PC truffé de virus

[Thanos]

salut

 

Pas de souci

 

J'aimerai que tu fasses une recherche dans la base de registre afin d'éliminer certains éléments >

 

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)

• dézippe dans un répertoire dédié tel que C:\Program Files
  
• double clique sur RegSearch.exe
  
• copie colle les entrées en bleu dans les lignes de la zone de recherche:
  (n'entre qu'un seul élément par ligne!)
  joqkqszzv.exe
  dx32cxel.sys
  ldrsvc
  
  
• rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  
• après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  
• le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  
• copie-colle le contenu de la fenêtre dans un post, ici
  
• ferme le bloc-notes et ferme RegSearch par Cancel
  
• Si la manipulation ne marche pas, entre les éléments un par un.
  

Modifié le 3 octobre 2007 par charles ingals

[Donlarbe]

salut

 

Pas de souci

 

J'aimerai que tu fasses une recherche dans la base de registre afin d'éliminer certains éléments >

 

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)

• dézippe dans un répertoire dédié tel que C:\Program Files
  
• double clique sur RegSearch.exe
  
• copie colle les entrées en bleu dans les lignes de la zone de recherche:
  (n'entre qu'un seul élément par ligne!)
  joqkqszzv.exe
  dx32cxel.sys
  ldrsvc
  
  
• rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  
• après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  
• le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  
• copie-colle le contenu de la fenêtre dans un post, ici
  
• ferme le bloc-notes et ferme RegSearch par Cancel
  
• Si la manipulation ne marche pas, entre les éléments un par un.
  

 

 

Salut,

Désolé pour le retard de la réponse, qui est dû à la même cause que précédemment.

Voici donc le rapport de RegSearch :

 

Windows Registry Editor Version 5.00

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.5.0

 

; Results at 07/10/2007 09:46:25 for strings:

; 'joqkqszzv.exe'

; 'dx32cxel.sys'

; 'ldrsvc

ldrsvc

ldrsvc

ldrsvc'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dx32cxel]

; Contents of value:

; \??\C:\WINDOWS\System32\dx32cxel.sys

"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\

44,00,4f,00,57,00,53,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\

00,5c,00,64,00,78,00,33,00,32,00,63,00,78,00,65,00,6c,00,2e,00,73,00,79,00,\

73,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\dx32cxel]

; Contents of value:

; \??\C:\WINDOWS\System32\dx32cxel.sys

"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\

44,00,4f,00,57,00,53,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\

00,5c,00,64,00,78,00,33,00,32,00,63,00,78,00,65,00,6c,00,2e,00,73,00,79,00,\

73,00,00,00

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dx32cxel]

; Contents of value:

; \??\C:\WINDOWS\System32\dx32cxel.sys

"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\

44,00,4f,00,57,00,53,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\

00,5c,00,64,00,78,00,33,00,32,00,63,00,78,00,65,00,6c,00,2e,00,73,00,79,00,\

73,00,00,00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\Auto\command]

@="joqkqszzv.exe"

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command]

@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

joqkqszzv.exe"

 

; End Of The Log...

 

Merci

[Thanos]

salut

 

Exécute le script suivant stp >

 

1) Crée un point de restauration avant de faire quoique ce soit.

 

2) Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/mrk0x2

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

@+

[Donlarbe]

salut

 

Exécute le script suivant stp >

 

1) Crée un point de restauration avant de faire quoique ce soit.

 

2) Stp rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/mrk0x2

pour cela, clique sur le lien en bas de page > Download Link: CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
   
  
  
• Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

@+

 

Bonsoir,

Réponse tardive, mais la voici :

 

ComboFix 07-10-12.4 - jean pierre 2007-10-14 16:26:47.6 - NTFSx86

Microsoft Windows XP ?dition familiale 5.1.2600.2.1252.33.1036.18.229 [GMT

2:00]

Running from: C:\Documents and Settings\jean pierre\Mes

documents\logiciels\ComboFix.exe

Command switches used :: C:\Documents and Settings\jean

pierre\Bureau\CFScript.txt

* Created a new restore point

 

FILE::

C:\Program Files\Uninstall My Web Search.dll

C:\WINDOWS\System32\dx32cxel.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions

))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Program Files\Uninstall My Web Search.dll

C:\Rustbfix

C:\Rustbfix\1run.bat

C:\Rustbfix\2run.bat

C:\Rustbfix\avenger.exe

C:\Rustbfix\chkrustb.bat

C:\Rustbfix\LS.exe

C:\Rustbfix\pelog.txt

C:\Rustbfix\script.txt

C:\Rustbfix\SF.exe

C:\Rustbfix\streamtools.zip

C:\Rustbfix\swreg.exe

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services

)))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_DX32CXEL

-------\dx32cxel

 

 

((((((((((((((((((((((((((((( Fichiers créés 2007-09-14 to 2007-10-14

))))))))))))))))))))))))))))))))))))

.

