,312 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-10-27 17:14:57 57,344 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-27 17:14:46 7,565,312 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-10-27 17:14:46 57,344 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat
- 2008-10-27 14:49:54 12,398 ----a-w C:\WINDOWS\system32\tablet.dat
+ 2008-10-27 17:25:57 12,398 ----a-w C:\WINDOWS\system32\tablet.dat
+ 2008-10-27 17:26:12 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_734.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" [2002-07-17 204863]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-20 67128]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-22 53248]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 28672]
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2003-08-13 299008]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-11 32768]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-11-12 151597]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 77824]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-07 98304]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"VIDC.DVSD"= pdvcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-08-06 11264]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys [2003-06-16 49024]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\Securitoo\av_fw\fswsclds.exe [2006-06-30 45056]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 139264]
S2 NetThb;NetThb;\\?\C:\Program Files\Fichiers communs\Microsoft Shared\lpt4.exe [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2aa1856-e518-11db-8bed-00038a000015}]
\Shell\AutoRun\command - explorer.exe
.
Contenu du dossier 'Tâches planifiées'

2004-02-22 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-28 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-03-06 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-22 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE []
.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\qf6q9sto.default\
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npqtplugin8.dll
FF -: plugin - C:\Program Files\QuickTime\Plugins\npqtplugin8.dll
FF -: plugin - C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 18:48:02
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSpqxt.sys"
.
Heure de fin: 2008-10-27 18:51:04
ComboFix-quarantined-files.txt 2008-10-27 17:50:01
ComboFix2.txt 2008-10-27 15:01:09

Avant-CF: 30 606 163 968 octets libres
Après-CF: 30,588,035,072 octets libres

183 --- E O F --- 2008-10-25 05:56:04
0
Réponse 12 / 35
mintna
27 oct. 2008 à 20:16
On a besoin d'une connexion internet avec cette manip non? Parce que mon ordi infecté ne peut même plus y accéder...Tous les programmes ne marchent plus, la connexion à la Livebox comprise, et je ne crois pas pouvoir la réinstaller...
0
Réponse 13 / 35
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 oct. 2008 à 20:20
Ouvrez le [b]Bloc-notes/b et faites un copier/coller du texte situé dans la boîte Code ci-dessous dans le Bloc-notes:

[*CODE]
http://www.commentcamarche.net/forum/affich 9091814 antispyware xp risque de contamination?#10

Collect::

C:\WINDOWS\pyver.reg
C:\WINDOWS\uwugom.dl
C:\WINDOWS\tova.ban
C:\WINDOWS\idyjoru.bat
C:\WINDOWS\laqusy.db
C:\WINDOWS\rixelicy.dl
C:\Documents and Settings\utilisateur\Application Data\owacuxan.exe
C:\Documents and Settings\All Users\Application Data\isamog.dat
C:\WINDOWS\system32\TDSSosvd.dat

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv.s­ys]
"imagepath"="\systemroot\system32\drivers\TDSSpqxt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqxt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqxt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"


[*/CODE]

Enregistrez le fichier sous le nom CFScript.txt

Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Lorsque l'outil aura terminé, il vous affichera un rapport. Envoyez ce rapport dans votre prochaine réponse.

**Note**

Lorsque CF a fini de travailler, le rapport ComboFix s'ouvre, en même temps qu'une boîte de message--ne vous inquiétez pas. Avec le script ci-dessus, ComboFix va recueillir des fichiers pour les soumettre aux chercheurs/analystes.[list]
[*]Assurez-vous d'être connecté à l'internet puis cliquez sur OK dans la boîte de message.
[*]Un navigateur va s'ouvrir.
[*]Suivez simplement les instructions pour copier/coller/envoyer le fichier demandé.
/list
0
Réponse 14 / 35
mintna
27 oct. 2008 à 20:34
Comme je l'ai dit plus haut, la connexion internet ne marche plus donc je n'ai pas pu me connecter à Internet quand c'était demandé...Je vous mets quand même le rapport, mais je pense pas que ça ait beaucoup changé :

ComboFix 08-10-25.01 - utilisateur 2008-10-27 20:28:36.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.463 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\utilisateur\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\isamog.dat
C:\Documents and Settings\utilisateur\Application Data\owacuxan.exe
C:\WINDOWS\idyjoru.bat
C:\WINDOWS\laqusy.db
C:\WINDOWS\pyver.reg
C:\WINDOWS\rixelicy.dl
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\tova.ban
C:\WINDOWS\uwugom.dl

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))
.

