Des Virus partout help!Fermé

Question

Bonjour,

j'ai des virus qui traine, avec des pseudos antivirus qui se sont installes tous seuls, ma connection a internet est limite et des pages apparaissent tous le tps, j ai bien essaye avec agv ms il n a pas resolu tous les pb.

voici le hitrackthis de mon ordi

Merci pour votre aide!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:42:03 AM, on 6/1/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts: <html>
O1 - Hosts: <frameset rows="60%,40%">
O1 - Hosts: <frame src="http://www.crous-poitiers.fr/portail.html" name="up" marginwidth="0" marginheight="0" scrolling="auto" border="0" frameborder="0">
O1 - Hosts: <frame src="frame_login.cgi" name="down" noresize marginwidth="0" marginheight="0" scrolling="auto" border="0" frameborder="0">
O1 - Hosts: </frameset>
O1 - Hosts: </html>
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: atfxqogp - {6813E51A-D108-4693-972A-0490411C4878} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Administrator\cftmon.exe
O4 - HKLM\..\Run: [40a69435] rundll32.exe "C:\WINDOWS\system32\lqqylmhp.dll",b
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdrhk.exe] C:\WINDOWS\system32\kdrhk.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Tok-Cirrhatus-3444] "C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Administrator\cftmon.exe
O4 - HKUS\S-1-5-18\..\Run: [Tok-Cirrhatus] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [autoload] C:\Documents and Settings\LocalService\cftmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [herjek] C:\WINDOWS\herjek.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Hhjg5jfd93dftdf] C:\WINDOWS\TEMP\winlagon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [run] regsvr32.exe /s "C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InstallProgram] C:\WINDOWS\TEMP\setup_526_1_.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Tok-Cirrhatus] (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8B164B6-5163-4097-BF7E-CA71B39D87EB}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{B64D7F17-9FB9-4695-8A6C-729BEA115344}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2779F00-B031-49BD-9BB0-21565CFF5650}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40
O21 - SSODL: vltdfabw - {22FAFC9F-AD7F-41A5-B316-427F3A3EE8BC} - C:\WINDOWS\vltdfabw.dll
O21 - SSODL: vregfwlx - {F5A9041B-5E1A-44A9-8471-527D81466F22} - C:\WINDOWS\vregfwlx.dll
O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\hdxjd4g.dll (file missing)
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\system32\djki397g.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Online Services - Unknown owner - C:\Documents and Settings\wwww\ie_updates3r.exe (file missing)
O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\system32\icf.exe (file missing)
O23 - Service: Task Scheduler (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

momonj · Answer

en effet tu a des choses bizards,mais je ne m'y connais pas assez pour te conseiller

Utilisateur anonyme · Answer

houla la !!!!



c est le souk !!


instal  d urgence un antivirus 

telecharge et instal ANTIVIR :

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html


ensuite :


Imprime ces instructions car il va y avoir un redémarrage de l'ordinateur. 

* Télécharge FixWareout de ce site sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 
hxxp://swandog46.geekstogo.com/Fixwareout.exe 

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse. 

Supprime aussi tous les fichiers crackés et les keygens. Ce sont des nids potentiels ou réels d'infections. 

L'important à suivre, c'est cette ligne : 

O1 - Hosts: localhost 127.0.0.1 

Si elle est encore dans le prochain rapport hijackthis, tu feras ça : 


Télécharge cet outil de SiRi: 

http://siri.urz.free.fr/RHosts.php 

Double cliquer dessus pour l'exécuter 

et cliquer sur " Restore original Hosts " 

ensuite refais un scan hijackthis et poste l erapport stp

jfkpresident · Answer

salut !

Beaucoup d'infections sur ton log hijack !!

