pb virusRésolu/Fermé

Question

Bonjour,
Neofite en informatik, je solicite votre aide car pb avec pc antispyware 2010 impossible a suprimé. je sui sur orange  g antivir é je ne coné pa la config de mon matos j compren rien. urgent, merci davance

kevin05 · Answer

Salut.



- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau. 

- Double-clique sur RSIT.exe afin de lancer le programme. 

- A l'écran Disclaimer Choisis "1 months" dans le menu déroulant puis clique sur <continue>.  

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt 

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

kevin05 · Answer

Télécharge  SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 


Une fois sauvegardé sur ton bureau, double clique sur SDFix.exe et choisis Install pour l’extraire dans un dossier dédié sur le Bureau. 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
* Redémarre ton ordinateur 
* Après avoir entendu l’ordinateur biper lors du démarrage, mais avant que l’icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
* Choisis ton compte. 

Déroule la liste des instructions ci-dessous : 
* Ouvre le dossier SDFix qui vient d’être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
* Appuie sur Y pour commencer le processus de nettoyage. 
* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d’appuyer sur une touche pour redémarrer. 
* Appuie sur une touche pour redémarrer le PC. 

* Ton système sera plus long pour redémarrer qu’à l’accoutumée car l’outil va continuer à s’exécuter et supprimer des fichiers. 
* Après le chargement du Bureau, l’outil terminera son travail et affichera Finished. 
* Appuie sur une touche pour finir l’exécution du script et charger les icônes de ton Bureau. 
* Les icônes du Bureau affichées, le rapport SDFix s’ouvrira à l’écran et s’enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum 

TUTO Si besoin   

Si SDfix ne se lance pas (ça arrive!)

* Démarrer->Exécuter

* Copie/colle ceci :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

* Clique sur ok, et valide.

* Redémarre et essaye de nouveau de lancer SDfix.

kevin05 · Answer

/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge (de sUBs) ComboFix sur ton Bureau.
• Fais un clic-droit sur ComboFix.exe ( pour vista :  choisis "Exécuter en temps qu'administrateur".
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
 
Tutoriel officiel de Combofix

kevin05 · Answer

* Télécharge OtmoveIT (de Old_Timer) sur ton Bureau

 (c est le numéro 7 en bas de la page) :

* Double-clique sur OTMoveIt.exe pour le lancer.

* Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.


:processes
explorer.exe 


:services 


:files 
c:\windows\system32\wisdstr.exe 
c:\windows\system32\lowsec     
c:\documents and settings\M\reader_s.exe 
c:\windows\system32\reader_s.exe 
c:\windows\cajomezeho.dat     
c:\windows\aturi.dat     
c:\program files\Fichiers communs\ytyl.dat     
c:\windows\zuxocazyh.com     
c:\program files\rkfree 
c:\documents and settings\All Users\Application Data\rkfree 

:Commands
[emptytemp]
[purity]
[start explorer] 
[Reboot] 

# clique sur MoveIt! pour lancer la suppression.

# Le résultat apparaitra dans le cadre "Results".

# Clique sur Exit pour fermer.

# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Utilisateur anonyme · Answer

Heu...

c:\windows\system32\reader_s.exe 

ViruT nan ?

franky013 · Answer

c le bon? chak foi ke je ve envoyé 1 truk ca bug é il fo ke je recomence é g de la chance kan ca redemar pa

kevin05 · Answer

Heu...

c:\windows\system32\reader_s.exe

ViruT nan ?

Va savoir ludo... :p,j'avais pas tilté sur le coup..

Franky013

Langage sms = contraire à la charte...evite ecrit en bon francais que se soit lisible.Tu veras tout va bien se passer ;)

> Télécharge ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe Dr Web CureIt sur ton Bureau :

- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;

- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

fix200 · Answer

Salut A tous :)

Kevin : Très coriace le braviax et le virut :p ...

Mais , je connais une manip efficace pour s'en débarrasser puisque l'infection patche les fichiers systèmes , faudrait installer la console de récupération avec Combofix , après le passage de dr-web cureit .

