Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Mon ordinateur est infecté

dydeline

Par dydeline
dans Analyses et éradication malwares

 Partager

Messages recommandés

dydeline Power Member

dydeline

Posté(e)
Posté(e) (modifié)

Bonjour,

j'ai quelques soucis avec mon PC : modification base de registre sans que je le demande, extinction du PC suite à un décompte, fenêtre internet qui s'ouvrent de manière intempestive, Pc qui ne veut plus s'éteindre... et j'en passe.

 

Je suis donc les instructions du post prénettoyage : j'ai viré avast, installé antivir et je lance l'analyse du scan en mode sans échec mais là, il a scanné à peine 3% du pc en 2h et semble coincé sur un fichier intitulé Delete Items.imm dans C:\Documents and Settings\masession\LocalSettings\Application Data\IM\identities\suite de chiffres et lettres entre crochet {}

 

Cela est-il normal ou Antivir a-t-il planté ?

 

Merci pour votre aide

 

Dyd'

Modifié par dydeline

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Salut!

 

Il bloque sur tes mails reçus via Incredimail, qui est une vraie salo*****e qu'il faut impérativement désisntaller selon une procédure précise ...Tu as probablement du recevoir des mails infectés et Antivir s'y casse les dents.

 

Relance le scan, même en mode normal ce sera toujours ça de fait: vu les problèmes sur ta machine, un scan Antivir ne sera de toute façon pas suffisant!

 

N'oublie pas de poster le rapport généré par le scan qu'on puisse l'analyser!

 

A suivre, donc...

dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci pour la réponse.

J'ai réessayé quand même en mode sans échec avant d'essayer en mode normal et Antivir a terminé le travail. Ouf !

Il a détecté des trucs que j'ai mis en quarantaine, j'étais pas trop sûre de mon coup...

 

Autre problème : Antivir ne se lance plus, je l'ai coupé le temps du rapport et impossible de le remettre, il m'a détecté 3 nouveaux trucs au démarrage et là, impossible de l'ouvrr. J'ai essayé de le désinstaller mais il m'affiche cela :

"The CRC Sum of C:\Program files\Avira\Antivir Personal Edition Classic\SETUP.EXE has been changed! This could be due to a virus! Do you want to shut down Setup ?"

 

Décidément, je dois vraiment avoir un sacré truc pourri...

 

 

Voici le rapport HijackThis

 

Logfile of HijackThis v1.99.1

Scan saved at 19:14:42, on 11/04/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\mdm.exe

C:\Program Files\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [vdcmki] c:\documents and settings\les babies\local settings\application data\vdcmki.exe vdcmki

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ImageMixer for HDD Camcorder.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Moniteur WiFi OLITEC.exe.lnk = ?

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1207829131775

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe (file missing)

 

J'espère que la mise en page est satisfaisante et que la version d'HijackThis est suffisante, j'ai cru voir qu'il y avait une version plus récente. Si besoin, je recommence...

Merci d'avance

Modifié par dydeline
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Salut!

 

Ok pour la mise en page, mais il me faut effectivement un log avec la bonne version d'HijackThis: désinstalle ta version actuelle puis procède ainsi:

 

 

f_olive.gifHIJACKTHIS

 

Télécharge et installe la dernière version d'HIJACKTHIS [v2.0.2] en cliquant sur l'image:

hjt.gif

  • Enregistre HJTInstall.exe sur ton bureau
  • Double-clique sur HJTInstall.exe pour lancer le programme
    Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
    • Accepte la license en cliquant sur le bouton "I Accept"
    • Choisis l'option "Do a system scan and save a log file"
    • Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    • Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    • Colle le rapport que tu viens de copier sur ce forum
    • Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

     

     

    Envoie-moi également le rapport généré par Antivir.

     

    A première vue, tu es salement infecté (infectéE?).

     

    A suivre...

Modifié par oGu
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Ok, on verra à la fin pour Antivir.

 

Et oui, tu es très infecté(e), mais c'est normal, ton XP a plusieurs années de retard dans les mises à jour!

 

IMPORTANT: ne mets pas à jour Windows tant qu'on a pas nettoyé intégralement ta machine.

 

 

Suis la procédure du post#4 et n'oublie pas le rapport Antivir.

 

Edit: plutôt que d'éditer tes messages précédents, je préférerais que tu fasses à chaque fois un nouveau message, c'est plus simple pour le suivi de la désinfection :P !

Modifié par oGu
dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e)

Alors déjà le rapport Antivir

 

 

 

AntiVir PersonalEdition Classic

Report file date: vendredi 11 avril 2008 15:45

 

Scanning for 1193831 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 1) [5.1.2600]

Username: Les Babies

Computer name: BABY

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 12:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 11:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 14:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 11:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 13:27:15

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 09:37:02

ANTIVIR2.VDF : 7.0.3.127 649216 Bytes 07/04/2008 09:37:02

ANTIVIR3.VDF : 7.0.3.152 137216 Bytes 11/04/2008 09:37:02

AVEWIN32.DLL : 7.6.0.84 3461632 Bytes 11/04/2008 09:37:06

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 09:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 06:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 11/04/2008 09:37:08

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 06:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 11:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 06:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 10:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 11:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 11:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 08:37:21

 

Configuration settings for the scan:

Jobname..........................: Manual Selection

Configuration file...............: C:\Documents and Settings\All Users\Application Data\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: E:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: vendredi 11 avril 2008 15:45

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

10 processes with 10 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'E:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '39' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <BOOT>

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Program Files\HOTPC\HOTPC.EXE

[DETECTION] Contains detection pattern of the dial-up program DIAL/83896.A

[iNFO] The file was moved to '48537d0e.qua'!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CX2J0P2F\84785_winhtb[1].exe

[DETECTION] Contains detection pattern of the worm WORM/SdBot.397312.24

[iNFO] The file was moved to '48368526.qua'!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\CX2J0P2F\84785_winhtb[2].exe

[DETECTION] Contains detection pattern of the worm WORM/SdBot.389120.29

[iNFO] The file was moved to '4836852b.qua'!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K5A3CH2R\84785_winhtb[1].exe

[DETECTION] Contains suspicious code HEUR/Crypted

[iNFO] The file was moved to '48368538.qua'!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K9EZCLEB\84785_winhtb[1].exe

[DETECTION] Contains detection pattern of the worm WORM/SdBot.397312.24

[iNFO] The file was moved to '4836853f.qua'!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\K9EZCLEB\84785_winhtb[2].exe

[DETECTION] Contains detection pattern of the worm WORM/SdBot.389120.29

[iNFO] The file was moved to '48368543.qua'!

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\S12VKLIR\84785_winhtb[1].exe

[DETECTION] Contains detection pattern of the worm WORM/SdBot.397312.24

[iNFO] The file was moved to '48368547.qua'!

Begin scan in 'D:\' <BACKUP>

Begin scan in 'E:\' <RECOVER>

 

 

End of the scan: vendredi 11 avril 2008 17:41

Used time: 1:55:55 min

 

The scan has been done completely.

 

4043 Scanning directories

166367 Files were scanned

6 viruses and/or unwanted programs were found

1 Files were classified as suspicious:

0 files were deleted

0 files were repaired

7 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

166361 Files not concerned

6516 Archives were scanned

6 Warnings

0 Notes

 

Pas de problème pour la non édition, je voulais pas flooder :P

dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e)

Et maintenant le rapport HJT

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:32:42, on 11/04/2008

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\WINDOWS\System32\dllcache\sxch0st.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\mdm.exe

C:\WINDOWS\mrofinu1001186.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\PIXELA\ImageMixer for HDD Camcorder\IMx3Launcher.exe

C:\Program Files\OLITEC\Moniteur WiFi OLITEC\Moniteur WiFi OLITEC.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\TEMP\DIL9.tmp

C:\WINDOWS\17PHolmes1001186.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tiscali -

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1001186.exe 61A847B5BBF72813329B39577AFF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [vdcmki] c:\documents and settings\les babies\local settings\application data\vdcmki.exe vdcmki

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: ImageMixer for HDD Camcorder.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Moniteur WiFi OLITEC.exe.lnk = ?

O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1207829131775

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: Micr0s0ft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\sxch0st.exe

O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe (file missing)

 

--

End of file - 5789 bytes

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Bon, tu es vraiment très salement infectée!! Je ne garantie pas que nous arrivions à remettre ta machine sur pieds, hélas...

 

Suis scrupuleusement la procédure suivante:

 

 

f_olive.gifCOMBOFIX

 

 

 

cf-log.jpg

 

 

 

 

f_olive.gifSDFIX

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

  • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
     
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe
 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
 
Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Patiente, cela peut parfois être très long
  • Choisis ton compte.
     
     
    NOTA: si tu n'arrives pas à démarrer en sans échec, n'insiste pas et signale-le moi, cela peut être révélateur d'un virus précis.
     
     
     
  • Suis la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis

 

f_olive.gif Navilog1

 

  • Désactive ton antivirus
  • Télécharge systemsr4.pngNaviLog1 de IL-MAFIOSO sur ton bureau
  • Une fenêtre noire apparaît: tape F puis Entrée

  • Un avertissement s'affiche: clique sur n'importe quelle touche du clavier.
  • Le fix vérifie son installation: tape à nouveau sur une touche quelconque pour passer à l'autre étape
  • Le menu du fix s'ouvre: choisis l'option 1 en tapant sur la touche 1 du clavier, puis appuis sur la touche Entrée.
     

  • La vérification du système s'effectue alors: cela peut prendre plusieurs minutes (de 5 à 10min), sois patient et ne touche à rien.
  • Le rapport s'ouvre à la fin de la procédure: enregistre-le sur ton bureau
  • Copie le contenu du rapport et poste-le dans ta réponse

 

 

11dfb29f82183908e9db95c10eef.jpeg J'attends donc 4 rapports:

  • Combofix
  • SDFix
  • Navilog1
  • HijackThis

 

11dfb29f82183908e9db95c10eef.jpeg Prend le temps de faire tout ça calmement: peut-être vaut-il mieux attendre le week-end, pour avoir le temps. Si tu as la mondre question n'hésite pas à la poser!

Modifié par oGu
dydeline Power Member

dydeline

Posté(e)
  • Auteur
Posté(e) (modifié)

Juste une question pour le moment : comment je désactive Antivir vu que je peux plus le lancer...J'ai toujours la petite icone en bas à droite avec le parapluie fermé et c'est écrit Guard : stopped.

 

Finalement, 2e question : c'est quoi le gros truc pourri dan smon PC et d'où ça vient ???

 

Merci encore pour ton aide. Je pense que je vais faire ça de suite.

A tout à l'heure

 

EDIT questions : il n'y a que SDFix que je lance en mode sans echec ?

Modifié par dydeline

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...