Virus ou trojan???

Résolu
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention   -  
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention   - 30 sept. 2008 à 14:52
Bonjour à toute et à tous!

Il y a quelques jours, comme je cherchais winzip, un ami m'a envoyé un fichier dénommé Winzip...


Bien que j'avais un antivirus A JOUR, l'installation de ce fameux Winzip s'est averé néfaste par la suite...


Ce fichier est disponible ici:

http://www6.movizdb.com/?tdfs=1&kw=watch+TV&showDomain=1


Attention, c'est un virus! Je donne le lien juste pour que les pros puissent avoir un aperçu..



Une fois que j'ai téléchargé ce fichier, mon AV n'a rien vu!

Et pendant l'installation non plus mon AV n'a rien remarqué...

Quand j'ai voulu l'installer, rien ne se ait comme si l'exécutable ne se lançait pas...

Et soudain deux heures plus tard, mon AV s'affole et effectivement il y avait de quoi s'affoler: en fait, mon fond d'écran a changé et à la place j'ai eu un affiche avec ce mot: your privacy is in danger avec le dessin d'un virus et quand je cliquais sur ce dessin, ça m'envoyait vers d'autres sites!

Et j'avais le fameux triangle jaune en bas dans la barre des taches à droite qui affichait sans cesse des message d'erreur, du styl: votre PC est infesté cliquez ici pour faire un scann...

Et sans arrêt j'avais des pages d'internet qui s'ouvraient vers dis sites qui n'étaient plus dispo...

Avec un peu plus de recherches, j'ai remarqué que le panneau de configuration avait disparu et quand j'ai démarré en mode sans échec et que je suis allé sur le compte istrateur pour aller dans le panneau de configuration, pour tout changement j'ai le message de restriction des droits, alors que je suis dans le compte !


Avec un peu plus de recherches, je me suis rendu compte que c'était le processus shell.exe qui était lié à ce triangle jaune dans ma barre des taches avec les messages d'erreur...


spybot a effacé ce fichier et a "tué" le processus, mais après un redéarrage, le triangle est revenu avec les processus shedhelp.exe...


J'ai fait un scann avec SDFix en mode sans échec et après reboot voici le log:








[b]SDFix: Version 1.219 /b
Run by Pink Monkey on mer. 08/27/2008 at 13:46

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:


Restoring Default Security Values
Restoring Default Hosts File
Resetting SecurityProviders Value
Resetting AppInit_DLLs value


Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\EMWL.EXE - Deleted
C:\Documents and Settings\Pink Monkey\Application Data\printer.exe - Deleted
C:\WINDOWS\privacy_danger\index.htm - Deleted
C:\WINDOWS\privacy_danger\images\capt.gif - Deleted
C:\WINDOWS\privacy_danger\images\danger.jpg - Deleted
C:\WINDOWS\privacy_danger\images\down.gif - Deleted
C:\WINDOWS\privacy_danger\images\spacer.gif - Deleted
C:\Program Files\altcmd\altcmd.inf - Deleted
C:\Program Files\altcmd\altcmd32.dll - Deleted
C:\Program Files\altcmd\uninstall.bat - Deleted
C:\Program Files\PCHealthCenter\0.gif - Deleted
C:\Program Files\PCHealthCenter\1.exe - Deleted
C:\Program Files\PCHealthCenter\1.gif - Deleted
C:\Program Files\PCHealthCenter\1.ico - Deleted
C:\Program Files\PCHealthCenter\2.exe - Deleted
C:\Program Files\PCHealthCenter\2.gif - Deleted
C:\Program Files\PCHealthCenter\2.ico - Deleted
C:\Program Files\PCHealthCenter\3.gif - Deleted
C:\Program Files\PCHealthCenter\4.exe - Deleted
C:\Program Files\PCHealthCenter\5.exe - Deleted
C:\Program Files\PCHealthCenter\sc.html - Deleted
C:\DOCUME~1\PINKMO~1\LOCALS~1\Temp\sfsrv.exe.bat - Deleted
C:\DOCUME~1\PINKMO~1\LOCALS~1\Temp\smchk.exe.bat - Deleted
C:\Documents and Settings\Pink Monkey\Application Data\temp.dll - Deleted
C:\DOCUME~1\PINKMO~1\LOCALS~1\Temp\sfsrv.exe - Deleted
C:\WINDOWS\system32\printer.exe - Deleted
C:\WINDOWS\system32\spoolvs.exe - Deleted
C:\WINDOWS\system32\wowfx.dll - Deleted



Folder C:\Program Files\altcmd - Removed
Folder C:\Program Files\PCHealthCenter - Removed
Folder C:\WINDOWS\privacy_danger - Removed


Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 13:52:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Pando Networks\\Pando\\pando.exe"="C:\\Program Files\\Pando Networks\\Pando\\pando.exe:*:Enabled:Pando Application"
"C:\\Documents and Settings\\Pink Monkey\\Bureau\\utorrent.exe"="C:\\Documents and Settings\\Pink Monkey\\Bureau\\utorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Documents and Settings\\Pink Monkey\\Application Data\\printer.exe"="C:\\Documents and Settings\\Pink Monkey\\Application Data\\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\printer.exe"="C:\\WINDOWS\\system32\\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\spoolvs.exe"="C:\\WINDOWS\\system32\\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\shell.exe"="C:\\WINDOWS\\shell.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\Pink Monkey\\Menu D‚marrer\\Programmes\\D‚marrage\\findfast.exe"="C:\\Documents and Settings\\Pink Monkey\\Menu D‚marrer\\Programmes\\D‚marrage\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\All s\\Menu D‚marrer\\Programmes\\D‚marrage\\autorun.exe"="C:\\Documents and Settings\\All s\\Menu D‚marrer\\Programmes\\D‚marrage\\autorun.exe:*:Enabled:@xpsp2res.dll,-22019"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\Pink Monkey\\Application Data\\mcrupdate.exe"="C:\\Documents and Settings\\Pink Monkey\\Application Data\\mcrupdate.exe:*:Enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Documents and Settings\\Pink Monkey\\Application Data\\printer.exe"="C:\\Documents and Settings\\Pink Monkey\\Application Data\\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\printer.exe"="C:\\WINDOWS\\system32\\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\spoolvs.exe"="C:\\WINDOWS\\system32\\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\shell.exe"="C:\\WINDOWS\\shell.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\Pink Monkey\\Menu D‚marrer\\Programmes\\D‚marrage\\findfast.exe"="C:\\Documents and Settings\\Pink Monkey\\Menu D‚marrer\\Programmes\\D‚marrage\\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\All s\\Menu D‚marrer\\Programmes\\D‚marrage\\autorun.exe"="C:\\Documents and Settings\\All s\\Menu D‚marrer\\Programmes\\D‚marrage\\autorun.exe:*:Enabled:@xpsp2res.dll,-22019"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\Pink Monkey\\Application Data\\mcrupdate.exe"="C:\\Documents and Settings\\Pink Monkey\\Application Data\\mcrupdate.exe:*:Enabled:@xpsp2res.dll,-22019"

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 17 Jul 2008 4,348 A.SH. --- "C:\Documents and Settings\All s\DRM\DRMv1.bak"

[b]Finished!/b






Maintenant, je ne sais plus trop quoi faire...


Si une âme charitable pouvvait m'aider à me débarrasser de cette saloperie....



Je vous en remercie beaucoup!
A voir également:

20 réponses

Réponse 1 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Re bonjour:


Comme je ne sais pas rééditer mon topic, j'apporte un peu plus de précisions en tant que réponse à mon topic:




Le triangle jaune qui m'affiche des messages d'erreur dans la barre des tâches à droite, affiche exactement ce message:


Windows antivirus.
Windows has detected spyware infection!
It is recomended to use special antispyware tools to prevent data loss. Windows will now and install most up-do-date antispyware for you.

Click her to protect your computer from spyware!





Ensuite, des fenêtres s'ouvrent avec le message suivant:

Warning! Potential Spyware Operation!
Your computer is making unauthorized copies of your systntem and internet files. Run full scan now to prevent any unathorised access to your files! click here to spyware remover


Et le résident de SpybotSD m'affiche:

ID du processus: 1840
Nom du fichier: shell.exe
Trouvé dans: C:windowws
indentifié comme: Virtumonde.Crack

Et je choisis : tuer automatiquement ce processus avec l'option effacer les fichiers associes.

Ce qui me donne, dans le log, une fois l'opération terminée:

Encountered and terminated Virtumonde.Crack in C:\WINDOWS\shell.exe!


Mais ça revient à chaque demarrage de windows...

Voilà espérant être un peu plus précis maintenant.
0
Réponse 2 / 20
Utilisateur anonyme
 
Bonjour,


Houlala....!

Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : https://commentcamarche.telechargertorrent.org/telecharger/securite/11747-hijackthis/
- Lance le programme, puis sélectionne < do a system scan and save a logfile >
- Enregistre le rapport sur ton bureau.
Et envoie, par copier/coller, ton log Hijackthis sur le forum,


A+

Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
0
Réponse 3 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Merci de m'avoir répondu!