Voili voilou , bonne chasse a vous ;)

franky013,

La suite : > https://forums.commentcamarche.net/forum/affich-14270878-pb-virus#12

++

kevin05 · Answer

Salut fix ;p

Ouép y'as du boulot 

Il est bourré son pc...

fix200 · Answer

Oué :(  ...

C'est des variantes très coriaces de braviax ...

Bonne chasse , mais je reste quand même pour suivre ;)

kevin05 · Answer

Ouép :(,il est mal barré en tout cas.

franky013 · Answer

bonsoir,

Desolé, je n'ai pu repondre avant!
dfqupd32.exe;c:\documents and settings\m\menu démarrer\programmes\démarrage;Trojan.Botnetlog.11;Supprimé.;
pc_antispyware2010.exe;c:\program files\pc_antispyware2010;Trojan.Fakealert.4967;Irréparable.Quarantaine.;
cru629.dat;c:\windows\system32;Trojan.Proxy.1739;Supprimé.;
beep.sys;c:\windows\system32\drivers;Trojan.NtRootKit.3206;Supprimé.;
upload_moi_FIZERO.tar.gz/upload_moi.tar\WINDOWS/System32/mxrsjeie.dll;C:\upload_moi_FIZERO.tar.gz/upload_moi.tar;Trojan.Virtumod.based;;
upload_moi_FIZERO.tar.gz/upload_moi.tar\WINDOWS/System32/tkjuohne.dll;C:\upload_moi_FIZERO.tar.gz/upload_moi.tar;Trojan.Virtumod.372;;
upload_moi_FIZERO.tar.gz/upload_moi.tar\WINDOWS/System32/xlgcnesa.dll;C:\upload_moi_FIZERO.tar.gz/upload_moi.tar;Trojan.Virtumod.based;;
upload_moi_FIZERO.tar.gz/upload_moi.tar\WINDOWS/System32/sbgsmqnd.dll;C:\upload_moi_FIZERO.tar.gz/upload_moi.tar;Trojan.Virtumod.based;;
upload_moi_FIZERO.tar.gz/upload_moi.tar\WINDOWS/System32/wjgmebrs.dll;C:\upload_moi_FIZERO.tar.gz/upload_moi.tar;Trojan.Virtumod.based;;
upload_moi_FIZERO.tar.gz/upload_moi.tar\WINDOWS/System32/kmthdjif.dll;C:\upload_moi_FIZERO.tar.gz/upload_moi.tar;Trojan.Virtumod.based;;
upload_moi.tar;C:\;L'archive contient des éléments infectés;;
upload_moi_FIZERO.tar.gz;C:\;L'archive contient des éléments infectés;Quarantaine.;
pskill.exe;C:\Documents and Settings\M\Bureau\clean\clean;Tool.ProcessKill.7;Quarantaine.;
Patch_ACDSee501_vf.exe;C:\Program Files\ACD Systems\ACDSee\5.0;Tool.ASEye.2;Quarantaine.;
Uninstall.exe;C:\Program Files\PC_Antispyware2010;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
wscui.cpl;C:\Program Files\PC_Antispyware2010;Trojan.Fakealert.4739;Supprimé.;
reader_s.exe.vir;C:\Qoobox\Quarantine\C\Documents and Settings\M;Trojan.DownLoad.37236;Supprimé.;
PC_Antispyware2010.exe.vir;C:\Qoobox\Quarantine\C\Program Files\PC_Antispyware2010;Trojan.Fakealert.4967;Irréparable.Quarantaine.;
Uninstall.exe.vir;C:\Qoobox\Quarantine\C\Program Files\PC_Antispyware2010;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
wscui.cpl.vir;C:\Qoobox\Quarantine\C\Program Files\PC_Antispyware2010;Trojan.Fakealert.4739;Supprimé.;
kmthdjif.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.based;Irréparable.Quarantaine.;
mxrsjeie.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.based;Irréparable.Quarantaine.;
reader_s.exe.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.DownLoad.37236;Supprimé.;
sbgsmqnd.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.based;Irréparable.Quarantaine.;
tkjuohne.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.372;Supprimé.;
wisdstr.exe.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
wjgmebrs.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.based;Irréparable.Quarantaine.;
xlgcnesa.dll.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod.based;Irréparable.Quarantaine.;
beep.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\dllcache;Trojan.NtRootKit.3206;Supprimé.;
figaro.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\dllcache;Trojan.NtRootKit.3206;Supprimé.;
beep.sys.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers;Trojan.NtRootKit.3206;Supprimé.;