2008-10-27 19:31 . 2008-10-27 19:31 <REP> d-------- C:\Program Files\EoRezo
2008-10-27 19:31 . 2008-10-27 20:17 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\EoRezo
2008-10-27 18:17 . 2008-10-27 18:17 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-10-27 18:14 . 2008-10-27 18:14 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-27 18:12 . 2008-10-27 18:38 <REP> d-------- C:\SDFix
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 13:50 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 10:24 . 2002-08-30 13:00 73,728 --a------ C:\WINDOWS\system32\dllcache\icwtutor.exe
2008-10-27 10:24 . 2002-08-30 13:00 65,536 --a------ C:\WINDOWS\system32\dllcache\icwres.dll
2008-10-27 10:24 . 2002-08-30 13:00 40,960 --a------ C:\WINDOWS\system32\dllcache\trialoc.dll
2008-10-27 10:24 . 2002-08-30 13:00 16,384 --a------ C:\WINDOWS\system32\dllcache\isignup.exe
2008-10-27 10:23 . 2002-08-30 13:00 1,685,606 --a------ C:\WINDOWS\system32\dllcache\sam.spd
2008-10-27 10:23 . 2002-08-30 13:00 774,144 --a------ C:\WINDOWS\system32\dllcache\spttseng.dll
2008-10-27 10:23 . 2002-08-30 13:00 605,050 --a------ C:\WINDOWS\system32\dllcache\r1033tts.lxa
2008-10-27 10:23 . 2002-08-30 13:00 94,720 --a------ C:\WINDOWS\system32\dllcache\ieinfo5.ocx
2008-10-27 10:23 . 2002-08-30 13:00 40,448 --a------ C:\WINDOWS\system32\dllcache\msinfo32.exe
2008-10-27 10:23 . 2002-08-30 13:00 888 --a------ C:\WINDOWS\system32\dllcache\sam.sdf
2008-10-27 07:29 . 2008-10-27 07:29 15,997 --a------ C:\WINDOWS\system32\vymex.reg
2008-10-24 06:10 . 2008-10-15 17:35 337,408 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-15 05:53 . 2008-09-08 11:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 05:52 . 2008-08-14 14:23 2,191,232 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,147,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,068,096 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,025,984 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 05:52 . 2008-09-15 16:26 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 09:41 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Windows Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Wanadoo
2008-10-27 09:25 --------- d-----w C:\Program Files\Tablette
2008-10-27 09:25 --------- d-----w C:\Program Files\Securitoo
2008-10-27 09:25 --------- d-----w C:\Program Files\QuickTime
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Works
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Picture It! 7
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Money
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft AutoRoute
2008-10-27 09:24 --------- d-----w C:\Program Files\Messager Wanadoo
2008-10-27 09:24 --------- d-----w C:\Program Files\Logitech
2008-10-27 09:24 --------- d-----w C:\Program Files\Jardinains 2!
2008-10-27 09:23 --------- d-s---w C:\Program Files\Fichiers communs\Teknum Systems
2008-10-27 09:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-10-27 09:23 --------- d-----w C:\Program Files\EHMINSTALL
2008-10-26 21:24 261,020 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-26 21:24 22,003,744 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 13:09 1,577,984 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-10-12 07:05 12,091,894 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-10-05 14:43 33,280 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-10-05 13:44 2,759,168 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-10-03 17:12 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-27 09:11 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-25 08:39 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-14 13:23 2,191,232 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-31 11:57 2,688,000 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-07-10 10:54 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008071020080711\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-27_16.00.32.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-27 17:14:57 7,565,312 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-10-27 17:14:57 57,344 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-27 17:14:46 7,565,312 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-10-27 17:14:46 57,344 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat
- 2008-10-27 14:49:54 12,398 ----a-w C:\WINDOWS\system32\tablet.dat
+ 2008-10-27 17:25:57 12,398 ----a-w C:\WINDOWS\system32\tablet.dat
+ 2008-10-27 17:26:12 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_734.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" [2002-07-17 204863]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-20 67128]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-22 53248]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 28672]
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2003-08-13 299008]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-11 32768]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-11-12 151597]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 77824]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-07 98304]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-09-23 565248]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"VIDC.DVSD"= pdvcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-08-06 11264]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys [2003-06-16 49024]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\Securitoo\av_fw\fswsclds.exe [2006-06-30 45056]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 139264]
S2 NetThb;NetThb;\\?\C:\Program Files\Fichiers communs\Microsoft Shared\lpt4.exe [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2aa1856-e518-11db-8bed-00038a000015}]
\Shell\AutoRun\command - explorer.exe
.
Contenu du dossier 'Tâches planifiées'

2004-02-22 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-28 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-03-06 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-22 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE []
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 20:29:45
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSpqxt.sys"
.
Heure de fin: 2008-10-27 20:31:24
ComboFix-quarantined-files.txt 2008-10-27 19:31:09
ComboFix2.txt 2008-10-27 17:51:07
ComboFix3.txt 2008-10-27 15:01:09

Avant-CF: 30 515 003 392 octets libres
Après-CF: 30,497,075,200 octets libres

184 --- E O F --- 2008-10-25 05:56:04
0
Réponse 15 / 35
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 oct. 2008 à 20:53
Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
C:\WINDOWS\system32\vymex.reg
C:\WINDOWS\pyver.reg
C:\WINDOWS\uwugom.dl
C:\WINDOWS\tova.ban
C:\WINDOWS\idyjoru.bat
C:\WINDOWS\laqusy.db
C:\WINDOWS\rixelicy.dl
C:\Documents and Settings\utilisateur\Application Data\owacuxan.exe
C:\Documents and Settings\All Users\Application Data\isamog.dat
C:\WINDOWS\system32\TDSSosvd.dat



Registry::
[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv.s­­ys]
"imagepath"="\systemroot\system32\drivers\TDSSpqxt.sys"
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqxt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSpqxt.sys"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqxt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

La manip initiale n'aurait pas causé de problèmes à ton ordi. Elle aurait été moins efficace.

___________________________














Pour réparer la connexion internet:




1/
# Cliquez sur le bouton Démarrer.
# Cliquez sur l'option de menu Paramètres.
# Cliquez sur l'option Panneau de configuration.
# Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
# Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
# Cliquez simplement sur l'option de menu Réparer.

2/
utilise lspfix
https://www.01net.com/telecharger/windows/Utilitaire/reseau/fiches/33379.html
http://lanceyien-info.com/index.php?page=utilitaires#lspfix
http://www.zdnet.fr/telecharger/windows/fiche/0,39021313,39138667s,00.htm


3/
-Télécharge cet outil d'ici:
WinSockFix
http://www.softpedia.com/progDownload/WinS...load-15337.html
(prends le deuxieme miroir)
-Une fois téléchargé,tu le lances

-Tu cliques sur"ReG-Backup" pour créer une sauvegarde du registre,dans un dossier de ton choix.

-Une fois la sauvegarde éffectuée,clique sur "Fix", au méssage "WinsockFix will now attempt to Repair your connection" tu reponds par "OUI"

-Il va travailler,tu le laisse faire,à la fin des corrections tu auras le méssage suivant"Repair completed Please Reboot", tu cliques sur "OK"

-Le PC va redémarrer,

-Communique les résultats.


___________________

4/
erreur 1068 - Suite à infection virale de votre ordinateur avec un virus du type "bagle" ou "beagle" ...

Vous n'arrivez plus a vous connecter avec votre wifi. Si vous allez dans les outils administration sur la page "services" pour activer "configuration automatique sans fil" vous avez l'erreur 1068.

Si c'est votre cas et que vous vous etes arraché les cheveux, voici la solution:

Vous devez aller dans la base de registre avec regedit ou autre.

1. Demarrer > executer > Tapez : "regedit" en ok

2. Allez sur HKEY Local Machine > system > CurrentControlSet > Services > Ndisuio

Dans cette clé il y a une entrée nommée "START", double cliquez dessus. Cette entrée doit être 3 pour que le protocole NDIS E/S demarre correctement.

Un virus comme "bagle / Beagle" change cette entrée et la met sur 4 (disable) et cause le probleme que vous avez.

Reboutez ensuite votre PC et tout devrait rentrer dans l'ordre.


5/ utilise ZEB RESTORE


http://telechargement.zebulon.fr/zeb-restore.html

____________

6/
ou repare windows

http://www.informatruc.com/reparer-windows-xp/
0
Réponse 16 / 35
mintna
27 oct. 2008 à 21:14
Voilà donc le nouveau rapport de Combofix :

ComboFix 08-10-25.01 - utilisateur 2008-10-27 21:02:03.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.476 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\utilisateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\utilisateur\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
C:\Documents and Settings\All Users\Application Data\isamog.dat
C:\Documents and Settings\utilisateur\Application Data\owacuxan.exe
C:\WINDOWS\idyjoru.bat
C:\WINDOWS\laqusy.db
C:\WINDOWS\pyver.reg
C:\WINDOWS\rixelicy.dl
C:\WINDOWS\system32\TDSSosvd.dat
C:\WINDOWS\system32\vymex.reg
C:\WINDOWS\tova.ban
C:\WINDOWS\uwugom.dl
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\vymex.reg

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-27 au 2008-10-27 ))))))))))))))))))))))))))))))))))))
.

2008-10-27 19:31 . 2008-10-27 19:31 <REP> d-------- C:\Program Files\EoRezo
2008-10-27 19:31 . 2008-10-27 20:17 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\EoRezo
2008-10-27 18:17 . 2008-10-27 18:17 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-10-27 18:14 . 2008-10-27 18:14 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-27 18:12 . 2008-10-27 18:38 <REP> d-------- C:\SDFix
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-27 13:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-27 13:50 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-27 13:50 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-27 10:24 . 2002-08-30 13:00 73,728 --a------ C:\WINDOWS\system32\dllcache\icwtutor.exe
2008-10-27 10:24 . 2002-08-30 13:00 65,536 --a------ C:\WINDOWS\system32\dllcache\icwres.dll
2008-10-27 10:24 . 2002-08-30 13:00 40,960 --a------ C:\WINDOWS\system32\dllcache\trialoc.dll
2008-10-27 10:24 . 2002-08-30 13:00 16,384 --a------ C:\WINDOWS\system32\dllcache\isignup.exe
2008-10-27 10:23 . 2002-08-30 13:00 1,685,606 --a------ C:\WINDOWS\system32\dllcache\sam.spd
2008-10-27 10:23 . 2002-08-30 13:00 774,144 --a------ C:\WINDOWS\system32\dllcache\spttseng.dll
2008-10-27 10:23 . 2002-08-30 13:00 605,050 --a------ C:\WINDOWS\system32\dllcache\r1033tts.lxa
2008-10-27 10:23 . 2002-08-30 13:00 94,720 --a------ C:\WINDOWS\system32\dllcache\ieinfo5.ocx
2008-10-27 10:23 . 2002-08-30 13:00 40,448 --a------ C:\WINDOWS\system32\dllcache\msinfo32.exe
2008-10-27 10:23 . 2002-08-30 13:00 888 --a------ C:\WINDOWS\system32\dllcache\sam.sdf
2008-10-24 06:10 . 2008-10-15 17:35 337,408 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-15 05:53 . 2008-09-08 11:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 05:52 . 2008-08-14 14:23 2,191,232 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,147,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,068,096 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 05:52 . 2008-08-14 14:23 2,025,984 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 05:52 . 2008-09-15 16:26 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-27 09:41 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Windows Live
2008-10-27 09:26 --------- d-----w C:\Program Files\Wanadoo
2008-10-27 09:25 --------- d-----w C:\Program Files\Tablette
2008-10-27 09:25 --------- d-----w C:\Program Files\Securitoo
2008-10-27 09:25 --------- d-----w C:\Program Files\QuickTime
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Works
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Picture It! 7
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft Money
2008-10-27 09:24 --------- d-----w C:\Program Files\Microsoft AutoRoute
2008-10-27 09:24 --------- d-----w C:\Program Files\Messager Wanadoo
2008-10-27 09:24 --------- d-----w C:\Program Files\Logitech
2008-10-27 09:24 --------- d-----w C:\Program Files\Jardinains 2!
2008-10-27 09:23 --------- d-s---w C:\Program Files\Fichiers communs\Teknum Systems
2008-10-27 09:23 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Real
2008-10-27 09:23 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-10-27 09:23 --------- d-----w C:\Program Files\EHMINSTALL
2008-10-26 21:24 261,020 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-26 21:24 22,003,744 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-19 13:09 1,577,984 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-10-12 07:05 12,091,894 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-10-05 14:43 33,280 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-10-05 13:44 2,759,168 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-10-03 17:12 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-27 09:11 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-25 08:39 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-14 13:23 2,191,232 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,068,096 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-31 11:57 2,688,000 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-07-10 10:54 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008071020080711\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-27_16.00.32.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-27 17:14:57 7,565,312 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-10-27 17:14:57 57,344 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0/u0000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-27 17:14:46 7,565,312 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000001\NTUSER.DAT
+ 2008-10-27 17:14:46 57,344 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0/u0000002\UsrClass.dat
- 2008-10-27 14:49:54 12,398 ----a-w C:\WINDOWS\system32\tablet.dat
+ 2008-10-27 17:25:57 12,398 ----a-w C:\WINDOWS\system32\tablet.dat
+ 2008-10-27 17:26:12 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_734.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MoneyAgent"="C:\Program Files\Microsoft Money\System\mnyexpr.exe" [2002-07-17 204863]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-20 67128]
"DrvMon.exe"="C:\WINDOWS\System32\DrvMon.exe" [2004-09-22 53248]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 28672]
"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2003-08-13 299008]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-18 188416]
"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-11 32768]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2003-11-12 151597]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 77824]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-07 98304]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"EoEngine"="C:\Program Files\EoRezo\EoEngine.exe" [2008-09-23 565248]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoViewOnDrive"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"VIDC.DVSD"= pdvcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-08-06 11264]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys [2003-06-16 49024]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\Securitoo\av_fw\fswsclds.exe [2006-06-30 45056]
R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 139264]
S2 NetThb;NetThb;\\?\C:\Program Files\Fichiers communs\Microsoft Shared\lpt4.exe [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2aa1856-e518-11db-8bed-00038a000015}]
\Shell\AutoRun\command - explorer.exe
.
Contenu du dossier 'Tâches planifiées'

2004-02-22 C:\WINDOWS\Tasks\Rappel d'enregistrement 1.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-28 C:\WINDOWS\Tasks\Rappel d'enregistrement 2.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-03-06 C:\WINDOWS\Tasks\Rappel d'enregistrement 3.job
- C:\WINDOWS\System32\OOBE\oobebaln.exe [2008-04-14 03:34]

2004-02-22 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE []
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-27 21:03:09
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSpqxt.sys"
.
Heure de fin: 2008-10-27 21:04:38
ComboFix-quarantined-files.txt 2008-10-27 20:04:33
ComboFix2.txt 2008-10-27 19:31:27
ComboFix3.txt 2008-10-27 17:51:07
ComboFix4.txt 2008-10-27 15:01:09

Avant-CF: 30 484 443 136 octets libres
Après-CF: 30,466,916,352 octets libres

187 --- E O F --- 2008-10-25 05:56:04





Et le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:11:08, on 27/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Securitoo\av_fw\fswsclds.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
C:\WINDOWS\wanmpsvc.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\LVComS.exe
C:\WINDOWS\System32\DrvMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\APPS\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = C:\APPS\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Windows Live Messenger.lnk = C:\Program Files\MSN Messenger\msnmsgr.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyside.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www.nordnet.com/securite
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Unknown owner - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe (file missing)
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe
O23 - Service: NetThb - Unknown owner - \\?\C:\Program Files\Fichiers communs\Microsoft Shared\lpt4.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: Service Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - C:\Program Files\Windows Live\Messenger\usnsvc.exe (file missing)
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)
0
Réponse 17 / 35
mintna
27 oct. 2008 à 21:19
Et concernant la connexions Internet j'ose pas trop essayer de la rétablir parce que je peux pas réinstaller Avast...Donc sur Internet sans antivirus c'est pas top...
0
Réponse 18 / 35
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 oct. 2008 à 22:39
avast marche:




pour remettre votre icône a coté de l'horloge il vous suffi juste d'aller a la partition C /Progamme Files/Awil .../Avast et cliqué juste sur l'icone ashDisp
0
Réponse 19 / 35
mintna
27 oct. 2008 à 22:49
Il apparait bien dans la barre d'outil mais ne fonctionne pas : impossible de l'ouvrir "Le sous-système AAVM a détecté une erreur RPC". Quand je vais dans ajout/suppression de programmes pour voir ce qu'il me dit sur avast, il me dit qu'il est déjà désinstallé...
0
Réponse 20 / 35
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
27 oct. 2008 à 22:59
vire avast
comme ceci:
https://www.avast.com/fr-fr/uninstall-utility



puis mets antivir et colle un rapport:

https://www.malekal.com/avira-free-security-antivirus-gratuit/
0

Discussions similaires

Imprimante Epson XP-2100 : "imprimante occupée"???
Eveu32 -
billmaxime -

7 réponses
où trouver le freecell du XP
désolation -
lativ -

7 réponses
tampon d'encre epson xp 540
MINETTE -
bazfile -

1 réponse
cartouche imprimante Epson XP 2200
fafouic -
jeannets -

3 réponses