On va commencer par celle ci :

# Téléchargez FixWareout LonnyRJones à partir l'une de ces adresses :

    * http://downloads.subratam.org/Fixwareout.exe
    * http://swandog46.geekstogo.com/Fixwareout.exe

# Lancez le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
# Il vous sera demandé de redémarrer votre ordinateur, redémarrez-le. 
# Votre système mettra un peu plus de temps au démarrage, c'est normal.

ensuite :

-> Relance HijackThis cliques sur « scanner seulement » ou (« do a scan only »),
coche les cases devant ces lignes :

O17 - HKLM\System\CCS\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8B164B6-5163-4097-BF7E-CA71B39D87EB}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{B64D7F17-9FB9-4695-8A6C-729BEA115344}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2779F00-B031-49BD-9BB0-21565CFF5650}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40
O17 - HKLM\System\CS2\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40
O17 - HKLM\System\CS3\Services\Tcpip\..\{124642DA-A703-4BB6-BF6E-ECD92D71C032}: NameServer = 85.255.113.75,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.75 85.255.112.40 

et ensuite ferme toutes les fenêtres actives autres que HijackThis!, navigateur inclus,
puis clique "Fix checked"( ou « fixer objet »). Ferme HijackThis! 

reposte moi un nouveau hijack.

jfkpresident · Answer

salut chiquitine ,nos messages se sont croisé !

tu as qu'a continuer ,je reste pour suivre ...

@++  bonne continuation a vous deux .

Utilisateur anonyme · Answer

oui reste please lol

Utilisateur anonyme · Answer

ok j en avait peur en effet 


fait ça :


Imprime ces instructions car il va y avoir un redémarrage de l'ordinateur. 

* Télécharge FixWareout de ce site sur le bureau: 
http://downloads.subratam.org/Fixwareout.exe 
hxxp://swandog46.geekstogo.com/Fixwareout.exe 

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish. 
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal. 

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse. 



ensuite :


Télécharge cet outil de SiRi: 

http://siri.urz.free.fr/RHosts.php 

Double cliquer dessus pour l'exécuter 

et cliquer sur " Restore original Hosts " 


ensuite refais un scan hijackthis et poste le rapport stp

Utilisateur anonyme · Answer

Salut les gars ,
Pour suivre ;)

Utilisateur anonyme · Answer

# Télécharge ceci: (merci a S!RI pour ce petit programme). 

http://siri.urz.free.fr/Fix/SmitfraudFix.zip 

Exécute le, Double click sur Smitfraudfix.cmd choisit l’option 1, 
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php 
il va générer un rapport : copie/colle le sur le poste stp.

Utilisateur anonyme · Answer

non je veux le rapport smithfraud stp 

voir post 10

Utilisateur anonyme · Answer

Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
---------------------------------------------------------------------------- 
# Relance le programme Smitfraud : 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum + un rapport hijackthis fais apres passage de smithfraud option 2 stp

Utilisateur anonyme · Answer

Telecharge malwarebytes 

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 

Copie et colle le rapport stp.

ps : les rapport sont aussi rangé dans l onglet rapport/log

Angel83 · Answer

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 811

6:50:43 AM 6/1/2008
mbam-log-6-1-2008 (06-50-43).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 53865
Temps écoulé: 8 minute(s), 49 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 31
Valeur(s) du Registre infectée(s): 18
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 91