Process.exe;C:\SDFix\apps;Tool.Prockill;Quarantaine.;
A0064805.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP517;Trojan.Fakealert.4739;Supprimé.;
A0065553.sys;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP519;Trojan.NtRootKit.3206;Supprimé.;
A0065563.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP519;Trojan.Fakealert.4739;Supprimé.;
MFEX-1.DAT;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP519\snapshot;Trojan.NtRootKit.3206;Supprimé.;
A0065587.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP520;Trojan.Fakealert.4739;Supprimé.;
A0065592.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP520;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
A0065593.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP520;Trojan.Fakealert.4739;Supprimé.;
A0065601.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP520;Trojan.Fakealert.4967;Irréparable.Quarantaine.;
A0065652.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4739;Supprimé.;
A0065657.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
A0065658.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4739;Supprimé.;
A0065666.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4967;Irréparable.Quarantaine.;
A0065718.sys;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.NtRootKit.3206;Supprimé.;
A0065721.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4739;Supprimé.;
A0065739.sys;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.NtRootKit.3206;Supprimé.;
A0065744.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4739;Supprimé.;
A0065819.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.DownLoad.37236;Supprimé.;
A0065834.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4967;Irréparable.Quarantaine.;
A0065836.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
A0065837.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4739;Supprimé.;
A0065851.dll;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Virtumod.based;Irréparable.Quarantaine.;
A0065859.dll;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Virtumod.based;Irréparable.Quarantaine.;
A0065864.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.DownLoad.37236;Supprimé.;
A0065866.dll;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Virtumod.based;Irréparable.Quarantaine.;
A0065867.dll;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Virtumod.372;Supprimé.;
A0065871.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
A0065872.dll;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Virtumod.based;Irréparable.Quarantaine.;
A0065873.dll;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Virtumod.based;Irréparable.Quarantaine.;
A0068684.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Botnetlog.11;Supprimé.;
A0068685.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4967;Irréparable.Quarantaine.;
A0068686.sys;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.NtRootKit.3206;Supprimé.;
A0068687.exe;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4747;Irréparable.Quarantaine.;
A0068688.cpl;C:\System Volume Information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521;Trojan.Fakealert.4739;Supprimé.;
cru629.dat;C:\WINDOWS\system32;Trojan.Proxy.1739;Supprimé.;
vbwFunctionsVB6.dll;C:\WINDOWS\system32;Trojan.Siggen.2468;Supprimé.;
_scui.cpl;C:\WINDOWS\system32;Trojan.Fakealert.4739;Supprimé.;
reader_s.exe;C:\_OTM\MovedFiles\09072009_001633\documents and settings\M;Trojan.DownLoad.37236;Supprimé.;
reader_s.exe;C:\_OTM\MovedFiles\09072009_001633\windows\system32;Trojan.DownLoad.37236;Supprimé.;
wisdstr.exe;C:\_OTM\MovedFiles\09072009_001633\windows\system32;Trojan.Fakealert.4747;Irréparable.Quarantaine.;

