warning spyware detected on your computer...Résolu/Fermé

Question

Bonjour,

 J'ai donc ce message: Warning spyware detected on your computer... qui s'affiche en tant que theme du bureau, avec un écran de veille avec plein de faux messages d'alerte je suis bien connectée à internet  d'après mon pc mais impossible d'accéder aux pages internet. J'espère que vous pourrez m'aider...Je precise que je suis novice en informatique. Merci

Destrio5 · Answer

Salut,

- Télécharge HijackThis V 2.02 (HijackThis Installer) :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

chou95 · Answer

voici le résultat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:55, on 28/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\UPHClean\uphclean.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: Symantec Settings Manager (ccsetmgr) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

chimay8 · Answer

Bonjour,
manque les trois-quart du log
tu peux recommencer stp

chou95 · Answer

En fait j'avais déjà fait un scan avec hijackthis et ensuite j'avais tous supprimer avec fix checked voila c'est peut etre pour ça. Cela pose un problème?

Destrio5 · Answer

Olala...

chou95 · Answer

Comment je peux faire????

Destrio5 · Answer

---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

chou95 · Answer

voici le rapport:

Malwarebytes' Anti-Malware 1.25
Version de la base de données: 1062
Windows 5.1.2600 Service Pack 2

19:00:14 28/08/2008
mbam-log-08-28-2008 (19-00-14).txt

Type de recherche: Examen rapide
Eléments examinés: 42120
Temps écoulé: 5 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 4
Clé(s) du Registre infectée(s): 41
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 18
Fichier(s) infecté(s): 55

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\ddcCUmKE.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fgkpnvxu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\efcCvSKa.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\hdjxzj.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10990d5b-d686-4cd2-81eb-c7540450a1ba} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efccvska (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{10990d5b-d686-4cd2-81eb-c7540450a1ba} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{667236e7-a527-4ae0-978e-3ef3a3d1c413} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{667236e7-a527-4ae0-978e-3ef3a3d1c413} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a76b8533-8b8c-43ff-90f7-4ac9f665e2ff} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{a76b8533-8b8c-43ff-90f7-4ac9f665e2ff} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT	estcpv6.bho (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT	estcpv6.bho.1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{17e44256-51e0-4d46-a0c8-44e80ab4ba5b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e4a04a1-a24d-45ae-aca4-949778400813} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f7d09218-46d7-4d3d-9b7f-315204cd0836} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e0f01490-dcf3-4357-95aa-169a8c2b2190} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e63648f7-3933-440e-b4f6-a8584dd7b7eb} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{63334394-3da3-4b29-a041-03535909d361} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{80ef304a-b1c4-425c-8535-95ab6f1eefb8} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{ff46f4ab-a85f-487e-b399-3f191ac0fe23} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\speedrunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\BHO_MyJavaCore.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bho_myjavacore.mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWAREhc3wqj0eldl (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Webtools (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\x123.x123mgr (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\x123.x123mgr.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SpeedRunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID	estCPV6.DLL (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\e405.e405mgr (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\28daf35d (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{10990d5b-d686-4cd2-81eb-c7540450a1ba} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm2be9c0c1 (Trojan.Agent) -> Delete on reboot.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ddccumke -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddccumke  -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\InetGet2 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Webtools (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kBin15 (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Skra (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Mjcore (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\604262 (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Data\speedrunner (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Datahc3wqj0eldl\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\efcCvSKa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hdjxzj.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ddcCUmKE.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\EKmUCcdd.ini (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\EKmUCcdd.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\asxjiafg.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gfaijxsa.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fgkpnvxu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\uxvnpkgf.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mybdaecm.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mceadbym.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\Mjcore\Mjcore.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\604262\604262.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Program Files\Webtools\webtools.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\b152.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\b155.exe (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\b156.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\b157.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\mrofinu1000106.exe.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\mrofinu1188.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
nnnMDTl.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kpqesm.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kzlxrd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cqbnpico.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cqpoyqvj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eoelmieu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gcpvkglx.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hwxssnhk.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\jsvpkrmu.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\obmpwp.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32yurmlmn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbqeglcu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Data\Microsoft\Windows\dgtruk.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kBin15\kBin151080.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Skra\Skra.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Data\speedrunner\config.cfg (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Data\speedrunner\SpeedRunner.exe (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\Documents and Settings\Chou\Application Data\speedrunner\SRUninstall.exe (Adware.SurfAccuracy) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\msauc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell31.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wpx24.cpx (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\keqxrlpq.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM2be9c0c1.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM2be9c0c1.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc7wqj0eldl.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc7wqj0eldl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phc7wqj0eldl.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphc7wqj0eldl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ubpr01.exe (Trojan.Zlob) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest32.exe (Rootkit.Agent) -> Quarantined and deleted successfully.

