your pc is infectedRésolu/Fermé

Question

Bonjour,
un problème sur un pc qui m'affiche en permanence le message : your pc is infected.
j'ai utilisé comme decrit dans votre tuto le log smitfraudfix mais g toujours le message d 'erreur.
j'avais au paravant utilisé un tuto expliquant comment suprimer antispywarexp2009, avec suppression des cles de la base de registre et avec l'utilisation du fire wall d'avast pour empecher la connection au site www.antispywarexp2009.com
je vous joint les  3 rapport fait par smitfraudfix. 
Par avance merci de votre aide.

Premier rapport

SmitFraudFix v2.366

Rapport fait à 18:10:07,25, 23/10/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\brastk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\Inmarsat\Launchpad\UpdateTimer.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\_scui.cpl PRESENT !
C:\WINDOWS\system32\drivers\svchost.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 10.0.0.138

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

RAPPORT DURANT LE DEM SANS ECHEC

SmitFraudFix v2.366

Rapport fait à 18:19:51,92, 23/10/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\_scui.cpl supprimé
C:\WINDOWS\system32\drivers\svchost.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Rapport apres redem

SmitFraudFix v2.366

Rapport fait à 18:26:48,64, 23/10/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\brastk.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Inmarsat\Launchpad\UpdateTimer.exe
C:\Program Files\Apoint\HidFind.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Apoint\Apntex.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 10.0.0.138

HKLM\SYSTEM\CCS\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\..\{4C47D100-0780-49AF-8593-7EE60419615A}: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=10.0.0.138


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Destrio5 · Answer

Salut,

---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ton compte.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

sebctg · Answer

Meci de ta reponse mais j'ai dejas utilisé smitfraud fix et je n'ai eu aucun resultats probant dans le debut de mon post j'ai mis le resultat au cour de la premiere utilisation, le resultat obtenu durant l utilisation avec le mode sans echec ainsi que le resultat apres le redemarage...
j ai en meme temps un souci c'est que je ne peux pas faire les mises a jours de mon anti virus.
Et je suis preneur de tous les conseils...
Encore merci de vos reponses c'est vraiment super sympa.
Bonne soiree

Destrio5 · Answer

Je t'ai demandé un scan avec SDFix et non avec SmitFraudFix.

sebctg · Answer

Je te prie de m'excuser j'ai fais l'amalgame avec SmitfrauDFix.
Pour ce soir je ne peux plus le faire, le poste se trouve à mon boulo et ils m'ont mis a la porte pour ce soir.
Je ferais la manip a partir de demain matin 0830; Je te remerci encore une fois pour la rapidite de ta reponse et te souhaite une bonne soiree en esperant te retrouver  demain matin si tu peux.
encore merci

sebctg · Answer

bonjour destrio5.
J 'ai appliqué tes conseils a la lettre  et ma machine a l'air d etre revenu a la normale. 
voici le rapport d' SDFix.
je te remercie.
si le rapport est correcte peux tu me dire si nous pouvons mettre en tete de la discution que le pb est resolu.
Encore merci et @ +

sebctg · Answer

Avec le rapport c'est mieux:

[b]SDFix: Version 1.237 [/b]
Run by Administrateur on 24/10/2008 at 08:56

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\ADMINI~1\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\DOCUME~1\ADMINI~1\COOKIES\BAFYPYME.REG - Deleted
C:\WINDOWS\system32\wini10801.exe - Deleted
C:\WINDOWS\system32\delself.bat - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-24 09:01:50
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Administrateur
tuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Disabled:æTorrent"
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"="C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Disabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Disabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\ADMINI~1\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 14 Apr 2008        60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Tue  4 Mar 2008             8 ..SHR --- "C:\WINDOWS\system32\4BAD612816.sys"
Tue  4 Mar 2008         2,516 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

[b]Finished![/b]

Destrio5 · Answer

- Télécharge et installe Malwarebytes' Anti-Malware  :
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware

- Mets-le à jour.

- Redémarre en mode sans échec (Recommandé) :
https://blog.sosordi.net/

- Choisis ta session habituelle.