Voici le log :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:42, on 8/27/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\ATI Technologies\ATI Control \atiptaxx.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribe.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\n\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\n\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLive.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\n\yt.dll
O3 - Toolbar: qalkfxor - {47B4B5E7-18D6-47EB-AF00-DFF901A8EFF1} - C:\WINDOWS\qalkfxor.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control \atiptaxx.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Fichiers communs\Acronis\Partition Suite\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [LightScribe Control ] C:\Program Files\Fichiers communs\LightScribe\LightScribe.exe -hidden
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'Default ')
O4 - Startup: findfast.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: all links with IDM - C:\Program Files\Internet Manager\IEGetAll.htm
O8 - Extra context menu item: FLV video content with IDM - C:\Program Files\Internet Manager\IEGetVL.htm
O8 - Extra context menu item: with IDM - C:\Program Files\Internet Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: YouTube video - {0513dd51-ca1f-4370-96f2-1515954982f0} - C:\Program Files\YouTube Clip Extractor\ClipExtractor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u6-windows-i586-jc.cab&AuthParam=1580964179_948ce1dd250aac19afc416e1e34a3af9&ext=.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Droppix Service - Droppix - C:\Program Files\Fichiers communs\Droppix\DxService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - K:\Common\Database\bin\fbserver.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe
0
Réponse 4 / 20
Utilisateur anonyme
 
Re,
ok :

> Télécharge ComboFix : http://.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe
- Tape sur la touche 1 (Yes) pour démarrer le scan.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être er par CCM.net. Dans ce cas utilise ce service http://www.cit.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine.


Avec un nouveau rapport HiJackT stp.


A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Re bonjour maître,

Voici le log de ComboFix:


ComboFix 08-08-26.03 - Pink Monkey 2008-08-27 15:46:57.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.236 [GMT 2:00]
Endroit: C:\Documents and Settings\Pink Monkey\Bureau\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\istrateur\Menu Démarrer\Programmes\Démarrage\findfast.exe
C:\Documents and Settings\All s\Menu Démarrer\Programmes\Démarrage\autorun.exe
C:\Documents and Settings\Pink Monkey\Menu Démarrer\Programmes\Démarrage\findfast.exe
C:\WINDOWS\install.exe
C:\WINDOWS\shell.exe
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolvs.exe

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-27 to 2008-08-27 ))))))))))))))))))))))))))))))))))))
.