chou95 · Answer

Egalement il n'y a plus le message en fond d'écran.
Merci pour ton aide

Destrio5 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

chou95 · Answer

ComboFix 08-08-27.06 - Chou 2008-08-28 19:26:31.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.521 [GMT 2:00] Endroit: G:\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008 C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk C:\Temp\1cb C:\Temp\1cb\syscheck.log C:\WINDOWS\system32\6.tmp C:\WINDOWS\system32\7.tmp C:\WINDOWS\system32\drivers\2babf072.sys C:\WINDOWS\system32\drivers\Wygp55.sys C:\WINDOWS\system32\hklrayse.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\ppdbhevk.dll C:\WINDOWS\system32 hqwxoja.dll C:\WINDOWS\system32\wkxlybnw.ini C:\WINDOWS\system32\xewvjuiv.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SYSREST.SYS -------\Legacy_WYGP55 -------\Service_2babf072 -------\Service_Wygp55 ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-28 to 2008-08-28 )))))))))))))))))))))))))))))))))))) . 2008-08-31 16:23 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-08-31 16:23 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-08-31 16:23 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll 2008-08-31 16:22 . 2008-08-31 16:22 d-------- C:\Program Files\Alwil Software 2008-08-28 18:09 . 2008-08-28 18:36 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-28 18:09 . 2008-08-28 18:09 d-------- C:\Documents and Settings\Chou\Application Data\Malwarebytes 2008-08-28 18:09 . 2008-08-28 18:09 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-28 18:09 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-28 18:09 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-28 17:16 . 2008-08-28 17:37 1,940 --a------ C:\WINDOWS\system32 mp.reg 2008-08-28 16:59 . 2008-08-28 18:07 d-------- C:\Program Files\Norton 360 2008-08-28 16:57 . 2008-08-28 17:06 115,000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS 2008-08-28 16:57 . 2008-08-28 17:06 48,776 --a------ C:\WINDOWS\system32\S32EVNT1.DLL 2008-08-28 16:57 . 2008-08-28 17:06 8,014 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT 2008-08-28 16:57 . 2008-08-28 17:06 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF 2008-08-28 16:56 . 2008-08-28 17:06 d-------- C:\Program Files\Symantec 2008-08-28 16:55 . 2008-08-28 17:16 d-------- C:\Program Files\Fichiers communs\Symantec Shared 2008-08-28 15:53 . 2008-08-28 15:54 d-------- C:\WINDOWS\system32\NtmsData 2008-08-27 13:56 . 2008-08-27 13:56 d-------- C:\Documents and Settings\All Users\Application Data\CA 2008-08-27 00:34 . 2008-08-27 00:34 268 --ah----- C:\sqmdata07.sqm 2008-08-27 00:34 . 2008-08-27 00:34 244 --ah----- C:\sqmnoopt07.sqm 2008-08-26 22:23 . 2008-08-26 22:23 268 --ah----- C:\sqmdata06.sqm 2008-08-26 22:23 . 2008-08-26 22:23 244 --ah----- C:\sqmnoopt06.sqm 2008-08-26 21:41 . 2008-08-26 21:41 268 --ah----- C:\sqmdata05.sqm 2008-08-26 21:41 . 2008-08-26 21:41 244 --ah----- C:\sqmnoopt05.sqm 2008-08-26 21:05 . 2008-08-28 18:07 d-------- C:\Documents and Settings\All Users\Application Data\Symantec 2008-08-26 17:31 . 2008-08-26 17:32 118 --a------ C: mp2.reg 2008-08-26 17:28 . 2008-08-26 14:28 99,328 --a------ C:\WINDOWS\faceback.exe 2008-08-24 18:44 . 2008-08-24 18:44 292 --ah----- C:\sqmdata04.sqm 2008-08-24 18:44 . 2008-08-24 18:44 244 --ah----- C:\sqmnoopt04.sqm 2008-08-24 17:28 . 2008-08-24 17:28 d-------- C:\Program Files\Trend Micro 2008-08-20 12:31 . 2008-08-20 09:31 103,936 --a------ C:\WINDOWS\meane.exe 2008-08-12 11:08 . 