kevin05 · Answer

Salut 

Poste un nouveau rapport rsit stp 

@+

franky013 · Answer

ci-joint nouveau rapport et merci encore !

Logfile of random's system information tool 1.06 (written by random/random)
Run by M at 2009-09-08 20:46:20
Microsoft Windows XP Édition familiale Service Pack 1
System drive C: has 13 GB (67%) free of 20 GB
Total RAM: 511 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:46:22, on 08/09/2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Orange\LiveAssistant.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\braviax.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Motive\McciCMService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\OrangeHSS\browser\browser.exe
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe
C:\Documents and Settings\M\Bureau\RSIT.exe
C:\Program Files	rend micro\M.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [Orange_McciTrayApp] C:\Program Files\Orange\LiveAssistant.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [rkfree] "C:\Program Fileskfreekfree.exe" /b
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32eader_s.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKLM\..\Run: [PC Antispyware 2010] "C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe" /hide
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Meader_s.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~2.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Orange 8.0; NaviWoo2.0; .NET CLR 1.1.4322)" -"http://www8.agame.com/..."
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?8c4b13925d1f493f825a604478a29d6c
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?8c4b13925d1f493f825a604478a29d6c
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://pfttbc.ft.motive.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F99B4C81-5CC1-4C14-9CA4-917D8CC03323}: NameServer = 212.27.32.176
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: McciCMService - Motive Communications, Inc. - C:\Program Files\Fichiers communs\Motive\McciCMService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

kevin05 · Answer

On est mal barré...

Il ne faut pas que tu redemarre le pc !jamais sous aucun pretexte


Refais combofix stp.

Utilisateur anonyme · Answer

Non ! Pas combofix ! [Je prends la relève] Fais ceci 2/3 fois de suite et poste les 2/3 rapports générés à la suite dans ta réponse stp ! > Télécharge Dr.Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe ou https://free.drweb.com/cureit/ - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l'icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autres). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse. A+

franky013 · Answer

Que dois-je faire ? 

ComboFix 09-09-08.01 - M 08/09/2009 21:09.3.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.1.1252.33.1036.18.511.140 [GMT 2:00]
Lancé depuis: c:\documents and settings\M\Bureau\ComboFix.exe
FW: Sunbelt Kerio Personal Firewall *enabled* {E659E0EE-10E6-49B7-8696-60F38D0EB174}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\ifaju.com
c:\documents and settings\All Users\Application Data\vudupife.scr
c:\documents and settings\All Users\Documents\ohot.scr
c:\documents and settings\All Users\Documents	ugarenor.sys
c:\documents and settings\M\Application Data\jozuj.bin
c:\documents and settings\M\Application Data\kydaxakehi._sy
c:\documents and settings\M\Application Data\Microsoft\Internet Explorer\Quick Launch\PC_Antispyware2010.lnk
c:\documents and settings\M\Application Data\orapiqi.pif
c:\documents and settings\M\Application Data\qozy.inf
c:\documents and settings\M\Application Data\umeb.bat
c:\documents and settings\M\Application Data\wiaservg.log
c:\documents and settings\M\Application Data\zajenacego.dll
c:\documents and settings\M\Bureau\PC_Antispyware2010.lnk
c:\documents and settings\M\Cookies\bihu.bat
c:\documents and settings\M\Cookies\jahet.com
c:\documents and settings\M\Cookiesede.reg
c:\documents and settings\M\Cookiesymizali.ban
c:\documents and settings\M\Cookies\uheruho.scr
c:\documents and settings\M\Local Settings\Application Data\pobebu.dl
c:\documents and settings\M\Local Settings\Application Data\ucunaqim.ban
c:\documents and settings\M\Local Settings\Application Data\usecopily.vbs
c:\documents and settings\M\Local Settings\Application Data\wehev.ban
c:\documents and settings\M\Local Settings\Temporary Internet Files
edewepimo.inf
c:\documents and settings\M\Local Settings\Temporary Internet Files
esupikur.dll
c:\program files\Fichiers communs\efixu.bat
c:\program files\Fichiers communs\faramak.sys
c:\program files\Fichiers communs\kimihuvax.sys
c:\program files\Fichiers communs\sygomab.bin
c:\program files\Fichiers communs\ujofesuze.sys
c:\program files\Fichiers communs\usisipa.reg
c:\program files\Fichiers communs\xofoqawol._dl
c:\program files\PC_Antispyware2010
c:\program files\PC_Antispyware2010\AVEngn.dll
c:\program files\PC_Antispyware2010\data\daily.cvd
c:\program files\PC_Antispyware2010\htmlayout.dll
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcm80.dll
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcp80.dll
c:\program files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcr80.dll
c:\program files\PC_Antispyware2010\PC_Antispyware2010.cfg
c:\program files\PC_Antispyware2010\PC_Antispyware2010.exe
c:\program files\PC_Antispyware2010\pthreadVC2.dll
c:\program files\PC_Antispyware2010\Uninstall.exe
c:\program files\PC_Antispyware2010\wscui.cpl
c:\windows\braviax.exe
c:\windows\ehej.sys
c:\windows\iraqiju.bat
c:\windows\kajypi.dll
c:\windows\ojuruby.dl
c:\windows\system32\_scui.cpl
c:\windows\system32\braviax.exe
c:\windows\system32\fywavam.ban
c:\windows\system32\gipohesan.dl
c:\windows\system32\sdra64.exe
c:\windows\system32\wbem\proquota.exe
c:\windows\system32\wisdstr.exe
c:\windows\uzosudy.dl
c:\windows\ylyle.dl
c:\windows\yxejy.scr

c:\windows\system32\proquota.exe était absent 
Copie restaurée à partir de - c:\system volume information\_restore{38A3208A-B97D-447D-8125-61BF3B0915B1}\RP521\A0065905.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-08-08 au 2009-09-08  ))))))))))))))))))))))))))))))))))))
.

2009-09-08 19:18 . 2003-04-24 12:00	45568	-c--a-w-	c:\windows\system32\dllcache\proquota.exe
2009-09-08 19:18 . 2003-04-24 12:00	45568	----a-w-	c:\windows\system32\proquota.exe
2009-09-07 15:12 . 2009-09-07 15:26	--------	d-----w-	c:\documents and settings\M\DoctorWeb
2009-09-06 22:16 . 2009-09-06 22:16	--------	d-----w-	C:\_OTM
2009-09-06 16:33 . 2009-09-06 16:33	--------	d-----w-	c:\windows\ERUNT
2009-09-06 16:20 . 2009-09-06 16:57	--------	d-----w-	C:\SDFix
2009-09-06 15:46 . 2009-09-08 18:49	--------	d-----w-	C:sit
2009-09-01 17:08 . 2009-09-01 17:08	--------	d-----w-	C:\CD_Permanent
2009-08-22 17:35 . 2009-08-22 17:35	--------	d-----w-	c:\documents and settings\M\Local Settings\Application Data\Google
2009-08-16 17:09 . 2009-08-16 17:09	--------	d-----w-	c:\documents and settings\All Users\Application Data\Trymedia
2009-08-16 17:08 . 2009-08-16 17:08	--------	d-----w-	c:\program files\BFG
2009-08-11 18:18 . 2009-08-11 18:18	--------	d-----w-	c:\documents and settings\All Users\Application Data\Zylom

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-08 18:46 . 2008-04-22 18:06	--------	d-----w-	c:\program files\Trend Micro
2009-09-08 18:05 . 2009-09-08 18:05	18275	----a-w-	c:\documents and settings\M\Application Data\ykejydyjih.dat
2009-09-08 18:05 . 2009-09-08 18:05	15927	----a-w-	c:\program files\Fichiers communs\acemodewim._sy
2009-09-06 18:49 . 2009-09-06 18:49	17271	----a-w-	c:\documents and settings\All Users\Application Data\pebeh.dat
2009-09-06 16:32 . 2008-07-26 08:58	362	----a-w-	c:\windows\system32\drivers\fwdrv.err
2009-09-06 09:27 . 2009-09-06 09:27	12315	----a-w-	c:\program files\Fichiers communs\upycu.lib
2009-09-05 21:32 . 2009-09-05 21:32	13102	----a-w-	c:\program files\Fichiers communs\lygujuzi.lib
2009-09-05 20:16 . 2007-08-10 20:03	197760	----a-w-	c:\windows\system32\drivers
dis.sys
2009-09-01 17:08 . 2003-08-12 20:08	--------	d--h--w-	c:\program files\InstallShield Installation Information
1999-04-06 12:27 . 1999-04-06 12:27	99840	-c--a-w-	c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 . 1998-12-09 02:53	70144	-c--a-w-	c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53	48640	-c--a-w-	c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53	31744	-c--a-w-	c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53	186368	-c--a-w-	c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 . 1998-12-09 02:53	17920	-c--a-w-	c:\program files\Fichiers communs\IRASRIAL.DLL
.