2008-08-27 14:54 . 2008-08-27 14:54 <REP> d-------- C:\Program Files\Trend Micro
2008-08-27 13:54 . 2008-08-27 15:35 <REP> d-------- C:\Documents and Settings\Pink Monkey\Application Data\OnlineArmor
2008-08-27 13:54 . 2008-08-27 13:54 <REP> d-------- C:\Documents and Settings\All s\Application Data\OnlineArmor
2008-08-27 13:41 . 2008-08-27 13:42 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-27 13:31 . 2008-08-27 13:54 <REP> d-------- C:\SDFix
2008-08-27 12:53 . 2008-08-27 12:53 <REP> d-------- C:\Program Files\Tall Emu
2008-08-27 12:53 . 2008-04-17 05:25 80,584 --a------ C:\WINDOWS\system32\drivers\OADriver.sys
2008-08-27 12:53 . 2008-04-17 05:25 32,456 --a------ C:\WINDOWS\system32\drivers\OAmon.sys
2008-08-27 12:53 . 2008-04-17 05:25 28,872 --a------ C:\WINDOWS\system32\drivers\oanet.sys
2008-08-27 12:14 . 2008-08-27 12:14 <REP> d-------- C:\Program Files\Lavasoft
2008-08-27 12:13 . 2008-08-27 12:13 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-27 12:09 . 2008-08-27 13:23 <REP> d-------- C:\Program Files\a-squared Anti-Malware
2008-08-27 12:06 . 2008-08-27 12:07 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-08-27 12:06 . 2008-08-27 12:37 <REP> d-------- C:\Documents and Settings\All s\Application Data\Spybot - Search & Destroy
2008-08-27 12:02 . 2008-08-27 12:02 <REP> d-------- C:\Program Files\CCleaner
2008-08-27 11:52 . 2008-08-27 12:00 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-08-26 18:38 . 2008-08-26 18:38 <REP> d-------- C:\VundoFix Backups
2008-08-26 08:16 . 2008-08-25 18:13 188,416 --a------ C:\WINDOWS\rqbmvpso.dll
2008-08-26 08:16 . 2008-08-25 18:13 155,648 --a------ C:\WINDOWS\qalkfxor.dll
2008-08-26 08:16 . 2008-08-25 18:13 86,016 --a------ C:\WINDOWS\rvoelbxt.exe
2008-08-26 08:12 . 2008-08-26 08:12 <REP> d-------- C:\WINDOWS\system32\xlib254.dll
2008-08-26 08:12 . 2008-08-26 08:12 <REP> d-------- C:\WINDOWS\system32\append.dll
2008-08-26 07:33 . 2008-08-26 07:33 <REP> d-------- C:\Documents and Settings\Pink Monkey\Application Data\Thinstall
2008-08-21 23:13 . 2004-08-04 06:54 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-21 22:40 . 2001-05-11 13:18 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll
2008-08-21 22:40 . 2001-05-16 17:54 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2008-08-21 22:40 . 2001-03-26 04:41 245,760 --a------ C:\WINDOWS\system32\mp4sds32.ax
2008-08-21 22:34 . 2008-08-21 22:36 <REP> d-------- C:\Documents and Settings\All s\Application Data\MAGIX
2008-08-21 22:34 . 2003-04-18 16:46 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
2008-08-21 22:34 . 2003-04-18 16:29 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2008-08-21 22:34 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-08-21 22:33 . 2008-08-21 22:38 <REP> d-------- C:\Program Files\Fichiers communs\MAGIX Shared
2008-08-21 22:28 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-08-21 06:33 . 2008-08-21 06:33 <REP> d-------- C:\Documents and Settings\Pink Monkey\Application Data\Media Player Classic
2008-08-21 06:31 . 2008-08-21 06:31 <REP> d-------- C:\Program Files\K-Lite Codec Pack
2008-07-28 19:32 . 2008-07-28 19:32 268 --ah----- C:\sqmdata03.sqm
2008-07-28 19:32 . 2008-07-28 19:32 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-27 13:35 --------- d-----w C:\Documents and Settings\Pink Monkey\Application Data\che
2008-08-27 13:22 --------- d-----w C:\Documents and Settings\Pink Monkey\Application Data\uTorrent
2008-08-27 10:18 --------- d-----w C:\Documents and Settings\All s\Application Data\Lavasoft
2008-08-21 16:38 --------- d-----w C:\Documents and Settings\Pink Monkey\Application Data\Vso
2008-07-25 11:32 --------- d-----w C:\Documents and Settings\Pink Monkey\Application Data\Apple Computer
2008-07-25 11:30 --------- d-----w C:\Program Files\QuickTime
2008-07-25 11:28 --------- d-----w C:\Documents and Settings\All s\Application Data\Apple Computer
2008-07-25 11:27 --------- d-----w C:\Program Files\Apple Software Update
2008-07-25 11:27 --------- d-----w C:\Documents and Settings\All s\Application Data\Apple
2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-07-25 08:34 683,520 ----a-w C:\WINDOWS\system32\divx.dll
2008-07-23 16:50 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-07-18 05:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-18 05:53 --------- d-----w C:\Program Files\Ontrack
2008-07-18 05:53 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2008-07-16 18:51 2,041,363 ----a-w C:\WINDOWS\system32\x264vfw.dll
2008-07-10 11:11 --------- d-----w C:\Program Files\Windows Live
2008-07-10 10:51 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-07-10 10:41 --------- d-----w C:\Documents and Settings\All s\Application Data\WLInstaller
2008-07-07 10:15 --------- d-----w C:\Program Files\MediaInfo
2008-06-29 18:27 --------- d-----w C:\Documents and Settings\Pink Monkey\Application Data\IDM
2008-06-29 18:25 --------- d-----w C:\Program Files\Internet Manager
2008-06-12 18:36 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2008-05-27 17:30 5,178 ----a-w C:\Program Files\Xnews.ini
2008-05-27 17:30 1,269,239 ----a-w C:\Program Files\Free.newsrc
2008-05-27 16:01 7 ----a-w C:\Program Files\Free.Xnewsrc
2008-05-27 16:01 1,269,188 ----a-w C:\Program Files\Free.newsrc.bak
2008-05-27 15:56 92 ----a-w C:\Program Files\servers.ini
2002-12-28 08:40 1,265,664 ----a-w C:\Program Files\XnewsFr.exe
2002-12-18 17:08 187,851 ----a-w C:\Program Files\Xnews.chm
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{47B4B5E7-18D6-47EB-AF00-DFF901A8EFF1}"= "C:\WINDOWS\qalkfxor.dll" [2008-08-25 18:13 155648]

