Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Enlever virtumonde de son pc

Invité vince

Par Invité vince
dans Analyses et éradication malwares

 Partager

Messages recommandés

Invité vince

Invité vince

Posté(e)
Posté(e)

Bonjour à tous et à toutes,

Cela fais maintenant 2 semaines que j'ai un problème sur mon pc (des fenêtres publicitaires s'affichent sans arrêt sans mon avis). Aprés moulte analyses de toutes sortes j'ai enfin pu discerner la source du problème : VIRTUMONDE.

Spybot et ad-awares sont inefficaces (plus une dizaine d'autre anti-spyware). Vundofixe a détecté une erreur et la effacée mais il y a encore un problème, VirtumungoBeGone ne voit rien et enfin combofixe me donne un log dont je ne comprend rien.

Si quelqu'un peut s'interesser à mon problème et m'aider ça serait vraiment sympa...

 

 

Voila donc je joins le log du rapport

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:43:38, on 23/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\All Users\Application Data\krwrmzgn\eribmfwz.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\LTSMMSG.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\WINDOWS\system32\kdutgtkt.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Hercules\WiFi Station\WiFiStation.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aliceadsl.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [gfgjqvsk] C:\WINDOWS\system32\kdutgtkt.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [pvtlzwlm] C:\WINDOWS\system32\vgfahufc.exe

O4 - HKCU\..\Run: [kodzfqwu] C:\WINDOWS\system32\clipmrqv.exe

O4 - HKLM\..\Policies\Explorer\Run: [T6xJr0rs1j] C:\Documents and Settings\All Users\Application Data\krwrmzgn\eribmfwz.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O20 - AppInit_DLLs: sockspy.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

 

--

End of file - 7241 bytes

 

 

 

 

Je ne sais pas si c'est utile mais je joins aussi une "startuplist"

StartupList report, 23/04/2008, 18:57:01

StartupList version: 1.52.2

Started from : C:\Program Files\Trend Micro\HijackThis\HijackThis.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v7.00 (7.00.6000.16640)

* Using default options

==================================================

 

Running processes:

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\All Users\Application Data\krwrmzgn\eribmfwz.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\LTSMMSG.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

C:\WINDOWS\system32\kdutgtkt.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Hercules\WiFi Station\WiFiStation.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

--------------------------------------------------

 

Listing of startup folders:

 

Shell folders Startup:

[C:\Documents and Settings\Vincent\Menu Démarrer\Programmes\Démarrage]

RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe

 

--------------------------------------------------

 

Checking Windows NT UserInit:

 

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

 

--------------------------------------------------

 

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

 

SoundMan = SOUNDMAN.EXE

LTSMMSG = LTSMMSG.exe

nwiz = nwiz.exe /install

Tweak UI = RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

Windows Defender = "C:\Program Files\Windows Defender\MSASCui.exe" -hide

 

--------------------------------------------------

 

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

 

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

RocketDock = "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

gfgjqvsk = C:\WINDOWS\system32\kdutgtkt.exe

swg = C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

pvtlzwlm = C:\WINDOWS\system32\vgfahufc.exe

kodzfqwu = C:\WINDOWS\system32\clipmrqv.exe

 

--------------------------------------------------

 

Load/Run keys from C:\WINDOWS\WIN.INI:

 

load=*INI section not found*

run=*INI section not found*

 

Load/Run keys from Registry:

 

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs= sockspy.dll

 

--------------------------------------------------

 

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

 

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

 

Shell & screensaver key from Registry:

 

Shell=Explorer.exe

SCRNSAVE.EXE=*Registry value not found*

drivers=*Registry value not found*

 

Policies Shell key:

 

HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*

 

--------------------------------------------------

 

 

Enumerating Browser Helper Objects:

 

(no name) - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}

(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}

(no name) - c:\program files\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}

 

--------------------------------------------------

 

Enumerating Task Scheduler jobs:

 

AppleSoftwareUpdate.job

MP Scheduled Scan.job

 

--------------------------------------------------

 

Enumerating Download Program Files:

 

[shockwave Flash Object]

InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx

CODEBASE = http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

 

--------------------------------------------------

 

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

 

Windows NT checkdisk command:

BootExecute = autocheck autochk *

 

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\test0123 => C:\Qoobox\Quarantine\C\test0123.vir|C:\DOCUME~1\Vincent\LOCALS~1\TEMPOR~1\Content.IE5\index.dat||C:\DOCUME~1\Vincent\Cookies\index.dat|||C

 

--------------------------------------------------

 

Enumerating ShellServiceObjectDelayLoad items:

 

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

 

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

 

T6xJr0rs1j = C:\Documents and Settings\All Users\Application Data\krwrmzgn\eribmfwz.exe

 

--------------------------------------------------

 

End of report, 7 618 bytes

Report generated in 0,380 seconds

 

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list version history only

 

 

 

 

Je vous remercie de bien vouloir m'aider

Vince

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Bonsoir,

 

combofixe me donne un log

 

Voila ce qui pourrait être utile !

 

En attendant:

 

* Télécharger BTFix de Bibi26.

http://www.bibi26.power-heberg.com/logiciels/BTFix.zip

* Dézipper l'archive sur le Bureau.

* Ouvrir le dossier BTFix.

* Double cliquer sur BTFix.exe.

* Cliquer sur Rechercher.

* Un rapport va apparaître, copier/coller dans la prochaine réponse.

 

Et , si vous voulez être aidé, enregistrez-vous, svp.

 

 

Puis,si le rapport n'est pas propre, lancer à nouveau BTFix

*Le nettoyage doit être fait en mode sans échec.

 

* Cliquer sur Nettoyer.

* Un rapport va apparaître, copier/coller dans la prochaine réponse

Modifié par pear
Invité vince

Invité vince

Posté(e)
Posté(e)

Bonjour pear,

 

Merci d'avoir répondu à mon appel.

Apparemment le virus est parti de mon pc. J'ai fais un copier / coller de mon rapport hijackthis sur http://www.hijackthis.de/fr et j'ai ainsi pu effacer quelques fichiers qui était corrompus. Après va savoir si il ne reste rien.

J'ai effectué la manip préconisée et je vous joins le rapport de BTFix.

Merci,

Vince

 

BTFix 1.098 (par bibi26) - 24/04/2008 17:30:41 - Nettoyage - Mode normal

Lancé depuis C:\Documents and Settings\Vincent\Bureau\BTFix\BTFix.exe

 

---> Fichiers/dossiers supprimés (Première passe)

 

- Fichiers temporaires effacés

- C:\Program Files\Crawler\Download\

- C:\Program Files\Crawler\Toolbar\firefox\chrome\

- C:\Program Files\Crawler\Toolbar\firefox\components\

- C:\Program Files\Crawler\Toolbar\firefox\

- C:\Program Files\Crawler\Toolbar\Languages\

- C:\Program Files\Crawler\Toolbar\STWSGLanguageAct\

- C:\Program Files\Crawler\Toolbar\TBR5LanguageAct\

- C:\Program Files\Crawler\Toolbar\TempDir\

- C:\Program Files\Crawler\Toolbar\Update\

- C:\Program Files\Crawler\Toolbar\WSGData\domains\

- C:\Program Files\Crawler\Toolbar\WSGData\

- C:\Program Files\Crawler\Toolbar\

- C:\Program Files\Crawler\

- C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml

 

---> Nettoyage terminé le 24/04/2008 17:30:56

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Btfix en a enlevé.

 

Après va savoir si il ne reste rien.

 

C'est pourquoi j'aurais aimé que vous lanciez Combofix et en postiez le rapport.

Invité vince

Invité vince

Posté(e)
Posté(e)

bonsoir,

je joins mon rapport combofix. Par ailleurs mon firewall a bloqué 3 fois (durant la création du rapport) des tentatives d'intrusion de type "injection de code". Est-ce normal?

Merci d'avance

ComboFix 08-04-22.5 - Vincent 2008-04-24 21:49:56.3 - NTFSx86

Endroit: C:\Documents and Settings\Vincent\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

((((((((((((((((((((((((((((( Fichiers créés 2008-03-24 to 2008-04-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-24 17:33 . 2008-04-24 17:49 <REP> d-------- C:\Program Files\Navilog1

2008-04-23 17:37 . 2008-04-23 17:37 98,304 --a------ C:\WINDOWS\system32\clipmrqv.exe

2008-04-23 17:11 . 2008-04-23 20:00 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-04-23 17:11 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX

2008-04-22 23:27 . 2008-04-22 23:58 <REP> d-------- C:\VundoFix Backups

2008-04-22 22:34 . 2001-08-23 17:47 24,576 --a--c--- C:\WINDOWS\system32\dllcache\agcgauge.ax