- Fais un scan complet avec Malwarebytes' Anti-Malware .

- Supprime tout ce que le logiciel trouve, enregistre le rapport.

- Redémarre en mode normal et poste le rapport ici.

sebctg · Answer

Salut
 voici le rapport


Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1311
Windows 5.1.2600 Service Pack 3

24/10/2008 10:01:19
mbam-log-2008-10-24 (10-01-19).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|)
Eléments examinés: 100632
Temps écoulé: 20 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSbubx.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSScfum.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSfxwp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Delete on reboot.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSofxh.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSrhym.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\TDSSmaxt.sys (Rootkit.Agent) -> Delete on reboot.

Destrio5 · Answer

Vu le rootkit, on va utiliser ComboFix.

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix\Combofix.txt

sebctg · Answer

Voici le rapport de COMBO ComboFix 08-10-23.06 - Administrateur 2008-10-24 10:25:46.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.583 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\fyno.sys C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\pisi._sy C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\qeqag.com C:\WINDOWS\system32\instsrv.exe C:\WINDOWS\system32\x64 . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Legacy_TDSSSERV.SYS) -------\Service_NPF -------\Service_TDSSserv.sys) ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-24 au 2008-10-24 )))))))))))))))))))))))))))))))))))) . 2008-10-24 09:38 . 2008-10-24 09:38 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-24 09:38 . 2008-10-24 09:38 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-24 09:38 . 2008-10-24 09:38 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-10-24 09:38 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-24 09:38 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-24 08:55 . 2008-10-24 08:55 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-24 08:53 . 2008-10-24 08:53 d-------- C:\WINDOWS\ERUNT 2008-10-24 08:46 . 2008-10-22 02:19 d-------- C:\SDFix 2008-10-23 18:58 . 2008-10-23 19:15 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-10-23 18:10 . 2008-10-23 18:26 3,068 --a------ C:\WINDOWS\system32 mp.reg 2008-10-23 18:09 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-10-23 18:09 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-10-23 18:09 . 2008-09-08 23:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-10-23 18:09 . 2008-10-01 15:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe 2008-10-23 18:09 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe 2008-10-23 18:09 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-10-23 18:09 . 2008-10-10 08:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-10-23 18:09 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-10-23 18:09 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-10-23 18:09 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-10-23 18:09 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-10-23 17:49 . 2008-10-23 17:49 d-------- C:\Program Files\Enigma Software Group 2008-10-23 16:50 . 2008-10-23 16:50 d-------- C:\Program Files\Alwil Software 2008-10-23 16:41 . 2008-10-23 16:41 18,792 --a------ C:\Program Files\Fichiers communs\pewojute.exe 2008-10-23 16:41 . 2008-10-23 16:41 18,664 --a------ C:\WINDOWS\xyrewe._dl 2008-10-23 16:41 . 2008-10-23 16:41 18,252 --a------ C:\Program Files\Fichiers communs\hefajob.pif 2008-10-23 16:41 . 2008-10-23 16:41 17,835 --a------ C:\WINDOWS\oluket.bat 2008-10-23 16:41 . 2008-10-23 16:41 17,334 --a------ C:\Documents and Settings\Administrateur\Application Data omomiquk.bin 2008-10-23 16:41 . 2008-10-23 16:41 17,286 --a------ C:\WINDOWS ujypahehu._dl 2008-10-23 16:41 . 2008-10-23 16:41 17,024 --a------ C:\WINDOWS\acylyga.bat 2008-10-23 16:41 . 2008-10-23 16:41 16,763 --a------ C:\Documents and Settings\Administrateur\Application Data\habobu.com 2008-10-23 16:41 . 2008-10-23 16:41 15,267 --a------ C:\WINDOWS\system32\cyryga._sy 2008-10-23 16:41 . 2008-10-23 16:41 15,193 --a------ C:\WINDOWS\system32 ymare.bin 2008-10-23 16:41 . 2008-10-23 16:41 14,735 --a------ C:\Documents and Settings\Administrateur\Application Data\hemapa.scr 2008-10-23 16:41 . 2008-10-23 16:41 14,729 --a------ C:\Documents and Settings\Administrateur\Application Data\ozofaje.dll 2008-10-23 16:41 . 2008-10-23 16:41 13,328 --a------ C:\WINDOWS\cinyd.dl 2008-10-23 16:41 . 2008-10-23 16:41 13,086 --a------ C:\WINDOWS\adok.reg 2008-10-23 16:33 . 2008-10-24 09:00 164 --a------ C:\WINDOWS\system32\TDSSosvd.dat 2008-10-22 10:12 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-22 10:11 . 