[HKEY_CLASSES_ROOT\clsid\{47b4b5e7-18d6-47eb-af00-dff901a8eff1}]
[HKEY_CLASSES_ROOT\qalkfxor.1]
[HKEY_CLASSES_ROOT\TypeLib\{AF018914-67DD-4B0E-B3D3-23BF4448732F}]
[HKEY_CLASSES_ROOT\qalkfxor]

[HKEY_CURRENT_\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:54 15360]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 17:43 4670704]
"LightScribe Control "="C:\Program Files\Fichiers communs\LightScribe\LightScribe.exe" [2007-08-23 18:36 455968]
"IDMan"="C:\Program Files\Internet Manager\IDMan.exe" [2008-06-29 20:26 2594224]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control \atiptaxx.exe" [2005-08-05 21:05 344064]
"OSSelectorReinstall"="C:\Program Files\Fichiers communs\Acronis\Partition Suite\oss_reinstall.exe" [2006-04-19 20:36 1281425]
"TrueImageMonitor.exe"="C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe" [2006-03-02 21:00 1009003]
"Acronis Scheduler2 Service"="C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2006-03-02 21:00 118784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 17:05 81920]
"TotalRecorderScheduler"="C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe" [2005-05-18 22:51 81920]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 21:24 32768]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2008-03-01 07:10 15872]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-06-06 08:02 185896]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"a-squared"="C:\Program Files\a-squared Anti-Malware\a2guard.exe" [2008-07-31 14:46 2131600]
"OnlineArmor GUI"="C:\Program Files\Tall Emu\Online Armor\oaui.exe" [2008-04-17 05:25 5545536]

[HKEY_S\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:54 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{4F07DA45-8170-4859-9B5F-037EF2970034}"= "C:\PROGRA~1\TALLEM~1\ONLINE~1\oaevent.dll" [2008-04-17 05:25 671432]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"= DrvTrNTm.dll
"wave"= DrvTrNTm.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\Azureus\\Azureus.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57599:T"= 57599:T:Pando P2P T Listening Port
"57599:UDP"= 57599:UDP:Pando P2P UDP Listening Port

R1 OADevice;OADriver;C:\WINDOWS\system32\drivers\OADriver.sys [2008-04-17 05:25]
R1 OAmon;OAmon;C:\WINDOWS\system32\drivers\OAmon.sys [2008-04-17 05:25]
R1 OAnet;OAnet;C:\WINDOWS\system32\drivers\OAnet.sys [2008-04-17 05:25]
R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-04-27 23:39]
R2 SvcOnlineArmor;Online Armor;C:\Program Files\Tall Emu\Online Armor\oasrv.exe [2008-04-17 05:25]
R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-06-10 13:59]
S3 Droppix Service;Droppix Service;C:\Program Files\Fichiers communs\Droppix\DxService.exe [2007-09-14 11:16]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;K:\Common\Database\bin\fbserver.exe [2005-11-17 15:18]

[HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f22fd-003e-11dd-94a1-0014a5144d6b}]
\Shell\1\Command - F:\RUNAUT~1\autorun.pif
\Shell\2\Command - F:\RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f22fe-003e-11dd-94a1-0014a5144d6b}]
\Shell\1\Command - H:\RUNAUT~1\autorun.pif
\Shell\2\Command - H:\RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f22ff-003e-11dd-94a1-0014a5144d6b}]
\Shell\1\Command - I:\RUNAUT~1\autorun.pif
\Shell\2\Command - I:\RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f2300-003e-11dd-94a1-0014a5144d6b}]
\Shell\1\Command - J:\RUNAUT~1\autorun.pif
\Shell\2\Command - J:\RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b37e92f-fa6f-11dc-9498-0014a5144d6b}]
\Shell\1\Command - F:\RUNAUT~1\autorun.pif
\Shell\2\Command - F:\RUNAUT~1\autorun.pif
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNAUT~1\autorun.pif

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe"
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-21 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Pink Monkey\Application Data\Mozilla\Firefox\Profiles\sco0bjiz.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-27 15:55:38
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Yahoo!\Messenger\Ymsgr_tray.exe
C:\Program Files\Internet Manager\IEMonitor.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-27 16:03:46 - machine was rebooted [Pink Monkey]
ComboFix-quarantined-files.txt 2008-08-27 14:03:32

