Sujet Précédent Sujet Suivant

Virus Remover 2008

Résolu/Fermé
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 - 2 nov. 2008 à 23:51
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 - 14 nov. 2008 à 00:37
Bonjour,

Je suis infecté par Virus Remover 2008. Je sais qu'il y a eu plusieurs post à ce sujet dans ce forum, mais mon problème c'est que je ne comprends rien, mais vraiment RIEN à l'informatique. J'ai cru comprendre tout de même qu'il fallait installé Hijackthis, ce que j'ai fait, ensuite j'ai fait un scan et tout ce que les précédents post conseillaient de faire. Ce qui m'a bloqué dans la suite de ma procédure, c'est quand ils demandaient de "copier le rapport"... copier où, copier quoi? Bref, tout cela m'a semblé très flou. Est-ce que je dois enregistrer le rapport, enfin vous aurez compris que je ne comprends rien ^^! Je colle quand même le rapport ici, vu que c'est ce que j'ai cru comprendre, en espérant que vous pourrez m'aider.

Merci d'avance



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:39:50, on 02/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\DOCUME~1\Samantha\LOCALS~1\Temp\xxx3064.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Samantha\LOCALS~1\Temp\d.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\xvyu5i4c.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: offersfortoday browser enhancer - {5C93276E-6428-B5B2-BAE5-2F40BD509465} - (no file)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Somefox] C:\DOCUME~1\Samantha\LOCALS~1\Temp\xxx3064.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
A voir également:

36 réponses

  • 1
  • 2
Réponse 1 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 00:13
Bonsoir,


Ton ordinateur est bien infecté, il va falloir utiliser plusieurs programmes pour désinfecter, merci de revenir régulièrement jusqu'à confirmation de la fin de la désinfection ;)
Je vais tout t'expliquer en détail, n'hésite pas à poser des questions si besoin.


Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, fais en un copier/coller dans ta prochaine réponse stp.

Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php


0
Réponse 2 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 00:19
SmitFraudFix v2.371

Rapport fait à 0:16:45,09, 03/11/2008
Executé à partir de C:\Documents and Settings\Samantha\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\DOCUME~1\Samantha\LOCALS~1\Temp\xxx3064.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Samantha\LOCALS~1\Temp\d.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\xvyu5i4c.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Samantha\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\



Merci beaucoup
0
Réponse 3 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 00:59
Le rapport est incomplet...
Est-ce qu'il n'y a que ça qui est apparu, ou est-ce que tu n'as copié qu'une partie du rapport ?

0
Réponse 4 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 01:03
Ah oui pardon, en effet je n'avais pas copié jusqu'au bout.

Merci

SmitFraudFix v2.371

Rapport fait à 0:16:45,09, 03/11/2008
Executé à partir de C:\Documents and Settings\Samantha\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\DOCUME~1\Samantha\LOCALS~1\Temp\xxx3064.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\DOCUME~1\Samantha\LOCALS~1\Temp\d.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\xvyu5i4c.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Samantha\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\Tasks\At?.job PRESENT !
C:\WINDOWS\Tasks\At??.job PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\msxml71.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Samantha


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Samantha\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Samantha\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Samantha\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{14091F00-2CEE-45A5-8B49-9EB265C11287}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{14091F00-2CEE-45A5-8B49-9EB265C11287}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{14091F00-2CEE-45A5-8B49-9EB265C11287}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 01:05
OK, c'est mieux :)




1) Maintenant, démarre en mode sans échec :
Pour cela, tu tapotes sur la touche F8 (F5 sur certains pc) dès le début de l’allumage du PC sans t’arrêter, avant l'apparition du logo Windows. Un menu va apparaitre, déplace-toi avec les flèches du clavier sur Démarrer en mode sans échec puis tape Entrée. Choisis ta session habituelle, et ne t'inquiète pas si les couleurs et la taille des icônes changent, c'est normal !

