probleme avec un spyware

[pear]

Bonsoir,

 

Télécharger The Avenger par Swandog46 sur le Bureau.

 

http://swandog46.geekstogo.com/avenger.zip

 

l'extraire sur le bureau

 

 

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

 

CODE

drivers to unload:

lvuvc.hs

 

Files to Delete:

C:\WINDOWS\system32\drivers\lvuvc.hs

 

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

***Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

 

* Sous "Script file to execute" choisir "Input Script Manually".

* Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"

* Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).

* Cliquer Done

* ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script

* Répondre "Yes" deux fois quand demandé.

 

 

***The Avenger va automatiquement faire ce qui suit:

 

* Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)

* Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.

* Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

* The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici : C:\avenger\backup.zip.

 

postez un nouveau rapport HJT

[alpina d10]

bonjour

j'ais bien telecharger avenger jusqu'a la pas de probleme puis zipper

apres je fais un copier coller du texte .le probleme commence ensuite il n y a pas de script file to execute mais input sript here je fais quand meme la manoeuvre en collant le texte ci dessus la case scan for rootkits est cocher. et une fois que j'appuye sur execute

il me demande si je veux execute le script je repond oui et apres il me marque

 

error : invalid script

avalid script must begin with a command directive abording execution!

 

que faire la je despere

[pear]

Bonjour,

 

On va s'y prendre autrement:

 

Installer la console sur le disque dur:

http://www.zebulon.fr/dossiers/61-2-instal...ion-disque.html

 

Dans le cas où la console n'est pas installée, munissez-vous de votre CD d'installation.

Assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS

- Insérez le CD Windows XP dans le lecteur de CD, puis redémarrez l'ordinateur

 

Sélectionnez les options requises pour démarrer l'ordinateur à partir du lecteur de CD-ROM dès que vous y êtes invité.

- Lorsque l'écran de bienvenue du programme d'installation s'affiche, appuyez sur la touche R pour démarrer la console de récupération.

Tapez votre mot de passe Administrateur si vous en avez un, sinon, ne tapez rien et cliquez sur ENTRÉE.

 

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

 

Suppression d'un dosier infecté:

Tapez del C:\WINDOWS\system32\drivers\lvuvc.hs

Pour avoir ceci:

C:\Windows>del C:\WINDOWS\system32\drivers\lvuvc.hs

 

 

tapez exit.

Redémarrez et vérifiez.

[alpina d10]

bonjour

vous allez dire que je met de la mauvaise volontè mais mon pc est un portable de marque toshiba qui doit avoir un peu pres 3 ans et en regardant pour installer la console je ne sais pas ou trouver le programme que vous me demander

[angelique]

je me permet pear ;o) et je te laisse continuer.

 

ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

Driver::
gtermddo
qwetab

Folder::
C:\Lop SD
C:\VundoFix Backups
c:\program files\mailskinner
C:\DOCUME~1\uset\APPLIC~1\GRAMPL~1


File::
C:\WINDOWS\system32\drivers\lvuvc.hs
C:\DOCUME~1\uset\LOCALS~1\Temp\gtermddo.sys
C:\WINDOWS\inf\qwetab.inf

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mapi third]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MailSkinner]

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

 

* Une fenêtre bleue va apparaitre, suis les instructions , t'as l'habitude maintenant

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

[pear]

Merci ,Angélique ,pour le coup de pouce.

[alpina d10]

bonjour merci angelique

voici donc le rapport

ComboFix 08-03-04.2 - uset 2008-03-05 11:52:59.3 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.577 [GMT 1:00]

Endroit: C:\Documents and Settings\uset\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\uset\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\DOCUME~1\uset\LOCALS~1\Temp\gtermddo.sys

C:\WINDOWS\inf\qwetab.inf

C:\WINDOWS\system32\drivers\lvuvc.hs

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Lop SD

C:\Lop SD\Backup-Lop\Reg\HKCU_Run.reg

C:\Lop SD\Backup-Lop\Reg\HKLM_Run.reg

C:\Lop SD\Backup-Lop\Reg\HKLM_Uninstall.reg

C:\Lop SD\Rapport-Lop.txt

C:\VundoFix Backups

C:\WINDOWS\inf\qwetab.inf

C:\WINDOWS\system32\drivers\lvuvc.hs

 

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

 

.

-------\LEGACY_GTERMDDO

-------\gtermddo

-------\qwetab

 

 

((((((((((((((((((((((((((((( Fichiers créés 2008-02-05 to 2008-03-05 ))))))))))))))))))))))))))))))))))))

.

 

2008-03-05 11:08 . 2008-03-05 11:08 <REP> d-------- C:\WINDOWS\LastGood.Tmp

2008-03-04 18:40 . 2008-03-04 18:40 <REP> d-------- C:\Program Files\Trend Micro

2008-03-04 16:17 . 2008-03-04 16:18 157 --a------ C:\WINDOWS\wininit.ini

2008-03-04 09:50 . 2008-03-04 17:59 <REP> d-------- C:\Program Files\Navilog1

2008-03-03 22:31 . 2008-03-04 10:38 <REP> d-------- C:\Program Files\Panda Security

2008-03-03 21:24 . 2008-03-03 22:19 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-03-03 21:24 . 2008-03-03 22:19 1,406 --a------ C:\WINDOWS\system32\Help.ico

2008-03-03 10:19 . 2008-03-03 12:10 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise

2008-03-03 09:37 . 2008-03-03 09:37 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com

2008-03-03 09:36 . 2008-03-03 09:36 <REP> d-------- C:\WINDOWS\SxsCaPendDel

2008-03-03 02:40 . 2008-03-03 09:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-03-03 00:43 . 2008-03-03 09:51 <REP> d-------- C:\Documents and Settings\uset\Application Data\SUPERAntiSpyware.com

2008-03-02 22:34 . 2008-03-02 22:34 1,024 --a------ C:\WINDOWS\system32\drivers\kgpfr.cfg

2008-03-02 21:23 . 2008-03-02 21:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SITEguard

2008-03-02 21:21 . 2008-03-02 21:21 <REP> d-------- C:\Program Files\Fichiers communs\iS3

2008-03-02 21:21 . 2008-03-02 23:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\STOPzilla!

2008-03-02 19:02 . 2008-03-02 20:34 <REP> d-------- C:\Program Files\Conduit

2008-03-02 18:57 . 2008-03-02 18:57 220,160 --a------ C:\WINDOWS\wmpdxm.dll

2008-03-02 18:14 . 2008-03-02 18:26 632 --a------ C:\WINDOWS\CoD.INI

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-05 07:37 --------- d-----w C:\Program Files\Lx_cats

2008-03-04 18:10 --------- d-----w C:\Program Files\Fichiers communs\Logitech

2008-03-04 17:38 --------- d-----w C:\Program Files\Logitech

2008-03-04 13:32 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-03-03 11:10 --------- d-----w C:\Program Files\Hijackthis Version Française

2008-03-03 08:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-03-03 08:37 --------- d-----w C:\Program Files\Ubisoft

2008-03-02 22:08 --------- d-----w C:\Program Files\eMule

2008-03-02 17:14 --------- d-----w C:\Program Files\Call of Duty Game of the Year Edition

2008-03-02 12:11 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys

2008-02-28 20:34 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-02-28 20:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-02-28 18:52 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-08 08:50 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-01-22 09:07 --------- d-----w C:\Program Files\Lavalys

2008-01-16 09:35 --------- d-----w C:\Program Files\Lexmark 5400 Series

2007-08-20 19:44 47,360 ----a-w C:\Documents and Settings\uset\Application Data\pcouffin.sys

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{61FEBF12-793B-4D8A-8513-D1814FE2A395}]

2008-03-02 18:57 220160 --a------ C:\WINDOWS\wmpdxm.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 11:00 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CFSServ.exe"="CFSServ.exe" []

"lxctmon.exe"="C:\Program Files\Lexmark 5400 Series\lxctmon.exe" [2006-11-22 10:11 291760]

"Lexmark 5400 Series Fax Server"="C:\Program Files\Lexmark 5400 Series\fm3032.exe" [2006-11-22 10:12 304048]

"EzPrint"="C:\Program Files\Lexmark 5400 Series\ezprint.exe" [2006-11-22 10:11 82864]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"LXCTCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-11-21 13:27 106496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 11:00 15360]

"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 15:38 39264]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Bluetooth Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Bluetooth Monitor.lnk

backup=C:\WINDOWS\pss\Bluetooth Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk

backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk

backup=C:\WINDOWS\pss\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]

--a------ 2005-04-12 14:23 88358 C:\WINDOWS\agrsmmsg.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]

--a------ 2003-10-30 15:46 192512 C:\Program Files\Apoint2K\Apoint.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2005-03-22 20:05 339968 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]

--a------ 2005-04-28 19:08 675840 C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFSServ.exe]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cselect]

--a------ 2005-04-12 16:33 110592 C:\WINDOWS\system32\cselect.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2004-08-05 11:00 15360 C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]

--a------ 2005-01-14 00:05 122939 C:\WINDOWS\system32\dla\tfswctrl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F-Secure Manager]

--a------ 2005-09-19 08:30 106571 C:\Program Files\F-Secure\Common\FSM32.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreeRAM XP]

C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HWSetup]

--a------ 2004-12-24 09:07 28672 C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]

--a------ 2004-06-03 09:50 204800 C:\Program Files\Microsoft IntelliPoint\point32.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]

C:\Program Files\Logitech\Video\CameraAssistant.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraService(E)]

C:\WINDOWS\system32\ElkCtrl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]

C:\Program Files\Logitech\Video\ManifestEngine.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideo[inspector]]

C:\Program Files\Logitech\Video\InstallHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LtMoh]

--a------ 2005-04-12 14:24 184320 C:\Program Files\ltmoh\Ltmoh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

C:\WINDOWS\system32\LVCOMSX.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\meowplatformflawsize]

C:\Documents and Settings\All Users\Application Data\internet slow meow platform\DASHWMA.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]

C:\Program Files\MessengerPlus! 3\MsgPlus.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NDSTray.exe]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]

--a------ 2004-11-17 09:56 1077327 C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]

--a------ 2005-05-17 08:24 118784 C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySweeper]

C:\Program Files\Webroot\Spy Sweeper\SpySweeperUI.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt]

C:\Program Files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SVPWUTIL]

--a------ 2005-02-26 06:59 65536 C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]

--a------ 2006-07-30 17:08 100056 C:\PROGRA~1\SYMNET~1\SNDMon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCtryIOHook]

--a------ 2005-04-20 14:56 28672 C:\WINDOWS\system32\TCtrlIOHook.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TFncKy]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]

--a------ 2005-04-11 15:08 65536 C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSHIBA Accessibility]

--a------ 2005-03-08 14:27 24576 C:\Program Files\TOSHIBA\Accessibility\FnKeyHook.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPNF]

--a------ 2004-11-30 12:06 53248 C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]

--a------ 2005-01-21 09:28 266240 C:\WINDOWS\system32\TPSMain.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tvs]

--a------ 2005-04-05 15:25 73728 C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOKIT]

C:\PROGRA~1\Wanadoo\Shell.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]

C:\PROGRA~1\Wanadoo\GestMaj.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

C:\PROGRA~1\Wanadoo\Watch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zooming]

--a------ 2004-07-14 15:07 24576 C:\WINDOWS\system32\ZoomingHook.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\TOSHIBA\\ConfigFree\\CFXFER.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=

"C:\\WINDOWS\\system32\\mcoinstall.exe"=

"C:\\WINDOWS\\system32\\lxctcoms.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"3587:TCP"= 3587:TCP:Groupement homologue Windows

"3540:UDP"= 3540:UDP:Protocole PNRP (Peer Name Resolution Protocol)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

R1 SerTVOutCtlr;TOSHIBA Controls Driver -EPIOMngr;C:\WINDOWS\system32\drivers\EPIOMngr.sys [2004-07-30 14:05]

R1 TPwSav;Common Driver;C:\WINDOWS\system32\Drivers\TPwSav.sys [2005-03-09 08:14]

R2 BackWeb Client - 7681197;F-Secure BackWeb;C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2006-10-19 18:11]

R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2003-11-14 16:52]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2005-09-23 08:23]

R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2003-02-06 11:32]

R2 FSpm;F-Secure Policy Manager;C:\Program Files\F-Secure\Common\FSPM.SYS [2005-09-19 08:30]

S1 StickyMesger;StickyMesger;C:\Program Files\TOSHIBA\Accessibility\StickyMesger.sys []

S3 p2pgasvc;Authentification de groupe réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-05 11:00]

S3 p2pimsvc;Gestionnaire d'identité réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-05 11:00]

S3 p2psvc;Réseau homologue;C:\WINDOWS\system32\svchost.exe [2004-08-05 11:00]

S3 PNRPSvc;Protocole de résolution de noms d'homologues;C:\WINDOWS\system32\svchost.exe [2004-08-05 11:00]

S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-03-24 15:36]

S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2eaee8fe-b2f5-11dc-960b-000fb09d0ed8}]

\Shell\AutoRun\command - G:\AutoTransfer.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-03 23:03:00 C:\WINDOWS\Tasks\{3B8240F8-D494-46CD-B756-71204DDF8855}_YOUR-B9C60BC90B_uset.job"

- C:\WINDOWS\system32\mobsync.exeI /Schedule=

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-05 11:57:05

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\system32\msdtc.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\clipsrv.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\lxctcoms.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\vssvc.exe

C:\Program Files\F-Secure\Common\FSMA32.EXE

C:\Program Files\F-Secure\Common\FSMB32.EXE

C:\Program Files\F-Secure\Common\FCH32.EXE

C:\Program Files\F-Secure\Common\FAMEH32.EXE

C:\Program Files\F-Secure\Common\FNRB32.EXE

C:\Program Files\F-Secure\Common\FIH32.EXE

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-03-05 12:00:58 - machine was rebooted

ComboFix-quarantined-files.txt 2008-03-05 11:00:52

ComboFix2.txt 2008-03-04 20:01:16

ComboFix3.txt 2008-03-04 18:27:42

.

2008-02-13 16:39:59 --- E O F ---

[angelique]

• desinstalle navilog1 via ajour\supp de programme

 

• desinstalle ComboFix en copiant\collant la ligne ci dessous dans executer et valide:

 

ComboFix /u

 

• telecharge sur ton bureau::

 

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

 

ATF Cleaner

Double-clique ATF-Cleaner.exe afin de lancer le programme.

Sous l'onglet Main, choisis : Select All

Clique sur le bouton Empty Selected, patiente le temp du nettoyage, clic ok

Si tu utilises le navigateur Firefox :

Clique Firefox au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

Clique Opera au haut et choisis : Select All

Clique le bouton Empty Selected

NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

 

 

• Télécharge ewido anti-spyware micro scanner sur ton bureau.

• Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  
• Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  
• Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  
• Clique sur Start Scan et laisse l'outil travailler.
  
• Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  
• Poste le dans ta prochaine réponse.
  

Nb, clique sur Remove infections

 

• * Fais un scan en ligne Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

* Clique sur Accept

* Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

* clique une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patiente un moment

* Clique sur Next.

* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

tuto >> http://www.malekal.com/scan_Av_en_ligne.php#mozTocId291566

 

----poste le rapport kaspersky , ewido

[alpina d10]

rebonjour pear et angelique

voila le premier rapport:

__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

 

 

Name: Dropper.Small

Path: C:\Program Files\mes films\DivX.Create.Bundle.Multilangages.v6.4.0.Final.Incl.Keygen-DVT.rar/Keymaker.exe

Risk: High

 

Name: Downloader.Agent.hyy

Path: C:\QooBox\Quarantine\C\XLTH.0XE.vir

Risk: High

 

Name: Proxy.Wintu.a

Path: C:\QooBox\Quarantine\C\XOIPVS.0XE.vir

Risk: High

 

Name: Dialer.InstantAccess.au

Path: C:\System Volume Information\_restore{58F2378A-346C-49C9-9919-D1D804F5FDA0}\RP1140\A0484794.exe

Risk: High

 

Name: Dialer.EgroupDial.x

Path: C:\System Volume Information\_restore{58F2378A-346C-49C9-9919-D1D804F5FDA0}\RP1144\A0487148.dll

Risk: High

 

Name: Dialer.EgroupDial.ab

Path: C:\System Volume Information\_restore{58F2378A-346C-49C9-9919-D1D804F5FDA0}\RP1153\A0494418.dll

Risk: High

 

kaperxky met deux heures a le faire et il s'arrete sans mettre de rapport au secours

[angelique]

Tu es sur d'avoir desinstallé ComboFix comme sus_dit ??

 

• supprime c:\qoobox

 

• fait un scan panda:

 

tuto le 1er de la liste >> http://www.malekal.com/scan_Av_en_ligne.php