2008-08-14 15:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache toskrnl.exe 2008-10-22 10:11 . 2008-08-14 15:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2008-10-22 10:11 . 2008-08-14 15:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache tkrnlpa.exe 2008-10-22 10:11 . 2008-08-14 15:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2008-10-22 10:11 . 2008-09-15 17:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-09-26 10:42 . 2008-09-26 10:42 d-------- C:\WINDOWS\system32\fr 2008-09-26 10:42 . 2008-09-26 10:42 d-------- C:\WINDOWS\system32\bits 2008-09-26 10:42 . 2008-09-26 10:42 d-------- C:\WINDOWS\l2schemas 2008-09-26 10:39 . 2008-09-26 10:43 d-------- C:\WINDOWS\ServicePackFiles 2008-09-26 09:07 . 2008-09-26 09:07 d-------- C:\Program Files\InfraRecorder 2008-09-26 09:07 . 2008-09-26 10:20 d-------- C:\Documents and Settings\Administrateur\Application Data\InfraRecorder 2008-09-26 09:02 . 2008-09-26 09:02 d-------- C:\Program Files\WinASPI 2008-09-26 09:02 . 2008-09-26 09:04 d-------- C:\Program Files\Morgan 2008-09-26 09:01 . 2008-09-26 09:05 d-------- C:\Documents and Settings\Administrateur\Application Data\NeoDivX2008 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-23 14:38 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-09-30 15:04 --------- d-----w C:\Program Files\MSN Messenger 2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-08-26 08:11 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32 toskrnl.exe 2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32 tkrnlpa.exe 2008-04-28 16:57 27,344 ----a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT 2008-03-04 08:39 8 --sh--r C:\WINDOWS\system32\4BAD612816.sys 2008-03-04 08:48 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280] "PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-06-18 1122816] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "Apoint"="C:\Program Files\Apoint\Apoint.exe" [2002-12-31 159744] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2002-12-31 138008] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2002-12-31 162584] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2002-12-31 138008] "SigmatelSysTrayApp"="stsystra.exe" [2002-12-31 C:\WINDOWS\stsystra.exe] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ Stardock ObjectDock.lnk - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe [2007-11-14 3450608] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ UpdateTimer.lnk - C:\Program Files\Inmarsat\Launchpad\UpdateTimer.exe [2008-01-29 319488] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\uTorrent\uTorrent.exe"= "C:\WINDOWS\system32\sessmgr.exe"= "C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 CAPI20;Eumex 504PC USB;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2001-11-14 234732] R2 DETEWECP;DeTeWe CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2001-09-18 38480] R2 rvsport;RVS Virtual COM Port;C:\WINDOWS\system32\drivers vsport.sys [2001-05-23 38400] R3 cxbp0wdm;CardMan 4040;C:\WINDOWS\system32\DRIVERS\cxbp0wdm.sys [2007-06-05 73728] S3 cxbu0wdm;CardMan 3x21;C:\WINDOWS\system32\DRIVERS\cxbu0wdm.sys [2007-02-28 91008] S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 17149] S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2006-01-18 402432] S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS ap0801.sys [2006-10-01 26624] S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2001-11-15 31769] S3 wg51und5;NETGEAR WG511U Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wg51und5.sys [ ] S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [ ] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f162447-b16a-11dc-95b3-001c239f125f}] \Shell\AutoRun\command - E:\LaunchU3.exe -a . . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\2t9ekniv.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-24 10:28:51 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\WINDOWS\explorer.exe -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll . ------------------------ Autres processus actifs ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\scardsvr.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\stacsv.exe C:\WINDOWS\system32\fxssvc.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\Apoint\ApMsgFwd.exe C:\Program Files\Apoint\hidfind.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\Apoint\ApntEx.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe C:\WINDOWS\system32\verclsid.exe . ************************************************************************** . Heure de fin: 2008-10-24 10:31:38 - La machine a redémarré ComboFix-quarantined-files.txt 2008-10-24 08:31:34 Avant-CF: 4 801 548 288 octets libres Après-CF: 4,752,711,680 octets libres 183 --- E O F --- 2008-10-23 12:00:49 Merci

Destrio5 · Answer

/!\ Seul sebctg peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
C:\WINDOWS\system32\TDSSbubx.log
C:\WINDOWS\system32\TDSScfum.dll
C:\WINDOWS\system32\TDSSfxwp.dll
C:\WINDOWS\system32\TDSSnmxh.log
C:\WINDOWS\system32\TDSSnrsr.dll
C:\WINDOWS\system32\TDSSofxh.dll
C:\WINDOWS\system32\TDSSrhym.dll
C:\WINDOWS\system32\TDSSriqp.dll
C:\WINDOWS\system32\drivers\TDSSmaxt.sys
C:\WINDOWS\system32	mp.reg 
C:\WINDOWS\system32\VCCLSID.exe     
C:\WINDOWS\system32\SrchSTS.exe     
C:\WINDOWS\system32\AntiXPVSTFix.exe 
C:\WINDOWS\system32\VACFix.exe     
C:\WINDOWS\system32\o4Patch.exe 
C:\WINDOWS\system32\IEDFix.exe     
C:\WINDOWS\system32\IEDFix.C.exe     
C:\WINDOWS\system32\404Fix.exe     
C:\WINDOWS\system32\Process.exe     
C:\WINDOWS\system32\dumphive.exe     
C:\WINDOWS\system32\WS2Fix.exe     
C:\Program Files\Fichiers communs\pewojute.exe 
C:\WINDOWS\xyrewe._dl 
C:\Program Files\Fichiers communs\hefajob.pif 
C:\WINDOWS\oluket.bat 
C:\Documents and Settings\Administrateur\Application Data	omomiquk.bin 
C:\WINDOWS	ujypahehu._dl 
C:\WINDOWS\acylyga.bat 
C:\Documents and Settings\Administrateur\Application Data\habobu.com 
C:\WINDOWS\system32\cyryga._sy 
C:\WINDOWS\system32ymare.bin 
C:\Documents and Settings\Administrateur\Application Data\hemapa.scr 
C:\Documents and Settings\Administrateur\Application Data\ozofaje.dll 
C:\WINDOWS\cinyd.dl 
C:\WINDOWS\adok.reg 
C:\WINDOWS\system32\TDSSosvd.dat 

Folder::
C:\SDFix 

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f162447-b16a-11dc-95b3-001c239f125f}] 






---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

sebctg · Answer

c'est fait j'ai ouvert le nopad

Destrio5 · Answer

???

sebctg · Answer

g recu un message de ta part:


/!\ Seul sebctg peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK

Destrio5 · Answer

Ben, suis le reste de la procédure.

sebctg · Answer

voici le rapport de combo ComboFix 08-10-23.06 - Administrateur 2008-10-24 11:46:23.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.515 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] FILE :: C:\Documents and Settings\Administrateur\Application Data\habobu.com C:\Documents and Settings\Administrateur\Application Data\hemapa.scr C:\Documents and Settings\Administrateur\Application Data\ozofaje.dll C:\Documents and Settings\Administrateur\Application Data omomiquk.bin C:\Program Files\Fichiers communs\hefajob.pif C:\Program Files\Fichiers communs\pewojute.exe C:\WINDOWS\acylyga.bat C:\WINDOWS\adok.reg C:\WINDOWS\cinyd.dl C:\WINDOWS\oluket.bat C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\AntiXPVSTFix.exe C:\WINDOWS\system32\cyryga._sy C:\WINDOWS\system32\drivers\TDSSmaxt.sys C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\IEDFix.C.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\o4Patch.exe C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32 ymare.bin C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32\TDSSbubx.log C:\WINDOWS\system32\TDSScfum.dll C:\WINDOWS\system32\TDSSfxwp.dll C:\WINDOWS\system32\TDSSnmxh.log C:\WINDOWS\system32\TDSSnrsr.dll C:\WINDOWS\system32\TDSSofxh.dll C:\WINDOWS\system32\TDSSosvd.dat C:\WINDOWS\system32\TDSSrhym.dll C:\WINDOWS\system32\TDSSriqp.dll C:\WINDOWS\system32 mp.reg C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS ujypahehu._dl C:\WINDOWS\xyrewe._dl . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Administrateur\Application Data\habobu.com C:\Documents and Settings\Administrateur\Application Data\hemapa.scr C:\Documents and Settings\Administrateur\Application Data\ozofaje.dll C:\Documents and Settings\Administrateur\Application Data omomiquk.bin C:\Program Files\Fichiers communs\hefajob.pif C:\Program Files\Fichiers communs\pewojute.exe C:\SDFix C:\SDFix\Add_DBFix_RunOnce_key.inf C:\SDFix\apps\assosfix.reg C:\SDFix\apps\Cghtme.exe C:\SDFix\apps\clb1.txt C:\SDFix\apps\cliptext.exe C:\SDFix\apps\DBFix.inf C:\SDFix\apps\download.exe C:\SDFix\apps\dummy.sys C:\SDFix\apps\Enable_Command_Prompt.inf C:\SDFix\apps\Enable_Command_Prompt.reg C:\SDFix\apps\ERDNT.E_E C:\SDFix\apps\ERDNTDOS.LOC C:\SDFix\apps\ERDNTWIN.LOC C:\SDFix\apps\ERUNT.EXE C:\SDFix\apps\ERUNT.LOC C:\SDFix\apps\fix.reg C:\SDFix\apps\FixBeep.reg C:\SDFix\apps\FixBH.reg C:\SDFix\apps\FixComponents.reg C:\SDFix\apps\FIXCU.reg C:\SDFix\apps\FIXLM.reg C:\SDFix\apps\FixPath.exe C:\SDFix\apps\FixRedir.reg C:\SDFix\apps\FixSchedule.reg C:\SDFix\apps\FixWebCheck.reg C:\SDFix\apps\fixXP.reg C:\SDFix\apps\FixXPsp2.reg C:\SDFix\apps\grep.exe C:\SDFix\apps\HaxdFix.reg C:\SDFix\apps\HPFix.reg C:\SDFix\apps\HPFix2.reg C:\SDFix\apps\HPFix3.reg C:\SDFix\apps\HPFix4.reg C:\SDFix\apps\HPFix5.reg C:\SDFix\apps\HPFix6.reg C:\SDFix\apps\HPFix7.reg C:\SDFix\apps\HPFix8.reg C:\SDFix\apps\HPFix9.reg C:\SDFix\apps\Installed.txt C:\SDFix\apps\isadmin.exe C:\SDFix\apps\leg2.txt C:\SDFix\apps\legacy.txt C:\SDFix\apps\legacybk.txt C:\SDFix\apps\locate.com C:\SDFix\apps\LS.exe C:\SDFix\apps\MD5File.exe C:\SDFix\apps\moveex.exe C:\SDFix\apps\MyGcpvFix.reg C:\SDFix\apps\MyGkFix2.reg C:\SDFix\apps\Process.exe C:\SDFix\apps\procs.exe C:\SDFix\apps\psservice.exe C:\SDFix\apps\Rem.txt C:\SDFix\apps\Rem2.txt C:\SDFix\apps\Replace egedit.exe C:\SDFix\apps\Replace\w2k\AUTOEXEC.NT C:\SDFix\apps\Replace\w2k\beep.sys C:\SDFix\apps\Replace\w2k\command.com C:\SDFix\apps\Replace\w2k\command.PIF C:\SDFix\apps\Replace\w2k\CONFIG.NT C:\SDFix\apps\Replace\w2k ull.sys C:\SDFix\apps\Replace\xp\AUTOEXEC.NT C:\SDFix\apps\Replace\xp\beep.sys C:\SDFix\apps\Replace\xp\command.com C:\SDFix\apps\Replace\xp\command.PIF C:\SDFix\apps\Replace\xp\CONFIG.NT C:\SDFix\apps\Replace\xp ull.sys C:\SDFix\apps\Reset_AppInit_DLLs.reg C:\SDFix\apps\RestartIt!.exe C:\SDFix\apps\Restore_SafeBoot_Windows2000.reg C:\SDFix\apps\Restore_SafeBoot_WindowsXP.reg C:\SDFix\apps\Restore_SafeBoot_WindowsXP_SP2.reg C:\SDFix\apps\Restore_SafeBoot_WindowsXP_SP3.reg C:\SDFix\apps\Restore_SecurityCenter.reg C:\SDFix\apps\Restore_SharedAccess.reg C:\SDFix\apps\sc.exe C:\SDFix\apps\sed.exe C:\SDFix\apps\SF.exe C:\SDFix\apps\shutdown.exe C:\SDFix\apps\srv2.txt C:\SDFix\apps\srv2bk.txt C:\SDFix\apps\svc.txt C:\SDFix\apps\svcbk.txt C:\SDFix\apps\Swreg.exe C:\SDFix\apps\swsc.exe C:\SDFix\apps\UnRAR.exe C:\SDFix\apps\unzip.exe C:\SDFix\apps\vfind.exe C:\SDFix\apps\WINMSG.EXE C:\SDFix\apps\winsec.reg C:\SDFix\apps\zip.exe C:\SDFix\catchme.exe C:\SDFix\DBFix.bat C:\SDFix\dummy.sys C:\SDFix\RunThis.bat C:\SDFix\SDFIX_ReadMe_Online.url C:\SDFix\W2K_VirusAlert_Repair.inf C:\SDFix\XP_VirusAlert_Repair.inf C:\WINDOWS\acylyga.bat C:\WINDOWS\adok.reg C:\WINDOWS\cinyd.dl C:\WINDOWS\oluket.bat C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\AntiXPVSTFix.exe C:\WINDOWS\system32\cyryga._sy C:\WINDOWS\system32\dumphive.exe C:\WINDOWS\system32\IEDFix.C.exe C:\WINDOWS\system32\IEDFix.exe C:\WINDOWS\system32\o4Patch.exe C:\WINDOWS\system32\Process.exe C:\WINDOWS\system32 ymare.bin C:\WINDOWS\system32\SrchSTS.exe C:\WINDOWS\system32\TDSSosvd.dat C:\WINDOWS\system32 mp.reg C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\VCCLSID.exe C:\WINDOWS\system32\WS2Fix.exe C:\WINDOWS ujypahehu._dl C:\WINDOWS\xyrewe._dl . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-24 au 2008-10-24 )))))))))))))))))))))))))))))))))))) . 2008-10-24 10:49 . 2008-10-24 11:48 d-------- C:\Program Files\Spybot - Search & Destroy 2008-10-24 10:49 . 2008-10-24 11:28 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-10-24 09:38 . 2008-10-24 09:38 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-24 09:38 . 2008-10-24 09:38 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-24 09:38 . 2008-10-24 09:38 d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes 2008-10-24 09:38 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-24 09:38 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-24 08:55 . 2008-10-24 08:55 579,584 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll 2008-10-24 08:53 . 2008-10-24 08:53 d-------- C:\WINDOWS\ERUNT 2008-10-23 18:58 . 2008-10-23 19:15 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP 2008-10-23 17:49 . 2008-10-23 17:49 d-------- C:\Program Files\Enigma Software Group 2008-10-23 16:50 . 2008-10-23 16:50 d-------- C:\Program Files\Alwil Software 2008-10-22 10:12 . 2008-09-08 12:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-22 10:11 . 2008-08-14 15:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache toskrnl.exe 2008-10-22 10:11 . 2008-08-14 15:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2008-10-22 10:11 . 2008-08-14 15:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache tkrnlpa.exe 2008-10-22 10:11 . 2008-08-14 15:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2008-10-22 10:11 . 2008-09-15 17:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-09-26 10:42 . 2008-09-26 10:42 d-------- C:\WINDOWS\system32\fr 2008-09-26 10:42 . 2008-09-26 10:42 d-------- C:\WINDOWS\system32\bits 2008-09-26 10:42 . 2008-09-26 10:42 d-------- C:\WINDOWS\l2schemas 2008-09-26 10:39 . 2008-09-26 10:43 d-------- C:\WINDOWS\ServicePackFiles 2008-09-26 09:07 . 2008-09-26 09:07 d-------- C:\Program Files\InfraRecorder 2008-09-26 09:07 . 2008-09-26 10:20 d-------- C:\Documents and Settings\Administrateur\Application Data\InfraRecorder 2008-09-26 09:02 . 2008-09-26 09:02 d-------- C:\Program Files\WinASPI 2008-09-26 09:02 . 2008-09-26 09:04 d-------- C:\Program Files\Morgan 2008-09-26 09:01 . 2008-09-26 09:05 d-------- C:\Documents and Settings\Administrateur\Application Data\NeoDivX2008 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-23 14:38 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\uTorrent 2008-09-30 15:04 --------- d-----w C:\Program Files\MSN Messenger 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-04-28 16:57 27,344 ----a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT 2008-03-04 08:39 8 --sh--r C:\WINDOWS\system32\4BAD612816.sys 2008-03-04 08:48 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((( snapshot@2008-10-24_10.31.18.75 ))))))))))))))))))))))))))))))))))))))))) . + 2008-10-24 09:08:02 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat - 2008-10-24 08:20:50 72,314 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-10-24 09:53:16 72,314 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-10-24 08:20:50 86,126 ----a-w C:\WINDOWS\system32\perfc00C.dat + 2008-10-24 09:53:16 86,126 ----a-w C:\WINDOWS\system32\perfc00C.dat - 2008-10-24 08:20:50 443,300 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-10-24 09:53:16 443,300 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-10-24 08:20:50 512,942 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-10-24 09:53:16 512,942 ----a-w C:\WINDOWS\system32\perfh00C.dat + 2008-10-24 09:49:01 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_614.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" [2008-06-17 1249280] "PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-06-18 1122816] "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "Apoint"="C:\Program Files\Apoint\Apoint.exe" [2002-12-31 159744] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2002-12-31 138008] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2002-12-31 162584] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2002-12-31 138008] "SigmatelSysTrayApp"="stsystra.exe" [2002-12-31 C:\WINDOWS\stsystra.exe] C:\Documents and Settings\Administrateur\Menu D‚marrer\Programmes\D‚marrage\ Stardock ObjectDock.lnk - C:\Program Files\Stardock\ObjectDock\ObjectDock.exe [2007-11-14 3450608] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ UpdateTimer.lnk - C:\Program Files\Inmarsat\Launchpad\UpdateTimer.exe [2008-01-29 319488] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"= 1 (0x1) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\Program Files\uTorrent\uTorrent.exe"= "C:\WINDOWS\system32\sessmgr.exe"= "C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 CAPI20;Eumex 504PC USB;C:\WINDOWS\system32\Drivers\CAPI20.SYS [2001-11-14 234732] R2 DETEWECP;DeTeWe CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2001-09-18 38480] R2 rvsport;RVS Virtual COM Port;C:\WINDOWS\system32\drivers vsport.sys [2001-05-23 38400] R3 cxbp0wdm;CardMan 4040;C:\WINDOWS\system32\DRIVERS\cxbp0wdm.sys [2007-06-05 73728] S3 cxbu0wdm;CardMan 3x21;C:\WINDOWS\system32\DRIVERS\cxbu0wdm.sys [2007-02-28 91008] S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 17149] S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2006-01-18 402432] S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS ap0801.sys [2006-10-01 26624] S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2001-11-15 31769] S3 wg51und5;NETGEAR WG511U Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\wg51und5.sys [ ] S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [ ] . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-24 12:02:09 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\WINDOWS\explorer.exe -> C:\Program Files\Stardock\ObjectDock\DockShellHook.dll . ------------------------ Autres processus actifs ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\scardsvr.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\stacsv.exe C:\WINDOWS\system32\fxssvc.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Apoint\ApMsgFwd.exe C:\Program Files\Apoint\ApntEx.exe C:\Program Files\Apoint\hidfind.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\PC Connectivity Solution\ServiceLayer.exe C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe . ************************************************************************** . Heure de fin: 2008-10-24 12:05:19 - La machine a redémarré [Administrateur] ComboFix-quarantined-files.txt 2008-10-24 10:05:15 ComboFix2.txt 2008-10-24 08:31:39 Avant-CF: 4,527,280,128 octets libres Après-CF: 4,542,406,656 octets libres 313 --- E O F --- 2008-10-23 12:00:49

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout.

- Télécharge HijackThis v2.0.2 sur ton Bureau.

- Double-clique sur HJTInstall afin de lancer l'installation.

- Clique sur Install ensuite sur I Accept.

- Clique sur Do a system scan and save a logfile.

- Le bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.

sebctg · Answer

voici le rapport de hijac

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:36, on 24/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\StacSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Apoint\Apoint.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Apoint\ApMsgFwd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\stsystra.exe
C:\Program Files\Apoint\HidFind.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Inmarsat\Launchpad\UpdateTimer.exe
C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Fichiers communs\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\hijac\scan.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: UpdateTimer.lnk = C:\Program Files\Inmarsat\Launchpad\UpdateTimer.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\StacSV.exe

Destrio5 · Answer

Tu as encore des problèmes ou on peut passer à la dernière étape ?

sebctg · Answer

je n 'ai plus de problèmes... c cool
merci nous pouvons passer a la derniere etape

sebctg · Answer

en relancant MBAM il me trouve encore un trojan: 

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1311
Windows 5.1.2600 Service Pack 3

24/10/2008 13:33:30
mbam-log-2008-10-24 (13-33-30).txt

Type de recherche: Examen rapide
Eléments examinés: 45850
Temps écoulé: 3 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (Trojan.Agent) -> Delete on reboot.

Destrio5 · Answer

Pour finir :

---> Désinstalle HijackThis.

---> Relance MBAM, va dans Quarantaine et supprime tout.

---> Télécharge Tools Cleaner sur ton Bureau :
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

---> Je te conseille également de remplacer Avast par Antivir.

sebctg · Answer

g toujour un trojan quand je relance MBAM

Destrio5 · Answer

Fais la procédure, il ne réapparaîtra pas après.

sebctg · Answer

rapport tools cleaner

[ Rapport ToolsCleaner version 2.2.4 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SDFIX: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\MsnFix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\COMBO FIX\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\MSNFix\MsnFix: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SDFix\SdFix.exe: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SmitfraudFix\SmitFraudFix.zip: trouvé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SmitfraudFix\SmitFraudfix: trouvé !
C:\Qoobox\Quarantine\C\SDFIX: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\COMBO FIX\ComboFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SDFix\SdFix.exe: supprimé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SmitfraudFix\SmitFraudFix.zip: supprimé !
C:\Combofix.txt: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SDFIX: supprimé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\MsnFix: supprimé !
C:\Documents and Settings\Administrateur\Bureau\VIRUSDIDIER\SmitFraudfix: supprimé !

Destrio5 · Answer

Supprime ComboFix et Tools Cleaner.

sebctg · Answer

Merci beaucoup de ton aide 
 tout est revenu a la normale.
Je te suis reconnaissant de ton aide et suis tres admiratif de tes connaissances.
 juste une derniere question :
ou et comment as tu appris tout cela.
encore une fois merci et bravo

Destrio5 · Answer

"ou et comment as tu appris tout cela."
---> Passion, volonté, patience...

Your pc is infected

28 réponses

Discussions similaires

Newsletters