------- Sigcheck -------

[-] 2009-09-05 20:16 . 41B572BED1081B840EEBA74DB5B60010 . 197760 . . [------] . . c:\windows\system32\drivers
dis.sys
[-] 2009-09-05 20:16 . 41B572BED1081B840EEBA74DB5B60010 . 197760 . . [------] . . c:\windows\system32\dllcache
dis.sys
[7] 2003-10-04 . D999CE17681D7D074D534FC5BC662E0A . 168192 . . [5.1.2600.1254] . . c:\windows\Driver Cache\i386
dis.sys
[7] 2003-04-24 . 3B350E5A2A5E951453F3993275A4523A . 167552 . . [5.1.2600.1106] . . c:\windows\LastGood.Tmp\System32\DllCache
dis.sys
[7] 2003-04-24 . 3B350E5A2A5E951453F3993275A4523A . 167552 . . [5.1.2600.1106] . . c:\windows\LastGood.Tmp\System32\DRIVERS
dis.sys



c:\windows\system32\drivers\beep.sys ... manque !!
c:\windows\system32\xmlprov.dll ... manque !!
.
(((((((((((((((((((((((((((((   SnapShot@2009-09-06_18.42.42   )))))))))))))))))))))))))))))))))))))))))
.
+ 2003-08-12 20:04 . 2009-09-08 17:57	81920              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2003-08-12 20:04 . 2009-09-06 18:21	81920              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2003-08-12 20:04 . 2009-09-08 17:57	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2003-08-12 20:04 . 2009-09-06 18:21	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2003-08-12 20:04 . 2009-09-08 17:57	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2003-08-12 20:04 . 2009-09-06 18:21	16384              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-09-08 18:32 . 2009-07-29 15:49	24281536              c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 1449984]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LiveMonitor"="c:\program files\MSI\Live Update 3\LMonitor.exe" [2007-01-17 496640]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"LVCOMSX"="c:\windows\System32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-01-22 107248]
"Orange_McciTrayApp"="c:\program files\Orange\LiveAssistant.exe" [2007-12-21 1476608]
"avgnt"="c:\program files\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 327720]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-10-31 67128]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Symantec Fax Starter Edition Port.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Symantec Fax Starter Edition Port.lnk
backup=c:\windows\pss\Symantec Fax Starter Edition Port.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"=

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [23/04/2008 11:58 14848]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [23/04/2008 11:58 40000]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [16/03/2007 09:56 302000]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [16/03/2007 09:56 72496]
S3 Ip6FwHlp;Pare-feu de connexion Internet IPv6;c:\windows\System32\svchost.exe -k netsvcs [10/08/2007 22:03 12800]
.
Contenu du dossier 'Tâches planifiées'

2009-09-08 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2006-09-27 15:39]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-rkfree - c:\program fileskfreekfree.exe
HKLM-Run-PC Antispyware 2010 - c:\program files\PC_Antispyware2010\PC_Antispyware2010.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
uSearchURL,(Default) = hxxp://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?8c4b13925d1f493f825a604478a29d6c
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?8c4b13925d1f493f825a604478a29d6c
IE: Translate this web page with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
Trusted Zone: 0.0.0.0
Trusted Zone: motive.com\pfttbc.ft
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
TCP: {F99B4C81-5CC1-4C14-9CA4-917D8CC03323} = 212.27.32.176
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-08 21:18
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\System32\Macromed\Flash\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\WINDOWS\System32\Macromed\Flash\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(560)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(620)
c:\windows\System32\dssenh.dll
.
Heure de fin: 2009-09-08 21:22
ComboFix-quarantined-files.txt  2009-09-08 19:22
ComboFix2.txt  2009-09-06 18:51

Avant-CF: 13 990 461 440 octets libres
Après-CF: 14 011 461 632 octets libres

247	--- E O F ---	2009-09-08 18:33

fix200 · Answer

Salut franky

juste de passage : ne redémarre pas le PC  car les infections reviendront.

++

kevin05 · Answer

La suite ici : https://forums.commentcamarche.net/forum/affich-14270878-pb-virus#23

Pb virus

19 réponses

Discussions similaires

Newsletters