2001-08-28 14:00 18,688 --a------ C:\WINDOWS\system32\drivers\cdaudio.sys 2008-08-12 11:08 . 2001-08-28 14:00 18,688 --a--c--- C:\WINDOWS\system32\dllcache\cdaudio.sys 2008-08-12 11:08 . 2008-08-12 11:08 29 --a------ C:\WINDOWS\system32 guugtdd.tmp 2008-08-10 20:56 . 2008-08-10 20:56 d-------- C:\WINDOWS\system32\ye2 2008-08-10 20:55 . 2008-08-10 20:56 d-------- C:\WINDOWS\system32\az1 2008-08-10 20:55 . 2008-08-10 20:56 d-------- C:\Temp\epr1 2008-08-10 20:55 . 2008-08-28 19:26 d-------- C:\Temp 2008-08-10 20:55 . 2008-08-10 20:55 67,808 --a------ C:\Temp\mn60te.exe 2008-08-10 17:43 . 2008-08-10 17:43 d-------- C:\Program Files\pspvideo9 2008-08-10 17:43 . 2008-08-10 17:43 d-------- C:\Program Files\AviSynth 2.5 2008-08-10 16:16 . 2008-08-10 16:20 d-------- C:\Program Files\eMule 2008-08-10 11:39 . 2008-08-12 10:52 d-------- C:\Program Files\Fichiers communs\DVDVideoSoft 2008-08-10 11:39 . 2008-08-12 10:51 d-------- C:\Program Files\DVDVideoSoft 2008-08-10 11:39 . 2008-08-10 11:51 d-------- C:\DVDVideoSoft 2008-07-29 13:52 . 2008-07-29 13:52 d-------- C:\Program Files\Free Audio Pack . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-31 17:41 --------- d-----w C:\Program Files\Windows Live 2008-08-31 17:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-11 13:13 --------- d-----w C:\Documents and Settings\Chou\Application Data\LimeWire . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ccApp"="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2007-07-17 19:53 116072] "TP CfgWiz"="C:\Program Files\Fichiers communs\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\SymCuw.exe" [2007-08-23 21:42 820616] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=hdjxzj.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.enc"= ITIG726.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\eMule\emule.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 21:22] R2 UxTuneUp;Extension de conception TuneUp;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10] S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07] S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07] S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07] S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08] S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06] S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09] S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\CDStart.Exe \Shell\Install\Command - D:\Stub.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f823cfc0-c05c-11dc-8f89-0050da40a46f}] \Shell\AutoRun\command - G:\InstallTomTomHOME.exe *Newly Created Service* - comhost . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' 2008-07-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] 2008-07-18 C:\WINDOWS\Tasks\Maintenance en 1 clic.job - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 15:47] . - - - - ORPHANS REMOVED - - - - Notify-WgaLogon - (no file) . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\Chou\Application Data\Mozilla\Firefox\Profiles\80h2iw31.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-28 19:32:57 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32 vsvc32.exe E:\UPHClean\uphclean.exe C:\WINDOWS\system32\imapi.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-28 19:36:20 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-28 17:36:08 Pre-Run: 240,316,416 octets libres Post-Run: 176,648,192 octets libres 172 --- E O F --- 2008-07-09 20:55:19

Destrio5 · Answer

1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :




KillAll::

File::
C:\WINDOWS\faceback.exe 
C:\WINDOWS\meane.exe 
C:\WINDOWS\system32	guugtdd.tmp 
C:\Temp\mn60te.exe 

Folder::
C:\WINDOWS\system32\ye2 
C:\WINDOWS\system32\az1 
C:\Temp\epr1 

Rootkit::
C:\sqmnoopt08.sqm 
C:\sqmdata08.sqm 
C:\sqmnoopt07.sqm 
C:\sqmdata07.sqm 
C:\sqmnoopt06.sqm 
C:\sqmdata06.sqm 
C:\sqmnoopt05.sqm 
C:\sqmdata05.sqm 
C:\sqmdata04.sqm
C:\sqmdata03.sqm
C:\sqmdata02.sqm
C:\sqmdata01.sqm
C:\sqmdata00.sqm
C:\sqmnoopt04.sqm 
C:\sqmnoopt03.sqm 
C:\sqmnoopt02.sqm 
C:\sqmnoopt01.sqm 
C:\sqmnoopt00.sqm 

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] 
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f823cfc0-c05c-11dc-8f89-0050da40a46f}] 




---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

chou95 · Answer

ComboFix 08-08-27.06 - Chou 2008-08-28 20:58:09.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.539 [GMT 2:00] Endroit: C:\Documents and Settings\Chou\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Chou\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\Temp\mn60te.exe C:\WINDOWS\faceback.exe C:\WINDOWS\meane.exe C:\WINDOWS\system32 guugtdd.tmp . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\sqmdata00.sqm C:\sqmdata01.sqm C:\sqmdata02.sqm C:\sqmdata03.sqm C:\sqmdata04.sqm C:\sqmdata05.sqm C:\sqmdata06.sqm C:\sqmdata07.sqm C:\sqmnoopt00.sqm C:\sqmnoopt01.sqm C:\sqmnoopt02.sqm C:\sqmnoopt03.sqm C:\sqmnoopt04.sqm C:\sqmnoopt05.sqm C:\sqmnoopt06.sqm C:\sqmnoopt07.sqm C:\Temp\epr1 C:\Temp\epr1\K19i.log C:\Temp\mn60te.exe C:\WINDOWS\faceback.exe C:\WINDOWS\meane.exe C:\WINDOWS\system32\az1 C:\WINDOWS\system32 guugtdd.tmp C:\WINDOWS\system32\ye2 . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-28 to 2008-08-28 )))))))))))))))))))))))))))))))))))) . 2008-08-31 16:23 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-08-31 16:23 . 2003-03-18 21:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll 2008-08-31 16:23 . 2003-02-21 05:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll 2008-08-31 16:22 . 2008-08-31 16:22 d-------- C:\Program Files\Alwil Software 2008-08-28 20:21 . 2008-08-28 20:21 262,144 --a------ C:\WINDOWS\system32\default_user_class.dat 2008-08-28 20:04 . 2008-08-28 20:04 d-------- C:\Program Files\Avira 2008-08-28 20:04 . 2008-08-28 20:04 d-------- C:\Documents and Settings\All Users\Application Data\Avira 2008-08-28 18:09 . 2008-08-28 18:36 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-08-28 18:09 . 2008-08-28 18:09 d-------- C:\Documents and Settings\Chou\Application Data\Malwarebytes 2008-08-28 18:09 . 2008-08-28 18:09 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-28 18:09 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-28 18:09 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-08-28 17:16 . 2008-08-28 17:37 1,940 --a------ C:\WINDOWS\system32 mp.reg 2008-08-28 16:55 . 2008-08-28 20:22 d-------- C:\Program Files\Fichiers communs\Symantec Shared 2008-08-28 15:53 . 2008-08-28 15:54 d-------- C:\WINDOWS\system32\NtmsData 2008-08-27 13:56 . 2008-08-27 13:56 d-------- C:\Documents and Settings\All Users\Application Data\CA 2008-08-26 21:05 . 2008-08-28 20:22 d-------- C:\Documents and Settings\All Users\Application Data\Symantec 2008-08-26 17:31 . 2008-08-26 17:32 118 --a------ C: mp2.reg 2008-08-24 17:28 . 2008-08-24 17:28 d-------- C:\Program Files\Trend Micro 2008-08-12 11:08 . 2001-08-28 14:00 18,688 --a------ C:\WINDOWS\system32\drivers\cdaudio.sys 2008-08-12 11:08 . 