Pre-Run: 1,077,882,880 octets libres
Post-Run: 1,136,947,200 octets libres

227 --- E O F --- 2008-05-22 22:46:22







Et celui de hijickthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:33, on 8/27/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI Control \atiptaxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribe.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Program Files\Internet Manager\IEMonitor.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\n\yt.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\n\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLive.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\n\yt.dll
O3 - Toolbar: qalkfxor - {47B4B5E7-18D6-47EB-AF00-DFF901A8EFF1} - C:\WINDOWS\qalkfxor.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control \atiptaxx.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Fichiers communs\Acronis\Partition Suite\oss_reinstall.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Fichiers communs\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [OnlineArmor GUI] "C:\Program Files\Tall Emu\Online Armor\oaui.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [LightScribe Control ] C:\Program Files\Fichiers communs\LightScribe\LightScribe.exe -hidden
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE ( 'Default ')
O8 - Extra context menu item: all links with IDM - C:\Program Files\Internet Manager\IEGetAll.htm
O8 - Extra context menu item: FLV video content with IDM - C:\Program Files\Internet Manager\IEGetVL.htm
O8 - Extra context menu item: with IDM - C:\Program Files\Internet Manager\IEExt.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: YouTube video - {0513dd51-ca1f-4370-96f2-1515954982f0} - C:\Program Files\YouTube Clip Extractor\ClipExtractor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD42/JSCDL/jre/6u6-b90/jinstall-6u6-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u6-windows-i586-jc.cab&AuthParam=1580964179_948ce1dd250aac19afc416e1e34a3af9&ext=.cab
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Fichiers communs\Acronis\Schedule2\schedul2.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Droppix Service - Droppix - C:\Program Files\Fichiers communs\Droppix\DxService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - K:\Common\Database\bin\fbserver.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\Alex Feinman\ISO Recorder\ImapiHelper.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Program Files\Tall Emu\Online Armor\oasrv.exe
0
Utilisateur anonyme
 
C'est pas fini !

Il te reste des trojans...

Je te prépare la suite....Laisse moi quelques dizaines de minutes.


Pour info :

/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Ne postez pas sur cette discussion ! Créer votre propre topique en suivant cette procédure (Flash-player de Balltrap) afin d'obtenir une réponse plus efficace et ne pas perturber celui-ci. Peut-être que cette discussion vous apportera des solutions mais chaque infection est plus ou moins spécifique.

...Quelques conseils/recommandations...
- Tout d'abord, merci pour ta confiance :-)
- Ne crée pas d'autre discussion que celle-ci sur le forum : elle serait effacée, tu n'obtiendrais pas forcément une réponse plus rapidement, tu compliquerais la tâche des intervenants et tu chamboulerais l'intégrité du forum (si tu l'as déjà fais dis le moi).
- Suis les manip. dans l'ordre et poste tes réponses en fin de discussion afin d'en conserver la chronologie.
- Ne touche pas à la restauration système (sauf si obligation).
- Si la réponse n'arrive pas de suite, elle arrivera plus tard. Prends ton mal en patience ! ;-)
- Suis la désinfection jusqu'au bout ! Ce n'est pas parce que tu n'as plus d'alerte que le problème est résolu.
- Si certains liens ne sont plus accessibles, merci de me le signaler.
- Pour finir, je t'invite à consulter la charte de CCM.




A+
0
Réponse 6 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Je t'en prie, prends le temps que tu veux avec tous mes remerciments!

Et j'ai respecté les deux infos que tu as postées, concernant les postes et discussions, alors, me suis-je gouré quelque part?



Milles mercis encore et porte toi bien!
0
Réponse 7 / 20
Utilisateur anonyme
 
Non non !

Tu ne t'es pas gouré !

:-)

Pas de soucis. Mais il faut aller jusqu'au bout : qu'il ne reste plus rien comme crasse.
D'où mes info/conseils.


Alors,
> Télécharge ATF Cleaner par Atribune sur ton bureau.
- Démarre ATF-Cleaner et Coche les valeurs suivantes :

Windows Temp
Current Temp
All s Temp
Cookies
Temporary Internet Files
Prefetch
Java Cache
Recycle Bin

- Clique sur <Empty Selected> et au message "Done Cleaning" sur <Ok>

NB : Si tu utilises Firefox ou Opera :
- Clique sur Firefox ou Opera en haut puis choisis <Select All>.
- Clique sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de e sauvegardés alors clique sur <No> à l'invite).
- Clique sur <Main> pour revenir à menu principal

- Clique sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.