 

2007-10-13 13:43 <REP> d-------- C:\Documents and Settings\auriane\Application

Data\Grisoft

2007-10-13 13:43 <REP> d-------- C:\Documents and Settings\auriane\Application

Data\AVG7

2007-10-03 09:38 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-30 13:50 <REP> d-------- C:\Documents and

Settings\LocalService\Application Data\AVG7

2007-09-30 13:47 <REP> d-------- C:\Documents and Settings\jean

pierre\Application Data\AVG7

2007-09-30 13:46 <REP> d-------- C:\Documents and Settings\All Users\Application

Data\avg7

2007-09-30 13:46 110,592 --a------ C:\WINDOWS\system32\avgfwafu.dll

2007-09-30 13:46 9,216 --a------ C:\WINDOWS\system32\avgwlntf.dll

2007-09-30 13:12 9,488 --a------ C:\WINDOWS\system32\sporder.dll

2007-09-30 13:11 <REP> d-------- C:\Program Files\Panda Software

2007-09-30 13:10 <REP> d-------- C:\Program Files\Fichiers communs\Panda

Software

2007-09-30 12:29 <REP> d-------- C:\Program Files\Alcohol Soft

2007-09-30 12:25 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2007-09-30 10:52 <REP> d-------- C:\Program Files\MSXML 6.0

2007-09-29 01:36 <REP> d-------- C:\Program Files\CDBurnerXP

2007-09-29 01:34 <REP> d-------- C:\WINDOWS\system32\fr-FR

2007-09-29 01:32 <REP> d-------- C:\Program Files\MSBuild

2007-09-29 01:27 <REP> d-------- C:\WINDOWS\system32\XPSViewer

2007-09-29 01:26 <REP> d-------- C:\Program Files\Reference Assemblies

2007-09-29 01:25 14,048 --------- C:\WINDOWS\system32\spmsg2.dll

2007-09-28 23:44 <REP> d-------- C:\Program Files\Panda Security

2007-09-28 06:44 <REP> d-------- C:\Program Files\CCleaner

2007-09-26 14:51 <REP> d-------- C:\Program Files\MSXML 4.0

2007-09-26 12:50 <REP> d-------- C:\Program Files\a-squared Free

2007-09-26 08:32 <REP> d-------- C:\WINDOWS\ERUNT

2007-09-25 21:24 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-09-25 19:00 <REP> d-------- C:\Program Files\Trend Micro

2007-09-24 21:36 128,896 --------- C:\WINDOWS\system32\dllcache\fltmgr.sys

2007-09-24 21:36 23,040 --------- C:\WINDOWS\system32\dllcache\fltmc.exe

2007-09-24 21:36 16,896 --------- C:\WINDOWS\system32\dllcache\fltlib.dll

2007-09-23 22:10 <REP> d-------- C:\Documents and Settings\LocalService\Menu

D‚marrer

2007-09-23 20:50 <REP> d-------- C:\WINDOWS\provisioning

2007-09-23 20:50 <REP> d-------- C:\WINDOWS\peernet

2007-09-23 14:36 <REP> d-------- C:\Documents and Settings\jean

pierre\Application Data\IE7Pro

2007-09-23 09:47 3,018 --a------ C:\WINDOWS\system32\tmp.reg

2007-09-23 09:31 <REP> d-------- C:\Documents and Settings\All Users\Application

Data\Prevx

2007-09-23 08:15 <REP> d-------- C:\Documents and

Settings\Administrateur\Application Data\Grisoft

2007-09-23 08:14 <REP> d--h----- C:\Documents and

Settings\Administrateur\Voisinage r‚seau

2007-09-23 08:14 <REP> d--h----- C:\Documents and

Settings\Administrateur\Voisinage d'impression

2007-09-23 08:14 <REP> d--h----- C:\Documents and

Settings\Administrateur\ModŠles

2007-09-23 08:14 <REP> dr------- C:\Documents and Settings\Administrateur\Mes

documents

2007-09-23 08:14 <REP> dr------- C:\Documents and Settings\Administrateur\Menu

D‚marrer

2007-09-23 08:14 <REP> dr------- C:\Documents and

Settings\Administrateur\Favoris

2007-09-23 08:14 <REP> dr------- C:\Documents and Settings\Administrateur\Bureau

2007-09-23 08:10 <REP> d-------- C:\Documents and Settings\jean

pierre\Application Data\Grisoft

2007-09-23 08:09 <REP> d-------- C:\Documents and Settings\All Users\Application

Data\Grisoft

2007-09-23 08:09 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-09-22 06:48 <REP> d-------- C:\Program Files\Temporary

2007-09-15 14:12 <REP> d-------- C:\Documents and Settings\All Users\Application

Data\Kaspersky Lab Setup Files

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M

))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-10-13 12:59 --------- d-----w C:\Program Files\MSN Messenger

2007-10-13 11:45 --------- d-----w C:\Program Files\Shareaza

2007-09-30 11:41 --------- d--h--w C:\Program Files\InstallShield Installation

Information

2007-09-30 11:29 --------- d-----w C:\Program Files\QuickTime

2007-09-26 10:32 --------- d-----w C:\Documents and Settings\All

Users\Application Data\Spybot - Search & Destroy

2007-09-23 10:53 --------- d-----w C:\Documents and Settings\jean

pierre\Application Data\Lavasoft

2007-09-06 11:20 --------- d-----w C:\Program Files\DivX

2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll

2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll

2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll

2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe

2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll

2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll

2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll

2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll

2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll

2006-06-11 07:56 560 ----a-w C:\Documents and Settings\jean pierre\Application

Data\ViewerApp.dat

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg

)))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2003-08-05 14:59 C:\WINDOWS\SOUNDMAN.EXE]

"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24

C:\WINDOWS\system32\Ati2mdxx.exe]

"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 22:10]

"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 12:31]

"VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2003-08-13

11:33]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"

[2004-01-21 19:04]

"CheckMedi8or"="C:\Program Files\Mediator 7 Pro\CheckNewUser.exe" [2002-10-29

17:00]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-29 12:01]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe"

[2007-06-11 11:25]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"

[2005-11-10 13:03]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-09-30 20:26]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows

nt\currentversion\winlogon\notify\avgwlntf]

avgwlntf.dll 2007-09-30 13:46 9216 C:\WINDOWS\system32\avgwlntf.dll

 

R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys

R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe

R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program

Files\Virtual CD v4 SDK\system\vcssecs.exe

S3 fbxusb;Carte réseau virtuelle FreeBox

USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys

S3 NUVision;Pinnacle Fusion Video;C:\WINDOWS\system32\DRIVERS\nuvvid2.sys

S3 PavSRK.sys;PavSRK.sys;\??\C:\WINDOWS\system32\PavSRK.sys

S3 PavTPK.sys;PavTPK.sys;\??\C:\WINDOWS\system32\PavTPK.sys

S3 PentaxUsb;PENTAX Optio 60 on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys

S3 PentaxVc;PENTAX Optio 60 Video

Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys

S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

Auto\command - joqkqszzv.exe

AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL

joqkqszzv.exe

 

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

http://www.gmer.net

Rootkit scan 2007-10-14 16:39:39

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

**************************************************************************

.

Completion time: 2007-10-14 16:42:45 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-10-03 11:47

C:\ComboFix2.txt ... 2007-10-03 11:48

.

--- E O F ---

 

Merci

[Thanos]

salut

 

Le dernier rapport ne montre rien de mauvais.

Juste une petite touche >

 

Stp rend toi sur cette page afin de télécharger le fichier search.bat > http://www.sendspace.com/file/7fx16j

pour cela, clique sur le lien en bas de page > Download Link: search.bat

 

Double clique sur le fichier et accepte la fusion avec le registre, puis élimine le fichier.

 

Fais ce dernier scan en ligne quand tu peux et c'est bon >

• Fais un scan en ligne Kaspersky avec Internet Explorer :
  
• Clique sur
  
• Clique maintenant sur J'accepte.
  
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  
• Patiente pendant l'installation des Mises à jour.
  
• Choisis par la suite l'analyse du Poste de travail
  
• Sauvegarde puis colle le rapport généré en fin d'analyse.
  

AIDE : Configurer le contrôle des ActiveX

Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

 

Comment fonctionne ton pc ?