2008-04-22 22:26 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll

2008-04-22 21:56 . 2008-04-22 21:56 <REP> d-------- C:\Program Files\Lavasoft

2008-04-22 21:52 . 2008-04-22 21:52 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-04-22 21:47 . 2008-04-22 21:47 <REP> d-------- C:\Program Files\Trend Micro

2008-04-22 20:45 . 2008-04-22 22:25 1,540,617 ---hs---- C:\WINDOWS\system32\hiswmgtn.ini

2008-04-22 20:32 . 2008-04-22 20:32 <REP> d-------- C:\WINDOWS\system32\glvLog

2008-04-22 17:12 . 2008-04-22 20:35 131,072 --a------ C:\WINDOWS\system32\datestamp.dll

2008-04-22 17:11 . 2008-04-22 23:11 <REP> d-------- C:\WINDOWS\system32\ZeroSpyware

2008-04-22 17:11 . 2008-04-22 23:11 <REP> d-------- C:\Program Files\FBM Software

2008-04-21 22:47 . 2008-04-21 22:47 38 --a------ C:\WINDOWS\avisplitter.INI

2008-04-21 21:25 . 2008-04-21 21:25 <REP> d-------- C:\Program Files\Windows Defender

2008-04-21 21:19 . 2008-04-21 21:19 114,688 --a------ C:\WINDOWS\system32\vgfahufc.exe

2008-04-21 19:31 . 2008-04-21 22:03 1,540,677 ---hs---- C:\WINDOWS\system32\vgxahyyf.ini

2008-04-21 18:27 . 2008-04-21 18:29 <REP> d-------- C:\Program Files\RegCleaner

2008-04-20 23:57 . 2008-04-20 23:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-04-20 22:56 . 2008-04-22 22:25 449 --a------ C:\WINDOWS\wininit.ini

2008-04-20 22:08 . 2008-04-20 22:06 691,545 --a------ C:\WINDOWS\unins000.exe

2008-04-20 22:08 . 2008-04-20 22:08 2,557 --a------ C:\WINDOWS\unins000.dat

2008-04-20 22:00 . 2008-04-20 23:53 354 ---hs---- C:\WINDOWS\system32\uamtplic.ini

2008-04-17 20:21 . 2008-04-17 20:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-04-17 18:07 . 2008-04-16 10:07 290,816 --a------ C:\WINDOWS\pmsoarbf.dll

2008-04-17 18:07 . 2008-04-16 10:07 98,304 --a------ C:\WINDOWS\npqtsrak.exe

2008-04-17 18:06 . 2008-04-17 18:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\krwrmzgn

2008-04-17 18:06 . 2008-04-17 18:06 98,304 --a------ C:\WINDOWS\system32\kdutgtkt.exe

2008-04-17 17:51 . 2008-04-17 17:51 <REP> d-------- C:\Program Files\Sunbelt Software

2008-04-14 20:34 . 2008-04-14 20:34 <REP> d-------- C:\Program Files\Intel Desktop Board

2008-04-12 14:17 . 1998-11-13 13:16 308,224 --a------ C:\WINDOWS\IsUn040c.exe

2008-04-03 18:44 . 2008-04-17 17:49 <REP> d-------- C:\Program Files\PeerGuardian2

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-23 22:25 --------- d-----w C:\Program Files\eMule

2008-04-22 21:11 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-20 20:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-20 20:13 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-04-03 19:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-03 15:57 --------- d-----w C:\Program Files\CCleaner

2008-03-23 13:06 --------- d-----w C:\Program Files\Nvu

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-04 18:50 --------- d-----w C:\Program Files\Securitoo

2008-03-04 17:39 --------- d-----w C:\Program Files\Inventel

2008-03-01 16:45 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

.

 

------- Sigcheck -------

 

2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe

2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2002-08-30 14:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2004-08-20 01:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\explorer.exe

2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

"RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-06 17:41 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2002-09-27 08:44 47104 C:\WINDOWS\SOUNDMAN.EXE]

"LTSMMSG"="LTSMMSG.exe" [2002-08-02 08:46 32768 C:\WINDOWS\LTSMMSG.exe]

"nwiz"="nwiz.exe" [2002-09-21 06:04 372736 C:\WINDOWS\system32\nwiz.exe]

"Tweak UI"="TWEAKUI.CPL" [1999-11-15 11:21 163840 C:\WINDOWS\system32\TWEAKUI.CPL]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

 

C:\Documents and Settings\Vincent\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"= sockspy.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.YV12"= yv12vfw.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]

--a------ 2002-08-01 05:07 135168 C:\Program Files\Apoint2K\Apoint.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-10-19 21:16 286720 C:\Program Files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

-rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-09-25 02:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-11-06 17:41 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]

C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra------ 2006-03-30 17:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wscsvc"=2 (0x2)

"WebClient"=2 (0x2)

"TapiSrv"=3 (0x3)

"seclogon"=2 (0x2)

"helpsvc"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2006-07-18 12:02]

R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2006-07-18 12:02]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-08-02 08:46]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\kitalice.exe

 

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-04-21 16:18:19 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-04-24 18:44:20 C:\WINDOWS\Tasks\MP Scheduled Scan.job"

- C:\Program Files\Windows Defender\MpCmdRun.exe

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-24 21:56:18

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs a chargé sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\explorer.exe

-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll

.

Temps d'accomplissement: 2008-04-24 22:00:21

ComboFix-quarantined-files.txt 2008-04-24 20:00:04

ComboFix2.txt 2008-04-22 23:06:17

 

Pre-Run: 8,087,031,808 octets libres

Post-Run: 8,084,910,080 octets libres

 

170 --- E O F --- 2008-04-23 15:29:10

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Combo, Nettoyage

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Lancez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

file::

C:\WINDOWS\system32\hiswmgtn.ini

C:\WINDOWS\system32\glvLog

C:\WINDOWS\system32\vgfahufc.exe

C:\WINDOWS\system32\vgxahyyf.ini

C:\WINDOWS\system32\uamtplic.ini

C:\WINDOWS\pmsoarbf.dll

C:\WINDOWS\system32\kdutgtkt.exe

C:\VundoFix Backups

 

folder::

C:\Documents and Settings\All Users\Application Data\krwrmzgn

C:\Program Files\Navilog1

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, prière de ne pas le réutiliser dans d'autres cas !

 

Enregistrez-le en lui donnant le nom CFScript.txt

 

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

http://i261.photobucket.com/albums/ii49/Ma...te/CFScript.gif

wv0zyqhphc.gif

 

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Invité vince

Invité vince

Posté(e)
Posté(e)

Bonsoir,

J'ai effectué la manipulation préconisée.

 

Je vous joins donc le résultat de l'analyse combofixe

Merci.

 

ComboFix 08-04-22.5 - Vincent 2008-04-24 23:22:42.4 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.60 [GMT 2:00]

Endroit: C:\Documents and Settings\Vincent\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Vincent\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

 

FILE ::

C:\VundoFix Backups

C:\WINDOWS\pmsoarbf.dll

C:\WINDOWS\system32\glvLog

C:\WINDOWS\system32\hiswmgtn.ini

C:\WINDOWS\system32\kdutgtkt.exe

C:\WINDOWS\system32\uamtplic.ini

C:\WINDOWS\system32\vgfahufc.exe

C:\WINDOWS\system32\vgxahyyf.ini

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Application Data\krwrmzgn

C:\Documents and Settings\All Users\Application Data\krwrmzgn\eribmfwz.exe

C:\Program Files\Navilog1

C:\Program Files\Navilog1\recherok.txt

C:\WINDOWS\pmsoarbf.dll

C:\WINDOWS\system32\hiswmgtn.ini

C:\WINDOWS\system32\kdutgtkt.exe

C:\WINDOWS\system32\uamtplic.ini

C:\WINDOWS\system32\vgfahufc.exe

C:\WINDOWS\system32\vgxahyyf.ini

 

.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-24 to 2008-04-24 ))))))))))))))))))))))))))))))))))))

.

 

2008-04-23 17:37 . 2008-04-23 17:37 98,304 --a------ C:\WINDOWS\system32\clipmrqv.exe

2008-04-23 17:11 . 2008-04-23 20:00 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP

2008-04-23 17:11 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX

2008-04-22 22:34 . 2001-08-23 17:47 24,576 --a--c--- C:\WINDOWS\system32\dllcache\agcgauge.ax

2008-04-22 22:26 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll

2008-04-22 21:56 . 2008-04-22 21:56 <REP> d-------- C:\Program Files\Lavasoft

2008-04-22 21:52 . 2008-04-22 21:52 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-04-22 21:47 . 2008-04-22 21:47 <REP> d-------- C:\Program Files\Trend Micro

2008-04-22 20:32 . 2008-04-22 20:32 <REP> d-------- C:\WINDOWS\system32\glvLog

2008-04-22 17:12 . 2008-04-22 20:35 131,072 --a------ C:\WINDOWS\system32\datestamp.dll

2008-04-22 17:11 . 2008-04-22 23:11 <REP> d-------- C:\WINDOWS\system32\ZeroSpyware

2008-04-22 17:11 . 2008-04-22 23:11 <REP> d-------- C:\Program Files\FBM Software

2008-04-21 22:47 . 2008-04-21 22:47 38 --a------ C:\WINDOWS\avisplitter.INI

2008-04-21 21:25 . 2008-04-21 21:25 <REP> d-------- C:\Program Files\Windows Defender

2008-04-21 18:27 . 2008-04-21 18:29 <REP> d-------- C:\Program Files\RegCleaner

2008-04-20 23:57 . 2008-04-20 23:59 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-04-20 22:56 . 2008-04-22 22:25 449 --a------ C:\WINDOWS\wininit.ini

2008-04-20 22:08 . 2008-04-20 22:06 691,545 --a------ C:\WINDOWS\unins000.exe

2008-04-20 22:08 . 2008-04-20 22:08 2,557 --a------ C:\WINDOWS\unins000.dat

2008-04-17 20:21 . 2008-04-17 20:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2008-04-17 18:07 . 2008-04-16 10:07 98,304 --a------ C:\WINDOWS\npqtsrak.exe

2008-04-17 17:51 . 2008-04-17 17:51 <REP> d-------- C:\Program Files\Sunbelt Software

2008-04-14 20:34 . 2008-04-14 20:34 <REP> d-------- C:\Program Files\Intel Desktop Board

2008-04-12 14:17 . 1998-11-13 13:16 308,224 --a------ C:\WINDOWS\IsUn040c.exe

2008-04-03 18:44 . 2008-04-17 17:49 <REP> d-------- C:\Program Files\PeerGuardian2

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-23 22:25 --------- d-----w C:\Program Files\eMule

2008-04-22 21:11 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-20 20:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-04-20 20:13 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-04-03 19:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer

2008-04-03 15:57 --------- d-----w C:\Program Files\CCleaner

2008-03-23 13:06 --------- d-----w C:\Program Files\Nvu

2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-04 18:50 --------- d-----w C:\Program Files\Securitoo

2008-03-04 17:39 --------- d-----w C:\Program Files\Inventel

2008-03-01 16:45 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

.

 

------- Sigcheck -------

 

2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe

2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2002-08-30 14:00 1008128 82fe0d400cb1ac937234467b927b867a C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2004-08-20 01:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\SoftwareDistribution\Download\70ccc3de7e94865059fbcf2f809c03b1\explorer.exe

2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\system32\dllcache\explorer.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

"RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-06 17:41 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2002-09-27 08:44 47104 C:\WINDOWS\SOUNDMAN.EXE]

"LTSMMSG"="LTSMMSG.exe" [2002-08-02 08:46 32768 C:\WINDOWS\LTSMMSG.exe]

"nwiz"="nwiz.exe" [2002-09-21 06:04 372736 C:\WINDOWS\system32\nwiz.exe]

"Tweak UI"="TWEAKUI.CPL" [1999-11-15 11:21 163840 C:\WINDOWS\system32\TWEAKUI.CPL]

"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

 

C:\Documents and Settings\Vincent\Menu D‚marrer\Programmes\D‚marrage\

RocketDock.lnk - C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-19 00:05:02 630784]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"= sockspy.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.YV12"= yv12vfw.dll

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]

--a------ 2002-08-01 05:07 135168 C:\Program Files\Apoint2K\Apoint.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--a------ 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-10-19 21:16 286720 C:\Program Files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]

-rahs---- 2008-01-28 11:43 2097488 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-09-25 02:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2007-11-06 17:41 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TVAgent WiFi]

C:\Program Files\Alice_Triway_WiFi\Wizard\Agent_WiFi.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

-ra------ 2006-03-30 17:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]

C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wscsvc"=2 (0x2)

"WebClient"=2 (0x2)

"TapiSrv"=3 (0x3)

"seclogon"=2 (0x2)

"helpsvc"=2 (0x2)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\eMule\\emule.exe"=

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2006-07-18 12:02]

R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2006-07-18 12:02]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-08-02 08:46]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - F:\kitalice.exe

 

*Newly Created Service* - CATCHME

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-04-21 16:18:19 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

"2008-04-24 18:44:20 C:\WINDOWS\Tasks\MP Scheduled Scan.job"

- C:\Program Files\Windows Defender\MpCmdRun.exe

.

**************************************************************************

 

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-24 23:27:40

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cachés ...

 

Balayage caché autostart entries ...

 

Balayage des fichiers cachés ...

 

Scan terminé avec succès

Les fichiers cachés: 0

 

**************************************************************************

.

Temps d'accomplissement: 2008-04-24 23:30:38

ComboFix-quarantined-files.txt 2008-04-24 21:30:30

 

Pre-Run: 8,069,922,816 octets libres

Post-Run: 8,059,772,928 octets libres

 

181 --- E O F --- 2008-04-23 15:29:10

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Désactiver l'antivirus actuel et faire un scan en ligne avec l'un de ces 3 logiciels

NOTE: Le scan en ligne sera à faire avec Internet Explorer.

 

 

1) * Faire un scan en ligne Kaspersky

b]Sous Vista,il faut désactiver l'UAC

et cliquer droit sur Internet Explorer / Exécuter en tant qu'administrateur et coller l'URL de Kaspersky[/b]

 

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

Vider la corbeille.

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nommer le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème :Cybersécurité

http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

 

2) Scan Panda

http://www.pandasoftware.com/activescan/fr...6&IdPais=69

 

3)ou ,autre choix,Nod32 Sous Vista

Cliquer sur le lien suivant > ESET Online Scanner Link

http://www.eset.com/onlinescan/

 

* Cocher la case YES, I accept the Terms Of Use

* Cliquer sur le bouton Start

* Cliquer ensuite sur le bouton Install

* Clique sur Start

* Le scanner va se mettre à jour.

* Ne pas cocher la case Remove found threats

* Clique sur le bouton Scan

* Le scan va se lancer:

* Lorsque le scan s'achève, cliquer sur le menu Details

* Copier/coller le contenu du rapport généré:

il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt

 

Poster les rapports Antivirus

Invité vince

Invité vince

Posté(e)
Posté(e)

bonjour pear,

Tout d'abord désolé de ne pas avoir répondu avant. Problème de gestion du temps.

Ensuite je vous remercie m'aider à enlever les problèmes sur mon pc...

Voila j'ai fait ne analyse en ligne avec Kaspersky et le scan me détecte un virus...

Je joins donc mon rapport.

En vous remerciant encore vince...

 

-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER REPORT

Saturday, April 26, 2008 9:41:43 PM

Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky Online Scanner version: 5.0.98.0

Kaspersky Anti-Virus database last update: 26/04/2008

Kaspersky Anti-Virus database records: 726640

-------------------------------------------------------------------------------

 

Scan Settings:

Scan using the following antivirus database: extended

Scan Archives: true

Scan Mail Bases: true

 

Scan Target - Critical Areas:

C:\WINDOWS

C:\DOCUME~1\Vincent\LOCALS~1\Temp\

 

Scan Statistics:

Total number of scanned objects: 21460

Number of viruses found: 1

Number of infected objects: 1

Number of suspicious objects: 0

Duration of the scan process: 00:32:13

 

Infected Object Name / Virus Name / Last Action

C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped

C:\WINDOWS\npqtsrak.exe Infected: Trojan.Win32.Vapsup.ecg skipped

C:\WINDOWS\SchedLgU.Txt Object is locked skipped

C:\WINDOWS\SoftwareDistribution\EventCache\{1408A4BE-937A-4AFB-B7C3-FEA10942A44D}.bin Object is locked skipped

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped

C:\WINDOWS\Sti_Trace.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\default Object is locked skipped

C:\WINDOWS\system32\config\default.LOG Object is locked skipped

C:\WINDOWS\system32\config\Internet.evt Object is locked skipped

C:\WINDOWS\system32\config\SAM Object is locked skipped

C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\SECURITY Object is locked skipped

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped

C:\WINDOWS\system32\config\software Object is locked skipped

C:\WINDOWS\system32\config\software.LOG Object is locked skipped

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped

C:\WINDOWS\system32\config\system Object is locked skipped

C:\WINDOWS\system32\config\system.LOG Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped

C:\WINDOWS\Temp\Perflib_Perfdata_6b4.dat Object is locked skipped

C:\WINDOWS\wiadebug.log Object is locked skipped

C:\WINDOWS\wiaservc.log Object is locked skipped

C:\WINDOWS\WindowsUpdate.log Object is locked skipped

 

Scan process completed.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...