Ensuite,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes : 

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{47B4B5E7-18D6-47EB-AF00-DFF901A8EFF1}"=-
[-HKEY_CLASSES_ROOT\clsid\{47b4b5e7-18d6-47eb-af00-dff901a8eff1}]
[-HKEY_CLASSES_ROOT\qalkfxor.1]
[-HKEY_CLASSES_ROOT\TypeLib\{AF018914-67DD-4B0E-B3D3-23BF4448732F}]
[-HKEY_CLASSES_ROOT\qalkfxor] 
[-HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f22fd-003e-11dd-94a1-0014a5144d6b}] 
[-HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f22fe-003e-11dd-94a1-0014a5144d6b}] 
[-HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f22ff-003e-11dd-94a1-0014a5144d6b}] 
[-HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{325f2300-003e-11dd-94a1-0014a5144d6b}] 
[-HKEY_CURRENT_\software\microsoft\windows\currentversion\explorer\mountpoints2\{9b37e92f-fa6f-11dc-9498-0014a5144d6b}] 

File::
C:\WINDOWS\rqbmvpso.dll
C:\WINDOWS\qalkfxor.dll
C:\WINDOWS\rvoelbxt.exe
C:\WINDOWS\system32\xlib254.dll
C:\WINDOWS\system32\append.dll 
C:\WINDOWS\system32\x264vfw.dll

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image.
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être er par CCM.net. Dans ce cas utilise ce service http://www.cit.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).




Ensuite,
je doute de deux fichiers, donc :
> Rends toi sur ce site virustotal et fais analyser le/les fichier(s) suivant(s) stp : (copie/colle la/les ligne(s) dans le cadre "envoyer un fichier")
Si problème : http://pageperso.aol.fr/loraline60/virus_total.htm 

C:\WINDOWS\system32\DLLDEV32i.dll 
C:\WINDOWS\system32\x264vfw.dll

et poste le/les résultat(s) par copier/coller stp (ou le/les lien(s) http, c'est plus rapide et préférable).



Puis poste un dernier HiJackT stp.
Après on termine.



A+
0
Réponse 8 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,

Merci beaucoup pour le mal que tu te donnes pour mon souci.


Je voulais te signaler que je suis obligé de lancer ComboFix en mode sans échec car en mode normal il fait tout redémarrer comme le fait sacer...


Voici les liens cit des logs des différents tests:


logComboFix:
http://www.cit.fr/cjlink.php?file=cj200808/cijzfR1vJi.txt



log scan DLLDEV32i.dll:
http://www.cit.fr/cjlink.php?file=cj200808/cijrPNyWvc.txt



Log scan x264vfw.dll:
http://www.cit.fr/cjlink.php?file=cj200808/cijcCCdzjJ.txt



Et enfin log hujickt:
http://www.cit.fr/cjlink.php?file=cj200808/cijFV7zRFF.txt



ça va un peu mieux maintenant?

quel était le virus trojan que j'avais attrapé?

Et je souhaiterais savoir qu'est ce qui t'as mis sur la piste de cette saloperie?


Merci beaucoup encore et encore et encore et toujours!
0
Réponse 9 / 20
Utilisateur anonyme
 
Re,
Combo n'a pas fonctionner.

Il faut bien executer le script . Pas juste faire un scanne (voir au-dessus).

Peux tu le refaire stp ? Pour quoi cela ne marche pas en mode normal ? Sinon fais le en MSE mais en glissant/collant le script que je t'ai préparé. Puis poste son rapport stp.


Je voulais te signaler que je suis obligé de lancer ComboFix en mode sans échec car en mode normal il fait tout redémarrer comme le fait sacer...

Je ne comprends pas ???

https://www.google.fr/search?hl=fr&client=firefox-a&channel=s&rls=org.mozilla%3Afr%3Aofficial&hs=mAQ&q=sacer&btnG=Rechercher&meta=&gws_rd=ssl


Ce qui me mets sur la piste c'est tes rapports : ils indiquent des fichiers légitimes et d'autres non. Il suffit de virer les illégitimes. Le tout est d'apprendre à les reprérer.

Comme

O3 - Toolbar: qalkfxor - {47B4B5E7-18D6-47EB-AF00-DFF901A8EFF1} - C:\WINDOWS\qalkfxor.dll

Qui est encore là.....

Voilà.



Puis on fini.


Si tu as des soucis dis le moi et on fera autrement.


A+
0
Réponse 10 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ok je vais le refaire en mode normal et si ça se reproduit je te ferai une capture d'écran...

A tout de suite!
0
Réponse 11 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Voici le premier message d'erreur type sasser que j'ai eu quand j'ai lancé ComboFix en mode normal:

http://www.cit.fr/cjlink.php?file=cj200808/cijvtC6hiJ.jpg


Pour la deuxième fois, j'ai eu le même type de message mais avec la raison que voici: windows doit s'arrêter car le service lancer du processus DCOM s'est terminé de façon inattendue et reblote redémarrage du PC!


Mais curieusement cette fois ci pas de soucis?!