Processus mémoire infecté(s):
C:\WINDOWS\system32\drivers\spools.exe (Trojan.Agent) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\wvUomNGX.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\geBqPHbc.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvuomngx (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\luapvs.tchongabho (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{cf26fac0-7d4e-46d8-ae64-b277b11443ac} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cf26fac0-7d4e-46d8-ae64-b277b11443ac} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b5ac49a2-94f2-42bd-f434-2604812c897d} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b5ac49a2-94f2-42bd-f434-2604812c897d} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b5af0562-94f3-42bd-f434-2604812c797d} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b5af0562-94f3-42bd-f434-2604812c797d} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\{def85c80-216a-43ab-af70-1665edbe2780} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Adware.Search Toolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{037c7b8a-151a-49e6-baed-cc05fcb50328} (Adware.Search Toolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ICF (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\qandr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Google Online Services (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\schedule (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\schedule (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\schedule (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\schedule (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\IQSoftware (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8b46f64-6b40-4b7f-b014-3b3509ddd86a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8b46f64-6b40-4b7f-b014-3b3509ddd86a} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.bwxd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ICF (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\InstallProgram (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b5ac49a2-94f2-42bd-f434-2604812c897d} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{b5af0562-94f3-42bd-f434-2604812c797d} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionununwinlogon (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\herjek (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
tuser (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\40a69435 (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tuser (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
tuser (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebqphbc  -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55274-640-1532467-23731) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\XP Antivirus (Rogue.XPAntivirus) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\WinSpywareProtect (Rogue.MalWarrior) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\wvUomNGX.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Administrator\cftmon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\setup_526_1_.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsrc.dll (Adware.Search Toolbar) -> Quarantined and deleted successfully.
C:\porno.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\pbdv.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vrym534.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vrym656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\4EC0.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\56F9.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\A2-tmpaASI.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\ie_updates3r.exe1 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\3858054990.exe (Trojan.FakeALert) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\csrssc.exe (Trojan.FakeALert) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\2464944552.exe (Trojan.FakeALert) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\A82.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\4CE1.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\728E.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temp\2AB8.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temporary Internet Files\Content.IE5\I1Q50XUV\wmvcodec2.03[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Temporary Internet Files\Content.IE5\I1Q50XUV\ggg3[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011186.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011213.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011215.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011227.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011231.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011235.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011250.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP30\A0011254.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP31\A0011261.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP31\A0011357.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP31\A0011367.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0011368.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0011376.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0011378.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0012375.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0012377.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0012423.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0012425.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0012429.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0013423.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP32\A0013425.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP33\A0013427.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP34\A0013428.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP35\A0013429.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP35\A0013431.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP36\A0013435.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP37\A0013436.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP37\A0013541.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP38\A0013542.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP39\A0013544.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP39\A0013645.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP39\A0013646.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP39\A0013647.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP39\A0013649.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP42\A0013665.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP47\A0014907.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{A5CE31C6-6906-46D3-911F-273B4CEB23D1}\RP47\A0014957.dll (Trojan.Qqpass) -> Quarantined and deleted successfully.
C:\FOUND.000\FILE0004.CHK (Trojan.Agent) -> Quarantined and deleted successfully.
C:\FOUND.000\FILE0010.CHK (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\XP Antivirus\xpa.exe.tmp (Rogue.XPAntivirus) -> Quarantined and deleted successfully.
C:\WINDOWS\herjek.config (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ieupdates.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\herjek.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\spools.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wscmp.dll.tmp (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lqqylmhp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\update32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sex1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sex2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wscmp.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBqPHbc.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\found.exe.exe (Worm.Zhelatin) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kr_done1 (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Local Settings\Tempboome20.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\printsrv32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\cftmon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\cftmon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Favorites\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Favorites\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\wwww\Favorites\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\svchost.t__ (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

pas couché ??

Redémarre le pc si ça n a pas été fais
réouvre malewarebyte
va sur quarantaine
supprime tout

Télécharge clean.zip, de Malekal 
http://www.malekal.com/download/clean.zip 



(1) Dézippe-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean. 

(2) Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd 

une fenêtre noire va apparaître pendant un instant, laisse la ouverte. 

(3) Choisis l'option 1 puis patiente 
Poste le rapport obtenu 


pour retrouver le rapport : double clique sur > C > double clique sur " rapport_clean txt. 
et copie/colle le sur ta prochaine réponse . 

Ne passe pas à l'option 2 sans notre avis !

Angel83 · Answer

Non j etais pas encore couchee, je vois que toi aussi lol

voici le rapport clean 

 Sun 06/01/2008 a 18:08:52.14 
 
*** Recherche  C: 
 
*** Recherche  C:\WINDOWS\ 
 
*** Recherche  C:\WINDOWS\system32 
C:\WINDOWS\system32\mcrh.tmp FOUND 
 
*** Recherche  C:\Program Files 
*** End of the report !

Utilisateur anonyme · Answer

Salut,


réouvre clean, passe l option 2

et envoi le rapport clean stp + un rapport hijackthis fais apes passage de clean option 2 stp

Utilisateur anonyme · Answer

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


-> Double clique combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Utilisateur anonyme · Answer

super 

refais un scan hijackthis et post le rapport stp

Utilisateur anonyme · Answer

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\kdrhk.exe

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

fais de meme pour ce fichier : C:\WINDOWS\system32\shellstyl.dll

balltrap34 · Answer

salut
atention se qui suit est exclusivement reserver a cette ordinateur il ne faut absolument pas l utyiliser pour un autre sous peine de planter le pc

normalement tu as deja telecharger combofix et il doit etre sur ton bureau

ouvre le bloc note et colle ce qui est en gras ci dessous


Files::
C:\WINDOWS\system32\kdrhk.exe
C:\WINDOWS\system32\shellstyl.dll
C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe
C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll
C:\WINDOWS\boqnrwdmqed.dll
C:\WINDOWS\system32\umovsb.tmp
C:\bxqhsfpe.exe
C:\WINDOWS\system32\sex3.ico
C:\WINDOWS\system32\sex2.ico.tmp 
C:\WINDOWS\system32\sex1.ico.tmp
C:\WINDOWS\system32\winsrc.dll.tmp 
C:\WINDOWS\system32\sex3.ico.tmp
C:\WINDOWS\system32\iodrfeup.tmp
C:\WINDOWS\emop.exe


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4F7764DC-5B4A-44B9-B629-E889E542C545}] 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8CA667BF-F25B-40FA-94FF-EE529946A9D1}] 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C636F3A2-DB6F-4C4B-B54A-9FA5DFEA01B8}] 
[-HKEY_CLASSES_ROOT\CLSID\{4F7764DC-5B4A-44B9-B629-E889E542C545}]
[-HKEY_CLASSES_ROOT\CLSID\{8CA667BF-F25B-40FA-94FF-EE529946A9D1}]
[-HKEY_CLASSES_ROOT\CLSID\{C636F3A2-DB6F-4C4B-B54A-9FA5DFEA01B8}]
[-HKEY_CLASSES_ROOT\clsid\{6813e51a-d108-4693-972a-0490411c4878}]
[-HKEY_CLASSES_ROOT\atfxqogp.1]
[-HKEY_CLASSES_ROOT\TypeLib\{DC225FE6-B048-46B4-8AEE-D720C14B6F66}]
[-HKEY_CLASSES_ROOT\atfxqogp] 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus-3444"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\WINDOWS\system32\kdrhk.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-


enregistre le et donne lui comme nom CFScript.txt




[list]Fais un glisser/déposer de ce fichier [b]CFScript/b sur le fichier ComboFix.exe comme sur la capture
[img]http://img.photobucket.com/albums/v666/sUBs/CFScript.gif/img[list]
[*]Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) ,[b] tape 1/b puis valide.
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\[b]ComboFix.txt/b/list

Utilisateur anonyme · Answer

re 

fais ce qui est expliqué par balltrap post 27 stp

Utilisateur anonyme · Answer

Copie le texte ci-dessous : 


File:: 
C:\WINDOWS\emop.exe 
C:\WINDOWS\system32\iodrfeup.tmp 
C:\WINDOWS\system32\sex3.ico.tmp 
C:\WINDOWS\system32\winsrc.dll.tmp 
C:\WINDOWS\system32\sex2.ico.tmp 
C:\WINDOWS\system32\sex1.ico.tmp 
C:\WINDOWS\system32\sex3.ico 
C:\bxqhsfpe.exe 
C:\WINDOWS\system32\umovsb.tmp 
C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe"
C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll

Folder:: 
C:\fixwareout 
C:\upload_moi_PC.tar.gz 
C:\FOUND.001 
C:\FOUND.000 

Driver:: 
ksnhtr 

Registry:: 
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4F7764DC-5B4A-44B9-B629-E889E542C545}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
[-HKEY_CLASSES_ROOT\clsid\{6813e51a-d108-4693-972a-0490411c4878}] 
[-HKEY_CLASSES_ROOT\atfxqogp.1] 
[-HKEY_CLASSES_ROOT\TypeLib\{DC225FE6-B048-46B4-8AEE-D720C14B6F66}] 
[-HKEY_CLASSES_ROOT\atfxqogp] 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Tok-Cirrhatus-3444"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"C:\WINDOWS\system32\kdrhk.exe"=- 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"Tok-Cirrhatus"=- 




Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier sous le nom de CFScript.txt. 

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous : 

http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis. 

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Utilisateur anonyme · Answer

réouvre hijackthis

fais scan only
coche ces lignes :

O2 - BHO: (no name) - {2F06C515-7084-4700-B436-AFBF63A3C519} - C:\WINDOWS\system32\shellstyl.dll 
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdrhk.exe] C:\WINDOWS\system32\kdrhk.exe 

O4 - HKUS\S-1-5-18\..\Run: [run] regsvr32.exe /s "C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll" (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [run] regsvr32.exe /s "C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll" (User 'Default user') 


tu les coches et tu clic sur fix checked 

ensuite :

télécharge OTMoveIt http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. 
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en gras ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 


C:\WINDOWS\system32\shellstyl.dll 
C:\WINDOWS\system32\kdrhk.exe 
C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll
C:\Documents and Settings\LocalService\Application Data\sp1\luapvs.dll


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Utilisateur anonyme · Answer

Télecharge et instal AVG anti spyware:

http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware


instal le et met le a jours

ensuite lance le scan et supprime

puis poste le rapport sur le forum stp

ensuite :

telecharge Ccleaner :

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

instal le sans la barre yahoo 

fais lancer le nettoyage

repete l opération jusqu a ce qu il trouve rien 

ensuite fais registre

fais chercher les erreures 

ensuite fais corriger les erreures 

repete l opération jusqu a ce qu il trouve rien 

ensuite :

Telecharge reg cleaner pour nettoyer le registre: 


http://manuelsdaide.com/RegCleaner/RegCleaner.htm 
________________ 

ouvre le et clic sur TOOL 

Choisi registry cleanup 

clic sur automatic registry cleaner 

laisse scanner et supprime tout

balltrap34 · Answer

re

peut tu ensuite remettre un hijackthis en mode normal

a++

Angel83 · Answer

voila les rapports AVG et hijackthis, j ai un souci en mode normal c est que dans le menu demarrer y a plein de fonctionnalites qui ont disparu dont le menu program... je l ai quand meme fait en mode sans echec....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:18:58 AM, on 6/2/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

Utilisateur anonyme · Answer

telecharge et instal ANTIVIR :

https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

et met le a jours 

ta version de internet explorer n est pas a jours telecharge et instal cette version :


--https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html

et redémarre le pc :

ensuite :

telecharge zeb retore : 

http://telechargement.zebulon.fr/zeb-restore.html 

dezippe le 

fais un clic sur zeb retore (la roue dentelé) 

 

coches les cases une a une notamment celle du bureau 

et clic sur restaurer 

recommnence pour le reste (ce qui ne vas pas )

ensuite redémarre le pc (en mode normal 

refais nous un rapport hijackthis en mode normal si possible 


A découvrir : Estopa, Rosario Flores, La oreja de van gogh.. Bonne écoute

Angel83 · Answer

Salut, 

je suis au bureau mais je fais tout ça ce soir!

A bientôt

Utilisateur anonyme · Answer

OK 
bon courage pour le taf !

Angel83 · Answer

Salut, 

j'ai effectue ce que tu m as dit mais j ai toujours pas toutes les options du menu demarrer ex. programmes, panneau de configuration. 

j ai le fond d ecran tout blanc et qd je click droit y a rien qui se deroule......

Utilisateur anonyme · Answer

maintenat que le pc es clean tu peux faire une restauration a une date antérieures a ces soucis

Utilisateur anonyme · Answer

attend cyril a mis le doight sur quelque chose qui m a échapé ....

Utilisateur anonyme · Answer

as tu le cd windows ??

momonj · Answer

on le répete pourtant assez:
sauvegarde systeme d'exploitation si livré préinstallé et pas de cd
sauvegarde des documents et fichiers personnels

Utilisateur anonyme · Answer

OuiI en réinstallant windows oui 

y a une autre solution moins honéreuse 

il faudrais que tu regarde sous le pc si c est un portable ou sur la tour si c est un pc bureau si tu as la licence et si tu il y a marqué le version windows

Des Virus partout help!

34 réponses

Discussions similaires

Newsletters