2001-08-28 14:00 18,688 --a--c--- C:\WINDOWS\system32\dllcache\cdaudio.sys 2008-08-10 20:55 . 2008-08-28 20:58 d-------- C:\Temp 2008-08-10 17:43 . 2008-08-10 17:43 d-------- C:\Program Files\pspvideo9 2008-08-10 17:43 . 2008-08-10 17:43 d-------- C:\Program Files\AviSynth 2.5 2008-08-10 16:16 . 2008-08-28 19:46 d-------- C:\Program Files\eMule 2008-08-10 11:39 . 2008-08-12 10:52 d-------- C:\Program Files\Fichiers communs\DVDVideoSoft 2008-08-10 11:39 . 2008-08-12 10:51 d-------- C:\Program Files\DVDVideoSoft 2008-08-10 11:39 . 2008-08-10 11:51 d-------- C:\DVDVideoSoft 2008-07-29 13:52 . 2008-07-29 13:52 d-------- C:\Program Files\Free Audio Pack . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-31 17:41 --------- d-----w C:\Program Files\Windows Live 2008-08-31 17:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller 2008-08-11 13:13 --------- d-----w C:\Documents and Settings\Chou\Application Data\LimeWire 2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll 2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll 2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll 2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll . ((((((((((((((((((((((((((((( snapshot@2008-08-28_19.35.13.94 ))))))))))))))))))))))))))))))))))))))))) . + 2008-01-21 16:12:56 41,792 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys + 2008-01-21 16:11:28 22,336 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys + 2008-03-04 11:28:53 79,424 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys + 2007-03-01 08:34:22 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.enc"= ITIG726.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= "C:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-10-17 21:22] R2 UxTuneUp;Extension de conception TuneUp;C:\WINDOWS\System32\svchost.exe [2004-08-20 01:10] S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07] S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07] S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07] S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08] S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06] S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09] S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' 2008-07-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57] 2008-07-18 C:\WINDOWS\Tasks\Maintenance en 1 clic.job - C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 15:47] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-28 21:06:58 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32 vsvc32.exe E:\UPHClean\uphclean.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-28 21:09:10 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-28 19:09:02 ComboFix2.txt 2008-08-28 17:36:21 Pre-Run: 612,442,112 octets libres Post-Run: 599,015,424 octets libres 165 --- E O F --- 2008-07-09 20:55:19 Voila le résultat du scan merci pour ton aide, le message a disparu mais le virus est-il toujours là???

Destrio5 · Answer

---> Supprime les traces de Norton avec ceci :
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

---> Installe Antivir :
http://dl1.avgate.net/down/windows/antivir_workstation_winu_fr_h.exe

---> Fais un scan complet avec Antivir, supprime tout ce qu'il trouve et poste le rapport

chou95 · Answer

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 28 août 2008  21:49

La recherche porte sur 1369550 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 2)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :CHOU-SAFBQ37KZ2