Voici le log de combofix:
http://www.cit.fr/cjlink.php?file=cj200808/cijldPqlr0.txt

Et voici celui de hijackt:

http://www.cit.fr/cjlink.php?file=cj200808/cijr5IWZ7y.txt



Voila voilou... Et encore merci!
0
Réponse 12 / 20
Utilisateur anonyme
 
Ok,
parfait !

Alors,
pour être sûr que rien ne reste :

> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...) si possible. Allume les si necessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré stp.
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html



Après on termine : c'est promis je te libère.


:-)


A+
0
Réponse 13 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ben justement je n'ai pas envie que tu me libères, encore beaucoup à apprendre! ;-)


Et puis je t'ai envoyé un MP...

Et pour le scan en ligne, je le ferrai au plus tôt demain soir car je n'ai aucun de mes périph externes avec moi...


Merci et mille mercis!
0
Utilisateur anonyme
 
Ok,
pas de problème.

On fini demain.

Bonne soirée.

PS : J'ai répondu à ton MP.

;)
0
Réponse 14 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Salut...

Alors tu as pu te reposer depuis hier que je t'ai laissé filer douce??? :-)


Là je suis en train de faire le scan en ligne comme tu me l'as demandé hier...


Dès que j'ai le rapport je te le poste ici.

Merci beaucoup encore, et porte toi bien...
0
Réponse 15 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,

Après 15 heures de scan, l'AV a finit son travail...


Voici le lien du rapport:

http://www.cit.fr/cjlink.php?file=cj200808/cijpPXV5sE.txt


Encore beaucoup de virus, mais tous sur mon disque dure externe il me semble...


Merci encore et porte toi bien.
0
Réponse 16 / 20
Utilisateur anonyme
 
Salut,

Houlala.....


Bon,
> Scanne ton PC avec BitDefender en ligne http://www.bitdefender.fr/scan_fr/scan8/ie.html (uniquement sous Internet Explorer)
- Clique sur J'accepte puis accepte également l'ActiveX bloqué par la barre anti-popup du SP2 qui clignotera en haut et installe le.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...) si possible. Allume les si necessaire.
- Ensuite, clique sur Cliquez ici pour scanner.
- Patiente jusqu'à la fin du scan qui peut durer assez longtemps...
- Poste le rapport une fois terminé stp.
Tuto : https://commentcamarche.telechargertorrent.org/scan-antivirus-ligne-nod32/#mozTocId131054


Puis,
ensuite,
je veux bien un nouveau rapport Kaspersky en ligne stp.


(je sais ça prend du temps).


Bon courage.
0
Réponse 17 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,

Alors dis-moi, qu'est ce que je fais avec le rapport de Kaspersky?


Je fais Nettoyer maintenant, ou sans nettoyage avec Kaspersky je fais le scan avec BitDefender??


Merci encore et porte toi bien...
0
Utilisateur anonyme
 
Salut,

Alors oublie le scanne Kaspersky parce qu'il y en a trop pour lui (et moi) : il ne nettoie pas mais t'envoie sur un lien commencial pour acheter son produit. Après c'est moi qui te donne une manip pour les supprimer facilement (mais là je ne me vois pas te la préparer vu la quantité d'éléments infectés....).

Par contre Bitdefender nettoie mais est un peu moins efficace en treme de détection.
Donc fais un scanne avec Bitdefender (connecte avant tout ton matériel USB) puis poste moi son rapport stp.

Après on avisera. Mais Bitdefender va déjà faire un GROS nettoyage.

Porte toi bien aussi.
Bonne journée.
0
Réponse 18 / 20
renard101 Messages postés 737 Date d'inscription   Statut Membre Dernière intervention   67
 
salut diid, pour suivre bon courage ;)
0
Utilisateur anonyme
 
Salut Renard,

Tu es le bienvenu.

;)
0
Réponse 19 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ah bon courage à DIID?


C'est un verre à boire ça pour lui...


Pas de soucis...


C'est surtout à moi qu'il faut souhaiter bon courage... :(
0
Utilisateur anonyme
 
Bonsoir,

:-)

C'est le PC qui travail le plus : Tu envoies le scanne et HOP !
Tu fais autre chose, même sur le PC.
J'espère que tu ne restes pas devant à regarder le scanne défiler ?

:-)

Bon, quand tu auras le rapport je suis preneur.


Bonne soirée.
0
Réponse 20 / 20
Almossadra Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Désolé pour le retard...



Dis moi, parmis cette liste, il y a des logiciels que je ne souhaite pas supprimer, alors, est ce que tu auras une manip à proposer? tu feras un heureux de plus!



Merci beaucoup et porte toi bien.
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse