Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection de mon PC

tomtitou

Par tomtitou
dans Analyses et éradication malwares

 Partager

Messages recommandés

tomtitou Extrem Member

tomtitou

Posté(e)
Posté(e) (modifié)

Bonjour,

J’ai un souci j’ai sur mon pc des virus du genre Win32- virtumonde- win 32, mysor.fk, win32-smalle, winn32-conhook-cf, des trokans win32-obfuscated-kpet un message qui me signale une alerte : System alert : malware threats your computer is infected with a black door trojan that allours the remote attacker to perform varius malicius actions.Clic this to downalod malware removal softaware. En plus sur le bureau j’ai deux icônes : une live safety center et l’autre online security guide.et également dans la barre de menu d’internet explorer j’ai sécurity toolbar 71 de couleur rouge et block adwaregroupe et remove spyware de couleur verte. Que faire ? J’ai comme antivirus Avast familiale, j’ai Spybot, Ad-adware Se. J’ai essayé tous ces logiciels et rien n’y fait. Alors aider moi. mERCI

Modifié par tomtitou

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour tomtitou,

 

*** Bienvenue sur le forum sécurité de Zebulon !!! ***

 

Ton système semble très infecté !!!

Même si nous parvenons à enlever tous les malware's présents sur ton système, je ne pourrai pas te garantir que ton ordinateur fonctionnera parfaitement par la suite...

 

 

1) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  1. Double-clique VundoFix.exe afin de le lancer
  2. Clique sur le bouton Scan for Vundo
  3. Lorsque le scan est complété, clique sur le bouton Remove Vundo
  4. Une invite te demandera si tu veux supprimer les fichiers, clique YES
  5. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  6. Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  7. Copie/colle le contenu du rapport situé dans C:\vundofix.txt sur ce forum

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

 

2) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

  1. Enregistre HJTInstall.exe sur ton bureau hjt.gif
  2. Rends-toi dans le dossier "Program Files" et renomme HijackThis.exe en tomtitou.exe
  3. Double-clique sur tomtitou.exe pour lancer le programme
  4. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
  5. Accepte la license en cliquant sur le bouton "I Accept"
  6. Choisis l'option "Do a system scan and save a log file"
  7. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
  8. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
  9. Colle le rapport que tu viens de copier sur ce forum
  10. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

 

 

==> J'attends tes deux rapports !

Bon travail...

 

:P

tomtitou Extrem Member

tomtitou

Posté(e)
  • Auteur
Posté(e)
Bonjour tomtitou,

 

*** Bienvenue sur le forum sécurité de Zebulon !!! ***

 

Ton système semble très infecté !!!

Même si nous parvenons à enlever tous les malware's présents sur ton système, je ne pourrai pas te garantir que ton ordinateur fonctionnera parfaitement par la suite...

1) Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

  1. Double-clique VundoFix.exe afin de le lancer
  2. Clique sur le bouton Scan for Vundo
  3. Lorsque le scan est complété, clique sur le bouton Remove Vundo
  4. Une invite te demandera si tu veux supprimer les fichiers, clique YES
  5. Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  6. Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  7. Copie/colle le contenu du rapport situé dans C:\vundofix.txt sur ce forum

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

2) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

  1. Enregistre HJTInstall.exe sur ton bureau hjt.gif
  2. Rends-toi dans le dossier "Program Files" et renomme HijackThis.exe en tomtitou.exe
  3. Double-clique sur tomtitou.exe pour lancer le programme
  4. Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
  5. Accepte la license en cliquant sur le bouton "I Accept"
  6. Choisis l'option "Do a system scan and save a log file"
  7. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
  8. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
  9. Colle le rapport que tu viens de copier sur ce forum
  10. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)

http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

==> J'attends tes deux rapports !

Bon travail...

 

:P

 

Bonsoir, voici les rapports

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:54:50, on 26/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\Fonts\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\WINDOWS\Fonts\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.itdsystem.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [boat32] boat32.exe

O4 - HKLM\..\Run: [lsass] svchost32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe

O4 - HKLM\..\RunServices: [boat32] boat32.exe

O4 - HKLM\..\RunServices: [lsass] svchost32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.itdsystem.com

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{33EC80B8-3B20-45BB-9C94-6D83191B15E2}: NameServer = 81.253.149.9 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{33EC80B8-3B20-45BB-9C94-6D83191B15E2}: NameServer = 81.253.149.9 80.10.246.132

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 5210 bytes

Rapport Vundofix

 

C:\windows\system32\eafgvccq.dllbox

C:\windows\system32\zildruas.dllbox

 

Merci, j'attends la suite à+

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonjour tomtitou,

 

*** La désinfection d'une machine doit se faire avec une certaine rigueur... ***

 

 

Copie/colle le contenu du rapport situé dans C:\vundofix.txt sur ce forum

--> Es-tu certain d'avoir collé tout le rapport de VundoFix ???

 

 

Rends-toi dans le dossier "Program Files" et renomme HijackThis.exe en tomtitou.exe

--> Cette étape était indispensable sachant que tu es infecté par un malware qui peut se cacher de HijackThis...

 

 

--> Lorsque tu réponds à un message sur le forum, clique sur le bouton "Répondre" et efface tout le contenu du message précédent. C'est beaucoup plus lisible ! Merci d'avance...

 

 

# Télécharge DSS (ex ComboScan) (de Deckard) sur ton Bureau.

  • Ferme toutes les applications en cours
  • Double-clique sur comboscan.exe pour l'exécuter
  • A la fenêtre de mise en garde, clique sur OK
  • A la fin de l'analyse, clique sur OK (cela peut prendre quelques minutes)
  • Le rapport Comboscan.txt s'affichera, envoie ce rapport dans ta prochaine réponse

Bonne journée à toi !

:P

tomtitou Extrem Member

tomtitou

Posté(e)
  • Auteur
Posté(e)

Bonjour,

Ce sont les seuls éléments qui sont dans le rapport Vundifix, il n'y a rien d'autre

 

Voici le apport DSS

 

Merci pour ton aide , Bonne journée

 

eckard's System Scanner v20071014.68

Run by _ on 2007-11-27 08:40:48

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

-- System Restore --------------------------------------------------------------

 

Successfully created a Deckard's System Scanner Restore Point.

 

 

-- Last 5 Restore Point(s) --

8: 2007-11-27 07:40:55 UTC - RP80 - Deckard's System Scanner Restore Point

7: 2007-11-23 17:42:30 UTC - RP79 - Last known good configuration

6: 2007-11-23 17:42:18 UTC - RP78 - Point de vérification système

5: 2007-11-23 17:42:18 UTC - RP77 - Point de vérification système

4: 2007-11-23 17:42:18 UTC - RP76 - Point de vérification système

 

 

-- First Restore Point --

1: 2007-11-23 17:42:15 UTC - RP73 - Point de vérification système

 

 

Backed up registry hives.

Performed disk cleanup.

 

Total Physical Memory: 510 MiB (512 MiB recommended).

 

 

-- HijackThis (run as _.exe) ---------------------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:42:11, on 27/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\Fonts\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\WINDOWS\Fonts\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\_\Bureau\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\_.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.itdsystem.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3A2224A0-B114-4491-9305-FD0E4B55FA1E} - (no file)

O2 - BHO: (no name) - {6155FE57-808F-452E-BCFB-85FF0E417231} - C:\WINDOWS\system32\pmnlm.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: {35ee4bbc-4ebf-fba8-f9d4-3b3888515cec} - {cec51588-83b3-4d9f-8abf-fbe4cbb4ee53} - (no file)

O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [boat32] boat32.exe

O4 - HKLM\..\Run: [lsass] svchost32.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe

O4 - HKLM\..\RunServices: [boat32] boat32.exe

O4 - HKLM\..\RunServices: [lsass] svchost32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spamihilator] "C:\Program Files\Spamihilator\spamihilator.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.itdsystem.com

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{33EC80B8-3B20-45BB-9C94-6D83191B15E2}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS1\Services\Tcpip\..\{33EC80B8-3B20-45BB-9C94-6D83191B15E2}: NameServer = 80.10.246.1 80.10.246.132

O20 - Winlogon Notify: jkkjgdb - C:\WINDOWS\SYSTEM32\jkkjgdb.dll

O20 - Winlogon Notify: mljhihg - mljhihg.dll (file missing)

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 6273 bytes

 

-- File Associations -----------------------------------------------------------

 

All associations okay.

 

 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 

R1 BANTExt (Belarc SMBios Access) - c:\windows\system32\drivers\bantext.sys

R2 EIO - c:\windows\system32\drivers\eio.sys <Not Verified; ASUSTeK Computer Inc.; ASUS Kernel Mode Driver for NT>

R3 e4usbaw (USB ADSL2 WAN Adapter) - c:\windows\system32\drivers\e4usbaw.sys <Not Verified; Analog Devices Inc.; ADSL USB WAN Driver>

R3 hcw88rc5 (Hauppauge WinTV 88x IR Decoder) - c:\windows\system32\drivers\hcw88rc5.sys <Not Verified; Hauppauge Computer Works, Inc.; WinTV 88x>

R3 HCW88TUNE (Hauppauge WinTV 88x Tuner) - c:\windows\system32\drivers\hcw88tun.sys <Not Verified; Hauppauge Computer Works, Inc.; hcw88tun.sys>

R3 HCW88VID (Hauppauge WinTV 88x Video) - c:\windows\system32\drivers\hcw88vid.sys <Not Verified; Hauppauge Computer Works, Inc; hcw88vid.sys>

R3 HCW88XBAR (Hauppauge WinTV 88x Crossbar) - c:\windows\system32\drivers\hcw88bar.sys <Not Verified; Hauppauge Computer Works, Inc.; hcw88bar.sys>

R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus® ASPI Shell>

R3 SMBios (Intel ® System Management BIOS Service) - c:\windows\system32\drivers\smbios.sys <Not Verified; Intel Corporation; Intel ® System Management BIOS Driver>

 

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)

S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)

S3 HWIONT - d:\essai\hwiont.sys (file missing)

S3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>

S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)

 

 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 

All services whitelisted.

 

 

-- Device Manager: Disabled ----------------------------------------------------

 

No disabled devices found.

 

 

-- Files created between 2007-10-27 and 2007-11-27 -----------------------------

 

2007-11-27 08:33:50 36864 --a------ C:\WINDOWS\system32\jkkjgdb.dll

2007-11-27 08:32:40 0 dr-h----- C:\Documents and Settings\_\Recent

2007-11-26 22:50:25 0 d-------- C:\Program Files\Trend Micro

2007-11-26 22:40:39 0 d-------- C:\VundoFix Backups

2007-11-26 16:06:48 0 d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-11-26 12:25:27 120 --a------ C:\n.bat

2007-11-26 12:25:17 0 --a------ C:\x.dat

2007-11-26 12:25:11 258 --a------ C:\z.dat

2007-11-24 09:09:48 0 --a------ C:\Documents and Settings\_\x.dat

2007-11-24 09:09:33 258 --a------ C:\Documents and Settings\_\z.dat

2007-11-23 18:42:05 259279 --ahs---- C:\WINDOWS\system32\mlnmp.ini2

2007-11-23 18:41:48 340064 --a------ C:\WINDOWS\system32\pmnlm.dll

2007-11-23 18:40:18 147456 --a------ C:\WINDOWS\system32\vbzip10.dll <Not Verified; Info-ZIP; Info-ZIP's WiZ>

2007-11-23 18:35:14 0 d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2007-11-16 18:12:31 23 --ahs---- C:\WINDOWS\system32\fefbaffcdf_r.dll

2007-11-16 14:11:52 0 d-------- C:\Documents and Settings\_\Application Data\XnView

2007-11-16 14:11:29 0 d-------- C:\Program Files\XnView

2007-10-30 18:58:36 0 d-------- C:\Program Files\Microsoft CAPICOM 2.1.0.2

2007-10-30 18:40:45 81920 --a------ C:\WINDOWS\ALCFDRTM.EXE <Not Verified; Realtek Semiconductor Corp.; Realtek ALCFDRTM>

2007-10-30 18:34:33 49152 --a------ C:\WINDOWS\system32\ChCfg.exe

2007-10-30 18:34:07 0 d-------- C:\WINDOWS\system32\RTCOM

2007-10-30 18:33:01 1826816 --a------ C:\WINDOWS\SkyTel.exe <Not Verified; Realtek Semiconductor Corp.; Realtek Voice Manager>

2007-10-30 18:33:00 1191936 --a------ C:\WINDOWS\RtlUpd.exe <Not Verified; Realtek Semiconductor Corp.; Realtek AC'97 Update and remove driver Tool>

2007-10-30 18:32:57 16855552 --a------ C:\WINDOWS\RTHDCPL.exe <Not Verified; Realtek Semiconductor Corp.; Realtek HD Audio Sound Effect Manager>

2007-10-30 18:32:56 2165760 --a------ C:\WINDOWS\MicCal.exe <Not Verified; Realtek Semiconductor Corp.; Realtek Audio Microphone Calibration>

2007-10-30 18:32:53 69632 --a------ C:\WINDOWS\Alcmtr.exe <Not Verified; Realtek Semiconductor Corp.; Realtek AC97 Audio - Event Monitor>

2007-10-30 18:32:35 520192 --a------ C:\WINDOWS\RtlExUpd.dll <Not Verified; Realtek Semiconductor Corp.; RtlExUpd Dynamic Link Library>

2007-10-30 18:32:35 315392 --a------ C:\WINDOWS\HideWin.exe <Not Verified; Realtek Semiconductor Corp.; HD Audio Hide windows program>

 

 

-- Find3M Report ---------------------------------------------------------------

 

2007-11-27 08:37:29 0 d-------- C:\Documents and Settings\_\Application Data\LimeWire

2007-11-26 17:02:05 0 d-------- C:\Program Files\Hijackthis Version Française

2007-11-26 14:17:04 0 d-------- C:\Program Files\AxBx

2007-11-26 13:24:58 0 d-------- C:\Program Files\Spamihilator

2007-11-26 12:32:51 0 d-------- C:\Program Files\a-squared Free

2007-11-24 23:12:22 504870 --a------ C:\WINDOWS\system32\perfh00C.dat

2007-11-24 23:12:22 83194 --a------ C:\WINDOWS\system32\perfc00C.dat

2007-11-17 08:41:59 0 d-------- C:\Program Files\RogueRemover FREE

2007-10-30 18:32:52 0 d-------- C:\Program Files\Realtek

2007-10-22 13:13:22 0 d-------- C:\Program Files\Fichiers communs\AVSMedia

2007-10-22 13:12:48 0 d-------- C:\Program Files\Fichiers communs

2007-10-21 08:14:29 0 d-------- C:\Documents and Settings\_\Application Data\OpenOffice.org2

2007-10-19 12:46:53 0 d-------- C:\Program Files\VirtualDub

2007-10-18 17:55:41 0 d-------- C:\Documents and Settings\_\Application Data\Radios Media Player

2007-10-11 10:26:37 0 d-------- C:\Program Files\Alwil Software

2007-10-07 20:50:02 0 d--h----- C:\Program Files\InstallShield Installation Information

2007-10-07 20:50:01 0 d-------- C:\Program Files\OpenOffice.org 2.1

2007-10-04 18:55:35 1696 --a------ C:\Documents and Settings\_\Application Data\EurosportPersonalization.data

2007-09-17 19:23:00 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>

2007-09-17 19:23:00 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>

2007-09-17 19:22:58 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>

2007-09-17 19:22:58 739840 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>

2007-09-05 20:28:24 45 ---h----- C:\WINDOWS\dsez6466.dat

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A2224A0-B114-4491-9305-FD0E4B55FA1E}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6155FE57-808F-452E-BCFB-85FF0E417231}]

23/11/2007 18:42 340064 --a------ C:\WINDOWS\system32\pmnlm.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{cec51588-83b3-4d9f-8abf-fbe4cbb4ee53}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"boat32"="boat32.exe" []

"lsass"="svchost32.exe" []

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [25/10/2007 17:20]

"Host Process"="C:\WINDOWS\Fonts\svchost.exe" [01/10/2007 12:15]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [05/08/2004 13:00]

"Spamihilator"="C:\Program Files\Spamihilator\spamihilator.exe" [24/01/2007 14:49]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"boat32"=boat32.exe

"lsass"=svchost32.exe

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{1A589AA6-EDDD-4552-AB9A-4EDFF5CDD7DE}"= C:\WINDOWS\system32\jkkjgdb.dll [27/11/2007 08:33 36864]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkjgdb]

jkkjgdb.dll 27/11/2007 08:33 36864 C:\WINDOWS\system32\jkkjgdb.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljhihg]

mljhihg.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"= msv1_0 C:\WINDOWS\system32\pmnlm.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk

backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AutoStart IR.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\AutoStart IR.lnk

backup=C:\WINDOWS\pss\AutoStart IR.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bootvis.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Bootvis.lnk

backup=C:\WINDOWS\pss\Bootvis.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk

backup=C:\WINDOWS\pss\DSLMON.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk

backup=C:\WINDOWS\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

"C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]

ALCWZRD.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

"C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EoEngine]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]

HDAShCut.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ipvjgmzym]

c:\windows\system32\ipvjgmzym.exe ipvjgmzym

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

"C:\Program Files\MSN Messenger\msnmsgr.exe" /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spamihilator]

"C:\Program Files\Spamihilator\spamihilator.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

"C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" /background

 

 

 

 

-- Hosts -----------------------------------------------------------------------

 

127.0.0.1 bin.errorprotector.com ## added by CiD

127.0.0.1 br.errorsafe.com ## added by CiD

127.0.0.1 br.winantivirus.com ## added by CiD

127.0.0.1 br.winfixer.com ## added by CiD

127.0.0.1 cdn.drivecleaner.com ## added by CiD

127.0.0.1 cdn.errorsafe.com ## added by CiD

127.0.0.1 cdn.winsoftware.com ## added by CiD

127.0.0.1 de.errorsafe.com ## added by CiD

127.0.0.1 de.winantivirus.com ## added by CiD

127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

 

60 more entries in hosts file.

 

 

-- End of Deckard's System Scanner: finished at 2007-11-27 08:42:58 ------------

tomtitou Extrem Member

tomtitou

Posté(e)
  • Auteur
Posté(e)

Re bonjour WawaSeb,

 

Actuellement, j'ai sans cesse le message suivant: Sansendommagement et quand j'ouvre interne explorer j'ai la fenêtre suivante qui s'affiche: Warning You must protect your system from threats. Que faire? Merci et bonne recherche.Je te joins également le rapport Smitfraudfix

 

SmitFraudFix v2.256

 

Rapport fait à 10:13:06,54, 27/11/2007

Executé à partir de C:\Documents and Settings\_\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\a-squared Free\a2service.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\Fonts\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spamihilator\spamihilator.exe

C:\WINDOWS\Fonts\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\_

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\_\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\_\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 81.253.149.9

DNS Server Search Order: 80.10.246.3

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{33EC80B8-3B20-45BB-9C94-6D83191B15E2}: NameServer=81.253.149.9 80.10.246.3

HKLM\SYSTEM\CS1\Services\Tcpip\..\{33EC80B8-3B20-45BB-9C94-6D83191B15E2}: NameServer=81.253.149.9 80.10.246.3

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

tomtitou Extrem Member

tomtitou

Posté(e)
  • Auteur
Posté(e)

Re re bonjour,

 

Excuse moi mais je viens de m'apercevoir que je n'avais pas tout copier dans le rapport Vundofix, voici le nouveau rapport. Salut

Java version is 1.5.0.11

 

Scan started at 22:40:39 26/11/2007

 

Listing files found while scanning....

 

C:\windows\system32\eafgvccq.dllbox

C:\windows\system32\zildruas.dllbox

 

Beginning removal...

 

Attempting to delete C:\windows\system32\eafgvccq.dllbox

C:\windows\system32\eafgvccq.dllbox Has been deleted!

 

Attempting to delete C:\windows\system32\zildruas.dllbox

C:\windows\system32\zildruas.dllbox Has been deleted!

 

Performing Repairs to the registry.

Done!

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e) (modifié)

Bonsoir tomtitou,

 

*** Ton PC est vraiment très infecté !! ***

Imprime cette procédure, tu n'auras pas forcément accès à Internet en mode sans échec...

 

 

1) Sauvegarde ton registre avec ERUNT

  • Télécharge et installe donc le programme
  • Clique sur Erunt.exe pour enregistrer le registre dans le dossier de ton choix

Note : Pour restaurer le registre en cas de nécessité, rends-toi dans ce dossier et clique sur ERDNT.exe

 

 

2) Relance Vundofix

  • Ne clique pas sur Scan for a vundo"
  • Clique-droit au milieu de la fenêtre
  • Clique sur Add more files ?
  • Copie/colle les fichiers reproduits en citation (un par case) :

C:\WINDOWS\system32\jkkjgdb.dll

C:\WINDOWS\system32\pmnlm.dll

C:\WINDOWS\system32\mlnmp.ini2

C:\WINDOWS\system32\bdgjkkj.dll

C:\WINDOWS\system32\vbzip10.dll

C:\WINDOWS\system32\fefbaffcdf_r.dll

C:\WINDOWS\system32\mljhihg.dll

C:\WINDOWS\system32\mljhihg.bak

C:\WINDOWS\system32\mljhihg.ini

C:\WINDOWS\system32\jkkjgdb.bak

C:\WINDOWS\system32\jkkjgdb.ini

  • Clique sur Add files
  • Ensuite clique sur Close Windows
  • Enfin, choisis Remove Vundo (les fichiers précédents doivent apparaitre dans la fenêtre principale)
  • Si l'outil demande de redémarrer, accepte
  • Poste le rapport Vundofix (c:\vundofix.txt)

3) Lance le bloc-note (Démarrer > Tous les programmes > Accessoires), copie-colles-y tout le texte en citation ci-dessous en incluant bien REGEDIT4, mais sans laisser de ligne vierge avant REGEDIT4

 

* Sauve-le sur ton bureau

* Enregistre-le sous : Fix.reg

* Dans type de fichier, tu dois avoir "tous les fichiers"

* Clique sur Enregistrer

----> L'icône de ce fichier doit ressembler à ça : fichierreg7bs.gif

 

REGEDIT4

 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A2224A0-B114-4491-9305-FD0E4B55FA1E}]

 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6155FE57-808F-452E-BCFB-85FF0E417231}]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{1A589AA6-EDDD-4552-AB9A-4EDFF5CDD7DE}"=-

Double-clique ensuite sur Fix.reg pour l'exécuter et accepte les modifications du registre !

 

 

4) Télécharge SDFix de AndyManchesta et enregistre-le sur ton Bureau.

 

Double-clique sur SDFix.exe et sélectionne Install pour le décompresser dans un dossier dédié sur ton Bureau.

 

 

5) Démarre en mode sans échec sur ta session comme indiqué ici

  • Ouvre le dossier SDFix qui est apparu à la racine de ton disque dur et double-clique sur RunThis.cmd pour lancer le script sd4.png
  • Appuie sur Y pour démarrer le nettoyage
  • SDFix va supprimer les parties de certains malware's trouvés et te demandera d'appuyer sur une touche pour redémarrer
  • Appuie donc sur une touche pour redémarrer la machine
  • Ton système sera plus long que d'habitude pour redémarrer car le fix va continuer à travailler pendant le redémarrage
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished
  • Appuie sur une touche pour terminer le nettoyage et charger les icônes de ton Bureau
  • Une fois que les icônes du Bureau seront affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera dans le dossier SDFix sous le nom Report.txt
  • Copie-colle alors le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

6) Télécharge RVAXO.exe sur ton bureau

  • Double-clique sur RVAXO.exe et clique sur Unzip. Cela va l'installer dans un dossier nommé "Rvaxo".
  • Ouvre alors le dossier qui vient de se créer et clique sur RVAXO.cmd
     
    --> Tu vas voir une petite fenêtre Windows et quelques instructions défiler rapidement, c'est normal ! La fenêtre se fermera toute seule...
    Il est possible qu'un programme de désinstallation se lance automatiquement, ne le ferme pas et laisse-le faire !
     
  • Quand c'est terminé, l'ordinateur va redémarrer, appuie sur une touche pour accepter...
  • Après le redémarrage, RVAXO va se relancer, laisse-le finir son travail !
  • Enfin, il crée un rapport ==> C:\RVAXO-results.log
  • Copie-colle ce rapport ici stp...

Note :

Tu pourras utiliser Uninstall.cmd (dans le dossier "Rvaxo") pour enlever tout ce qui concerne cet outil !

 

 

7) Crée un nouveau document texte (avec le bloc-note)

 

° Copie-colle les lignes suivantes (en citation) dans ce nouveau document, enregistre-le sur le bureau sous le nom "tasks.bat"

 

! Attention, tu dois choisir dans le champ "Type" --> TOUS LES FICHIERS !

 

---> Ton icône doit ressembler à ceci : batch.gif

 

---> Exécute alors "tasks.bat" en double-cliquant dessus...

 

@echo off

echo.

echo.

echo V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme

echo. >rapport.txt

echo.

echo par WawaSeb

echo.>>rapport.txt

echo.

echo.

echo Appuie sur une touche pour continuer...

pause > nul

echo V‚rification des tƒches planifi‚es pr‚sentes sur le systŠme >>rapport.txt

echo.>>rapport.txt

echo %time% >>rapport.txt

echo %date% >>rapport.txt

echo.>>rapport.txt

schtasks >>rapport.txt

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler" >>rapport.txt

echo.

echo.

echo.

echo Appuie sur une touche pour afficher le rapport que tu vas poster sur Zebulon...

pause>NUL

 

rapport.txt

del rapport.txt

del tasks.bat

 

---> Poste le rapport qui sera généré !

 

 

Merci de poster en entier les rapports suivants :

  • Vundofix
  • SDFix
  • Rvaxo
  • Tasks
  • Nouvel HijackThis

Bonne nuit à toi !

:P

 

Edit : Correction d'un détail typographique

Modifié par WawaSeb
tomtitou Extrem Member

tomtitou

Posté(e)
  • Auteur
Posté(e)

Bonsoir tomtitou,

 

*** Ton PC est vraiment très infecté !! ***

 

Bonsoir WawaSeb,

 

Excuse moi pour le retard dans ma réponse, mais mon PC s'est planté complètement et j'ai du l'emmener chez l'assembleur qui ma l'a vendu. Il a du reformater le disque car il n'arrivait pas a éradiquer tous les virus et spywares.

Maintenant tout fonctionne normalement. Je tiens à te remercier de ton aide mais je ne pouvais pas appliquer la procédure que tu me demandais, je n'avais plus la main. Merci encore et bonne soirée.

WawaSeb Godlike Member

WawaSeb

Posté(e)
Posté(e)

Bonsoir tomtitou,

 

*** Te voilà avec une installation normalement propre !!! ***

 

Je tiens à te remercier de ton aide mais je ne pouvais pas appliquer la procédure que tu me demandais, je n'avais plus la main

--> En mode sans échec, tu n'avais plus la main non plus ?

--> Nous aurions peut-être pu le désinfecter quand même, dommage...

 

Si tu veux avoir plus d'infos sur les virus et la sécurité informatique, tu peux consulter la page d'IPL à cette adresse

 

# Voici une liste de recommandations personnelles pour éviter de te faire infecter :

  1. Garde une version de Windows légale et à jour
  2. Utilise FireFox ou un autre navigateur qui ne prend pas en charge les contrôles ACTIVE-X (vecteurs d'infections)
  3. Evite les sites douteux, illégaux, pornographiques, ...
  4. Méfie-toi des programmes gratuits (financés par...)
  5. Fuis le Peer To Peer (Kazaa, Bearshare, ...)
  6. Garde un Antivirus à jour !
  7. Ne clique jamais sur des liens non annoncés dans une messagerie instantannée
  8. N'ouvre jamais de pièce jointe non prévue dans un mail !

Je te souhaite plein de bon temps avec ton "nouveau" PC... :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...