Informations de version :
BUILD.DAT     : 8.1.0.47       16931 Bytes  19/08/2008 11:45:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  26/06/2008 08:57:49
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:27
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18/07/2007 10:33:34
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24/06/2008 13:54:15
ANTIVIR2.VDF  : 7.0.5.20      142336 Bytes  30/06/2008 05:20:53
ANTIVIR3.VDF  : 7.0.5.23       17408 Bytes  30/06/2008 09:24:47
Version du moteur: 8.1.1.19  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  25/02/2008 09:58:21
AESCRIPT.DLL  : 8.1.0.63      311673 Bytes  06/08/2008 13:13:47
AESCN.DLL     : 8.1.0.23      119156 Bytes  10/07/2008 12:44:49
AERDL.DLL     : 8.1.0.20      418165 Bytes  24/04/2008 12:37:48
AEPACK.DLL    : 8.1.2.1       364917 Bytes  15/07/2008 12:58:35
AEOFFICE.DLL  : 8.1.0.21      192891 Bytes  18/07/2008 06:35:21
AEHEUR.DLL    : 8.1.0.47     1368437 Bytes  06/08/2008 13:13:47
AEHELP.DLL    : 8.1.0.15      115063 Bytes  10/07/2008 12:44:48
AEGEN.DLL     : 8.1.0.35      315764 Bytes  06/08/2008 14:38:47
AEEMU.DLL     : 8.1.0.7       430452 Bytes  31/07/2008 08:33:21
AECORE.DLL    : 8.1.1.8       172406 Bytes  31/07/2008 08:33:21
AEBB.DLL      : 8.1.0.1        53617 Bytes  10/07/2008 12:44:48
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:27:58
AVREP.DLL     : 7.0.0.1       155688 Bytes  30/06/2008 14:29:36
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  04/07/2008 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, E:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : jeudi 28 août 2008  21:49

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'uphclean.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'27' processus ont été contrôlés avec '27' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'E:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '41' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\QooBox\Quarantine\catchme2008-08-28_193014,17.zip
    [0] Type d'archive: ZIP
    --> 2babf072.sys
      [RESULTAT]  Contient le cheval de Troie TR/Rootkit.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '492b0492.qua' !
C:\QooBox\Quarantine\C\WINDOWS\system32\ppdbhevk.dll.vir
    [RESULTAT]  Contient le cheval de Troie TR/Vundo.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491b04a6.qua' !
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Wygp55.sys.vir
    [RESULTAT]  Contient le cheval de Troie TR/Rootkit.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491e04b6.qua' !
Recherche débutant dans 'E:\' <Data>


Fin de la recherche : jeudi 28 août 2008  22:31
Temps nécessaire: 43:03 Minute(s)

La recherche a été effectuée intégralement

   5460 Les répertoires ont été contrôlés
 217222 Des fichiers ont été contrôlés
      3 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      3 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 217217 Fichiers non infectés
   1182 Les archives ont été contrôlées
      2 Avertissements
      3 Consignes

voila on arrive au bout bientôt?

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout

---> Poste un nouveau rapport HijackThis

chou95 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:52:53, on 29/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
E:\UPHClean\uphclean.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayerpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

chou95 · Answer

Je tiens à ajouter que mon copain a supprimé des fichiers qui été de couleur bleu dans c:/windows et un dans system 32. Et ma connexion est revenue.

Destrio5 · Answer

---> Mets à jour Internet Explorer :
https://support.microsoft.com/fr-fr/allproducts

---> Mets à jour Java :
https://www.java.com/fr/download/manual.jsp

chou95 · Answer

c'est fait.Merci pour ton aide.

Destrio5 · Answer

Ton PC fonctionne bien, pas de problème ?

chou95 · Answer

Je le trouve un plus lent qu' auparavant mais ceci viens peut etre du fait que mon disque C est presque plein. sinon  tous les fichiers suspects ont été supprimé. Voila merci encore une fois pour ton aide

Destrio5 · Answer

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

---> Mets à jour Windows :
http://v4.windowsupdate.microsoft.com/fr/default.asp

chou95 · Answer

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Chou\Bureau\ComboFix.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Chou\Bureau\ComboFix.exe: Erreur de suppression !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Destrio5 · Answer

Tu peux supprimer Tools Cleaner et ComboFix.

Warning spyware detected on your computer...

25 réponses

Discussions similaires

Newsletters