Relance le programme SmitfraudFix.
Cette fois, choisis l’option 2, répond oui à tous;
A la fin, sauvegarde le rapport, redémarre en mode normal, copie-colle le rapport sauvegardé sur le forum.




2) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt ==> copie/colle le ici




3) Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats
- Coche tous les éléments détectés puis clique sur Supprimer la sélection
- Enregistre le rapport
- S'il t'est demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici


0
Réponse 6 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 02:05
SmitFraudFix v2.371

Rapport fait à 1:56:53,95, 03/11/2008
Executé à partir de C:\Documents and Settings\Samantha\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\autorun.inf supprimé
C:\WINDOWS\Tasks\At?.job supprimé
C:\WINDOWS\Tasks\At??.job supprimé
C:\WINDOWS\system32\msxml71.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{14091F00-2CEE-45A5-8B49-9EB265C11287}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{14091F00-2CEE-45A5-8B49-9EB265C11287}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{14091F00-2CEE-45A5-8B49-9EB265C11287}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




Merci
0
Réponse 7 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 02:23
Parfait, j'attends la suite ;)


0
Réponse 8 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 12:14
[b]SDFix: Version 1.238 [/b]
Run by Samantha on 03/11/2008 at 11:53

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 12:04:04
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"J:\\Lucie\\Autres\\eMule\\emule.exe"="J:\\Lucie\\Autres\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\eMule\\eMule.exe"="C:\\Program Files\\eMule\\eMule.exe:*:Disabled:eMule Plus"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe:*:Disabled:backWeb-8876480"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 9 Oct 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 27 Mar 2008 20,576 A.SHR --- "C:\Program Files\Trend Micro\Internet Security\Quarantine\31.tmp"
Thu 27 Mar 2008 20,576 ..SHR --- "C:\Program Files\Trend Micro\Internet Security\Quarantine\EXPLORER.EXE"
Thu 9 Oct 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\55f027fcf4cae1da62fda2405ae3c59e\BIT2.tmp"
Mon 20 Oct 2008 3,518,240 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\737a4b4adf7cb8a3aab3d674c7504026\BITD.tmp"

[b]Finished![/b]
0
Réponse 9 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 21:04
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1358
Windows 5.1.2600 Service Pack 3

03/11/2008 20:57:24
mbam-log-2008-11-03 (20-57-23).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|K:\|)
Eléments examinés: 180244
Temps écoulé: 8 hour(s), 32 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c93276e-6428-b5b2-bae5-2f40bd509465} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c93276e-6428-b5b2-bae5-2f40bd509465} (Adware.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{C64DA4DC-6E09-41BE-9F55-A4B15C4B1095}\RP61\A0008032.dll (Adware.Rotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C64DA4DC-6E09-41BE-9F55-A4B15C4B1095}\RP61\A0008068.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C64DA4DC-6E09-41BE-9F55-A4B15C4B1095}\RP64\A0009223.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C64DA4DC-6E09-41BE-9F55-A4B15C4B1095}\RP68\A0010813.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C64DA4DC-6E09-41BE-9F55-A4B15C4B1095}\RP69\A0010923.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xvyu5i4c.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.





Voila le dernier rapport, celui de MBAM.
Merci beaucoup
0
Réponse 10 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 21:26
Bien, on a enlevé une partie des infections, mais il y a une ligne infectieuse du rapport hijackthis qui n'a pas été détectée.

Je vais donc te demander un nouveau rapport hijackthis, et quand je l'aurai vu, je te proposerai ensuite un dernier programme qui finira la désinfection ;)

0
Réponse 11 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 21:28
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:28:02, on 03/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\BM\TMBMSRV.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\EoRezo\EoAdv\EOREZO~1.DLL (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O5 "LPT1:" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Composant de commande centrale Trend Micro (SfCtlCom) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
0
Réponse 12 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 21:35
OK, on va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit de Trend Micro Internet Security Suite

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp
0
Réponse 13 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 21:44
en effet, j'ai un problème pour désactiver mon anti-virus. il y a un mot de passe, et je l'ai oublié... donc je ne peux pas le désactiver
0
Réponse 14 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 21:54
Il n'y a aucun moyen de récupérer un mot de passe oublié ?

Sinon télécharge Combofix, puis redémarre en mode sans échec avant de lancer le scan (ton antivirus ne sera pas actif en MSE)
0
Réponse 15 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 21:57
ahh nan c'est bon je m'en suis rappelé merci. mais j'espère que vous êtes pas un hacker en train d'essayer de hacker mon pc ^^!

est-ce que je dois aussi désactiver les mises a jour automatiques de mon anti-virus??
0
Réponse 16 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 22:06
"est-ce que je dois aussi désactiver les mises a jour automatiques de mon anti-virus ?"

Non pas besoin, seulement la protection en temps réel, pour qu'elle ne perturbe pas Combofix.


"j'espère que vous êtes pas un hacker en train d'essayer de hacker mon pc ^^ "

Si c'était le cas, je n'aurai pas forcément besoin de te faire désactiver tes logiciels de protection (la preuve, ton ordinateur a été infecté quand même)
Mais je te rassure, même si jamais c'était ce que je voulais faire, je serais totalement incapable de hacker ton PC ;)

0
Réponse 17 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 22:13
ah oui je suis bête lol!

Ils me demandent si je veux installer la console de récupération... je dois dire oui je suppose?
0
Réponse 18 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 22:31
Tu peux le faire si tu veux, mais ce n'est pas obligatoire

0
Réponse 19 / 36
psiloveyou Messages postés 25 Date d'inscription dimanche 2 novembre 2008 Statut Membre Dernière intervention 14 novembre 2008 1
3 nov. 2008 à 22:41
voilà le rapport de combofix

ComboFix 08-11-02.05 - Samantha 2008-11-03 22:34:29.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.523 [GMT 1:00]
Lancé depuis: c:\documents and settings\Samantha\Bureau\C-Fix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Ellen\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\documents and settings\Lucie\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\documents and settings\Samantha\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML
c:\documents and settings\Tatyana\Local Settings\Application Data\Microsoft\Windows Media\10.0\WMSDKNSD.XML
K:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-03 au 2008-11-03 ))))))))))))))))))))))))))))))))))))
.

2008-11-03 21:00 . 2008-11-03 21:00 <REP> d-------- c:\windows\system32\Service
2008-11-03 12:16 . 2008-11-03 12:16 <REP> d-------- c:\documents and settings\Samantha\Application Data\Malwarebytes
2008-11-03 12:15 . 2008-11-03 12:16 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-11-03 12:15 . 2008-11-03 12:15 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-11-03 12:15 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-03 12:15 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-03 11:52 . 2008-11-03 11:52 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2008-11-03 11:50 . 2008-11-03 11:50 <REP> d-------- c:\windows\ERUNT
2008-11-03 02:09 . 2008-11-03 12:13 <REP> d-------- C:\SDFix
2008-11-02 20:07 . 2008-11-02 17:23 144,912 --a------ c:\windows\system32\drivers\tmcomm.sys
2008-11-02 20:07 . 2008-11-02 17:23 50,192 --a------ c:\windows\system32\drivers\tmactmon.sys
2008-11-02 20:07 . 2008-11-02 17:23 49,680 --a------ c:\windows\system32\drivers\tmevtmgr.sys
2008-11-02 20:06 . 2008-11-02 20:06 60,928 --a------ c:\windows\system32\xvyu5i4c.exe
2008-11-02 17:26 . 2007-08-22 10:16 46,456 -ra------ c:\windows\system32\exitwx.exe
2008-11-02 17:23 . 2008-11-02 17:23 1,195,448 --a------ c:\windows\system32\drivers\vsapint.sys
2008-11-02 17:23 . 2008-11-02 17:23 661,808 --a------ c:\windows\system32\UfWSC.cpl
2008-11-02 17:23 . 2008-11-02 17:23 334,352 --a------ c:\windows\system32\drivers\TM_CFW.sys
2008-11-02 17:23 . 2008-11-02 17:23 205,328 --a------ c:\windows\system32\drivers\tmxpflt.sys
2008-11-02 17:23 . 2008-11-02 17:23 80,400 --a------ c:\windows\system32\drivers\tmtdi.sys
2008-11-02 17:23 . 2008-11-02 17:23 36,368 --a------ c:\windows\system32\drivers\tmpreflt.sys
2008-11-02 16:46 . 2008-11-02 16:46 <REP> d-------- c:\program files\Microsoft.NET
2008-11-02 16:46 . 2008-11-02 16:46 <REP> d-------- c:\program files\Microsoft Works
2008-11-01 13:44 . 2008-11-01 13:44 <REP> d-------- c:\program files\MSBuild
2008-11-01 13:40 . 2008-11-01 13:44 <REP> d-------- c:\windows\SHELLNEW
2008-11-01 13:40 . 2008-11-01 13:40 <REP> dr-h----- C:\MSOCache
2008-11-01 13:40 . 2008-11-02 16:45 <REP> d-------- c:\documents and settings\All Users\Application Data\Microsoft Help
2008-10-26 21:32 . 2001-08-23 17:47 8,704 --a------ c:\windows\system32\kbdjpn.dll
2008-10-26 21:32 . 2001-08-23 17:47 8,704 --a--c--- c:\windows\system32\dllcache\kbdjpn.dll
2008-10-26 21:32 . 2001-08-23 17:47 8,192 --a------ c:\windows\system32\kbdkor.dll
2008-10-26 21:32 . 2001-08-23 17:47 8,192 --a--c--- c:\windows\system32\dllcache\kbdkor.dll
2008-10-26 21:32 . 2008-04-14 04:31 6,144 --a------ c:\windows\system32\kbd106.dll
2008-10-26 21:32 . 2001-08-17 22:55 6,144 --a------ c:\windows\system32\kbd101c.dll
2008-10-26 21:32 . 2001-08-17 22:55 6,144 --a------ c:\windows\system32\kbd101b.dll
2008-10-26 21:32 . 2008-04-14 04:31 6,144 --a--c--- c:\windows\system32\dllcache\kbd106.dll
2008-10-26 21:32 . 2001-08-17 22:55 6,144 --a--c--- c:\windows\system32\dllcache\kbd101c.dll
2008-10-26 21:32 . 2001-08-17 22:55 6,144 --a--c--- c:\windows\system32\dllcache\kbd101b.dll
2008-10-26 21:32 . 2001-08-17 22:55 5,632 --a------ c:\windows\system32\kbd103.dll
2008-10-26 21:32 . 2001-08-17 22:55 5,632 --a--c--- c:\windows\system32\dllcache\kbd103.dll
2008-10-26 19:02 . 2008-10-26 19:02 <REP> d-------- c:\windows\Sun
2008-10-24 18:43 . 2008-10-24 18:43 <REP> d-------- c:\program files\MSXML 4.0
2008-10-24 14:54 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-23 19:14 . 2008-10-23 19:14 <REP> d--h----- c:\windows\PIF
2008-10-23 18:33 . 2008-04-14 03:34 92,160 --a------ c:\windows\system32\kswdmcap.ax
2008-10-23 18:33 . 2008-04-14 03:34 92,160 --a--c--- c:\windows\system32\dllcache\kswdmcap.ax
2008-10-23 18:33 . 2008-04-14 03:34 61,952 --a------ c:\windows\system32\kstvtune.ax
2008-10-23 18:33 . 2008-04-14 03:34 61,952 --a--c--- c:\windows\system32\dllcache\kstvtune.ax
2008-10-23 18:33 . 2008-04-14 03:33 54,784 --a------ c:\windows\system32\vfwwdm32.dll
2008-10-23 18:33 . 2008-04-14 03:33 54,784 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll
2008-10-23 18:33 . 2008-04-14 03:34 43,008 --a------ c:\windows\system32\ksxbar.ax
2008-10-23 18:33 . 2008-04-14 03:34 43,008 --a--c--- c:\windows\system32\dllcache\ksxbar.ax
2008-10-23 18:30 . 2008-10-23 18:30 <REP> d-------- c:\program files\Fichiers communs\FotoWire
2008-10-23 18:30 . 2008-10-23 18:30 <REP> d-------- c:\documents and settings\Lucie\Application Data\FotoWire
2008-10-23 18:29 . 2008-10-23 18:29 <REP> d-------- C:\SXS
2008-10-23 18:29 . 2004-02-25 17:03 53,248 -ra------ c:\windows\system32\InstMed.exe
2008-10-23 18:28 . 2008-10-23 18:30 <REP> d-------- c:\program files\Logitech
2008-10-23 18:28 . 2008-10-23 18:28 <REP> d-------- c:\program files\Fichiers communs\Logitech
2008-10-23 18:28 . 2004-02-14 05:04 469,696 --a------ c:\windows\system32\drivers\lvcm.sys
2008-10-23 18:28 . 2004-02-14 05:08 372,736 --a------ c:\windows\system32\LVUI2RC.dll
2008-10-23 18:28 . 1998-11-13 12:16 308,224 --a------ c:\windows\IsUn040c.exe
2008-10-23 18:28 . 2004-02-14 04:55 208,896 --a------ c:\windows\system32\lvcodec2.dll
2008-10-23 18:28 . 2004-02-14 05:01 204,800 --a------ c:\windows\system32\LVUI2.dll
2008-10-23 18:28 . 2004-02-14 04:53 110,592 --a------ c:\windows\system32\lvcoinst.dll
2008-10-23 18:28 . 2008-10-23 18:28 81,920 -r------- c:\windows\bwUnin-6.1.4.36-8876480L.exe
2008-10-23 18:28 . 2004-02-14 05:03 19,968 --a------ c:\windows\system32\drivers\LVUSBSta.sys
2008-10-23 18:28 . 2004-02-14 04:39 5,993 --a------ c:\windows\system32\lvcoinst.ini
2008-10-23 18:28 . 2008-10-23 18:28 260 --a------ c:\windows\_delis32.ini
2008-10-23 12:26 . 2008-11-02 16:46 <REP> d-------- c:\program files\eMule
2008-10-20 20:24 . 2008-10-20 20:24 <REP> dr------- c:\documents and settings\NetworkService\Mes documents
2008-10-20 10:06 . 2008-10-20 10:06 <REP> d-------- c:\documents and settings\Ellen\Application Data\vlc
2008-10-20 09:18 . 2008-10-20 09:18 <REP> d-------- c:\program files\Neuf
2008-10-19 16:01 . 2008-10-19 16:01 <REP> dr------- c:\documents and settings\NetworkService\Favoris
2008-10-18 12:24 . 2008-09-29 23:08 <REP> d--h----- c:\documents and settings\Guest\Voisinage réseau
2008-10-18 12:24 . 2008-09-29 23:08 <REP> d--h----- c:\documents and settings\Guest\Voisinage d'impression
2008-10-18 12:24 . 2008-09-29 21:16 <REP> d--h----- c:\documents and settings\Guest\Modèles
2008-10-18 12:24 . 2008-10-18 12:25 <REP> dr------- c:\documents and settings\Guest\Mes documents
2008-10-18 12:24 . 2008-09-29 23:08 <REP> dr------- c:\documents and settings\Guest\Menu Démarrer
2008-10-18 12:24 . 2008-10-18 12:25 <REP> dr------- c:\documents and settings\Guest\Favoris
2008-10-18 12:24 . 2008-11-01 13:38 <REP> d-------- c:\documents and settings\Guest\Bureau
2008-10-18 12:24 . 2008-10-18 12:24 <REP> d-------- c:\documents and settings\Guest
2008-10-15 16:45 . 2008-10-15 16:45 <REP> d-------- c:\documents and settings\Lucie\Application Data\Zoner
2008-10-15 15:39 . 2008-08-14 14:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-15 15:39 . 2008-08-14 14:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-15 15:39 . 2008-08-14 14:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-15 15:39 . 2008-08-14 14:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-15 15:39 . 2008-09-15 16:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
2008-10-15 15:39 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-11 18:20 . 2008-04-13 19:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
2008-10-11 18:20 . 2008-04-13 19:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
2008-10-11 17:05 . 2008-10-11 17:05 <REP> d-------- c:\windows\EPSON PhotoStarter Essential
2008-10-11 17:05 . 2008-10-11 17:05 <REP> d-------- c:\windows\EPSON CardMonitor Essential
2008-10-11 17:05 . 2008-10-11 17:05 <REP> d-------- c:\documents and settings\All Users\Application Data\UDL
2008-10-11 17:05 . 2003-07-02 00:00 131,072 --a------ c:\windows\system32\Epcmlib.dll
2008-10-11 17:04 . 2008-10-11 17:04 <REP> d-------- c:\program files\ArcSoft
2008-10-11 17:04 . 2001-08-23 15:25 1,706,800 --a------ c:\windows\system32\gdiplus.dll
2008-10-11 17:04 . 1995-07-31 11:44 212,480 --a------ c:\windows\PCDLIB32.DLL
2008-10-11 17:01 . 1999-06-15 10:31 96,768 --a------ c:\windows\SlantAdj.dll
2008-10-11 17:01 . 1999-12-07 01:03 73,216 --a------ c:\windows\ADE.DLL
2008-10-11 17:01 . 1999-04-26 23:17 3,136 --a------ c:\windows\Ade001.bin
2008-10-11 17:01 . 1999-08-09 22:50 72 --------- c:\windows\system32\epDPE.ini
2008-10-11 17:00 . 2008-10-11 17:03 <REP> d-------- c:\program files\Smart Panel
2008-10-11 17:00 . 2004-02-01 01:00 413,696 --a------ c:\windows\system32\PICSDK.dll
2008-10-11 17:00 . 2002-11-14 23:00 114,688 --a------ c:\windows\system32\EpPicPrt.dll
2008-10-11 17:00 . 2002-11-14 23:00 65,536 --a------ c:\windows\system32\EPPicMgr.dll
2008-10-11 17:00 . 2004-02-01 01:00 34,782 --a------ c:\windows\system32\EPPICPrinterDB.dat
2008-10-11 17:00 . 2004-02-01 01:00 27,030 --a------ c:\windows\system32\EPPICPattern1.dat
2008-10-11 17:00 . 2004-02-01 01:00 5,978 --a------ c:\windows\system32\EPPICLocal_FR.cfg
2008-10-11 17:00 . 2004-02-01 01:00 22 --a------ c:\windows\system32\PICSDK.ini
2008-10-11 16:59 . 2008-10-11 17:06 <REP> d-------- c:\program files\epson
2008-10-11 16:59 . 2004-04-20 06:03 79,654 --a------ c:\windows\system32\E_FLM9CE.DLL
2008-10-11 16:59 . 2003-05-21 03:27 64,000 --a------ c:\windows\system32\E_FBCB9CE.DLL
2008-10-11 16:59 . 2003-06-30 23:00 46,080 --a------ c:\windows\system32\escimgd.dll
2008-10-11 16:59 . 2000-06-07 02:01 34,304 --a------ c:\windows\system32\E_FBCH9CE.DLL
2008-10-11 16:59 . 2003-04-10 06:40 31,744 --a------ c:\windows\system32\E_DCINST.DLL
2008-10-11 16:59 . 2003-08-05 23:00 29,184 --a------ c:\windows\system32\escwiadn.dll
2008-10-11 16:59 . 2003-06-30 23:00 22,528 --a------ c:\windows\system32\esccmd.dll
2008-10-11 16:59 . 2008-10-11 16:59 25 --a------ c:\windows\CDE RX420FG.ini
2008-10-11 10:45 . 2008-10-21 17:57 16,384 --a------ c:\windows\DCEBoot.exe
2008-10-11 10:41 . 2008-10-11 10:44 <REP> d-------- c:\windows\nview
2008-10-11 10:41 . 2006-07-20 20:58 208,896 --a------ c:\windows\system32\nvudisp.exe
2008-10-11 10:41 . 2005-06-17 12:41 61,440 -ra------ c:\windows\system32\vuins32.dll
2008-10-11 10:41 . 2008-11-03 21:00 51,048 --a------ c:\windows\system32\nvapps.xml
2008-10-11 10:41 . 2005-11-16 15:51 42,496 -ra------ c:\windows\system32\drivers\fetnd5bv.sys
2008-10-11 10:41 . 2006-07-20 20:58 16,960 --a------ c:\windows\system32\nvdisp.nvu
2008-10-09 16:39 . 2008-10-09 16:39 <REP> d-------- c:\program files\Windows Media Connect 2
2008-10-09 16:38 . 2008-10-09 16:38 <REP> d-------- c:\windows\system32\LogFiles

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-03 20:39 --------- d-----w c:\documents and settings\All Users\Application Data\Trend Micro
2008-11-03 00:57 2,882 ----a-w c:\windows\system32\tmp.reg
2008-11-02 19:07 --------- d-----w c:\program files\Trend Micro
2008-10-10 06:58 82,944 ----a-w c:\windows\system32\o4Patch.exe
2008-10-10 06:58 82,944 ----a-w c:\windows\system32\IEDFix.C.exe
2008-10-01 13:51 87,552 ----a-w c:\windows\system32\VACFix.exe
2008-09-30 18:15 --------- d-----w c:\program files\Windows Live
2008-09-30 18:14 --------- dcsh--w c:\program files\Fichiers communs\WindowsLiveInstaller
2008-09-30 18:13 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-09-30 18:06 --------- d-----w c:\program files\Google
2008-09-29 22:09 9,388 ----a-w c:\windows\system32\drivers\iaStor.PNF
2008-09-29 22:09 7,280 ----a-w c:\windows\system32\drivers\viamraid.PNF
2008-09-29 22:09 63,240 ----a-w c:\windows\system32\drivers\Si3112r.PNF
2008-09-29 22:09 6,984 ----a-w c:\windows\system32\drivers\SiSRaid.PNF
2008-09-29 22:09 20,152 ----a-w c:\windows\system32\drivers\INFCACHE.1
2008-09-29 22:09 12,432 ----a-w c:\windows\system32\drivers\adpu320.PNF
2008-09-29 22:09 12,204 ----a-w c:\windows\system32\drivers\nvraid.PNF
2008-09-29 22:09 10,828 ----a-w c:\windows\system32\drivers\iaAHCI.PNF
2008-09-29 20:58 --------- d-----w c:\program files\Java
2008-09-29 20:30 --------- d-----w c:\program files\microsoft frontpage
2008-09-29 20:25 --------- d-----w c:\program files\Fichiers communs\Java
2008-09-29 20:20 --------- d-----w c:\program files\Services en ligne
2008-09-29 20:17 --------- d-----w c:\program files\Windows Plus
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-08 21:38 88,576 ----a-w c:\windows\system32\AntiXPVSTFix.exe
2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll
2008-08-18 10:19 82,432 ----a-w c:\windows\system32\404Fix.exe
2008-08-14 13:23 2,147,328 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:23 2,025,984 ----a-w c:\windows\system32\ntkrnlpa.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-20 68856]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2008-10-23 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-02-25 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2004-02-25 454656]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2004-02-25 212992]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2008-11-02 970808]
"RTHDCPL"="RTHDCPL.EXE" [2006-09-12 c:\windows\RTHDCPL.EXE]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"nwiz"="nwiz.exe" [2006-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2008-10-23 169472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= c:\windows\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= c:\windows\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=

R3 usbstor;Pilote de stockage de masse USB;c:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 usbscan;Pilote de scanneur USB;c:\windows\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\shell\test\Command - Explorer.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23a7a86a-96d4-11dd-87a6-00161763a5d3}]
\shell\test\Command - J:\Explorer.exe

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'

2008-11-02 c:\windows\Tasks\At100.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-10-26 c:\windows\Tasks\At101.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-10-26 c:\windows\Tasks\At102.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-10-26 c:\windows\Tasks\At103.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-10-26 c:\windows\Tasks\At104.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-10-26 c:\windows\Tasks\At105.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-01 c:\windows\Tasks\At106.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-01 c:\windows\Tasks\At107.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-01 c:\windows\Tasks\At108.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-03 c:\windows\Tasks\At109.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-01 c:\windows\Tasks\At110.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-10-30 c:\windows\Tasks\At111.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-02 c:\windows\Tasks\At112.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-01 c:\windows\Tasks\At113.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-02 c:\windows\Tasks\At114.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-02 c:\windows\Tasks\At115.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-01 c:\windows\Tasks\At116.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-10-30 c:\windows\Tasks\At117.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-02 c:\windows\Tasks\At118.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-03 c:\windows\Tasks\At119.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]

2008-11-02 c:\windows\Tasks\At120.job
- c:\windows\system32\xvyu5i4c.exe [2008-11-02 20:06]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-EoEngine - (no file)


.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
R1 -: HKCU-Internet Settings,ProxyOverride = localhost
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-03 22:38:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-11-03 22:39:16
ComboFix-quarantined-files.txt 2008-11-03 21:39:12

Avant-CF: 301 779 324 928 octets libres
Après-CF: 304,646,873,088 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

302 --- E O F --- 2008-10-24 17:44:06
0
Réponse 20 / 36
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 nov. 2008 à 23:16
Toujours avec toutes les protections désactivées et tous les programmes fermés, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
c:\windows\Tasks\At100.job
c:\windows\Tasks\At101.job
c:\windows\Tasks\At102.job
c:\windows\Tasks\At103.job
c:\windows\Tasks\At104.job
c:\windows\Tasks\At105.job
c:\windows\Tasks\At106.job
c:\windows\Tasks\At107.job
c:\windows\Tasks\At108.job
c:\windows\Tasks\At109.job
c:\windows\Tasks\At110.job
c:\windows\Tasks\At111.job
c:\windows\Tasks\At112.job
c:\windows\Tasks\At113.job
c:\windows\Tasks\At114.job
c:\windows\Tasks\At115.job
c:\windows\Tasks\At116.job
c:\windows\Tasks\At117.job
c:\windows\Tasks\At118.job
c:\windows\Tasks\At119.job
c:\windows\Tasks\At120.job
c:\windows\system32\xvyu5i4c.exe

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes

· Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt





# Désinfecte ensuite tes disques amovibles :

- Télécharge UsbFix (de Chiquitine29) sur ton Bureau : http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
Lance l'installation avec les paramètres par défaut
Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
Double clique sur le raccourci UsbFix sur ton bureau
Le pc va redémarrer
Après redémarrage, poste le rapport UsbFix.txt (il est sauvegardé a la racine du disque dur)


- Télécharge l'outil Flash_Disinfector (de sUBs) pour les vacciner :
ici http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
ou ici download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra, branche tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3...) sans les ouvrir
Puis clique sur OK
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaître le bureau.

0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Je veux télécharger google earth 2008
manon45 -
jomana -

18 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses