Plein de pubs sur mon PC : infection ?

vpey · le 8 juillet 2008

Bonjour,

J'ai un de mes pc qui me pose problème:

1-J'ai de la pub sans arret.

2-Je n'arrive pas à accèder à C: par le poste de travail. Je le vois mais dès que je clique dessus j'ai l'erreur "l'application c: ne peutê tre éxécutée en mode Win32". Alors que j'arrive à acceder à mes lettres réseau.

3-Je n'arrive pas à lancer de rapport Hijackthis.

Je fais quoi d'après vous . Je reformate ou vous avez une autre solution ?

Merci de votre réponse

pear · le 8 juillet 2008

Bonjour,

*

Téléchargez Hijackthis de TrendMicro.

* Décompressez le dans un dossier à la racine du disque dur

renommer ce dossier par exemple Karcher

Sous Vista,,il faut faire clic-droit >> "Exécuter en tant qu'Administrateur" sur Hijackthis.exe sinon HJT tourne mais ne fixe rien.

* Lancer le fichier Hijackthis.exe

* Cliquer sur Do a system scan and save a log file

* Copier-coller le rapport dans un nouveau message ici

Oh, pardonnez moi.

J'ai lu trop vite sans voir que vous ne pouvez pas lancer Hijackthis.

Renommer ComboFix

Dans certains cas, Ver Bagle par exemple,,il est nécessaire de renommer ComboFix.exe en Combo-Fix.exe avant le téléchargement pour traiter l' infection.

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

Insérez un trait d'union (-) entre Combo et Fix.

Vous devez obtenir -> Combo-Fix.exe

Cliquez enfin sur -> Enregistrer

Lancez Combo-fix.exe

En cas de problème, :

méthode illustrée

)Lancer le scan

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

* Lorsque le scan sera terminé,( cela pourrait prendre un certain temps),un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

[/color]

Modifié le 8 juillet 2008 par pear

vpey · le 9 juillet 2008

Bonjour,

Impossible également de lancer combofix.exe

Windows me demande avec quelle application je veux lancer le .exe

ça sent pas bon.

Je fais quoi d'après vous ?

pear · le 9 juillet 2008

Vous avez bien renommé comme demandé Combofix en Combo-Fix ?

Essayez ceci, après avoir renommé elibagla:

Ne pas utiliser le mode Sans Echec !

Télécharger ELIBAGLA

en bas de page

* Cliquer sur le bouton Descargar Elibagla :cela va télécharger le fichier, placez le sur le bureau.

* Double-cliquer dessus pour l'ouvrir.

* S'assurer que dans le menu déroulant Unidad, il y ait bien C:\

* Vérifier aussi que l'option en bas de la fenêtre Eliminar Ficheros Automaticamente soit bien cochée.

* Cliquer sur le bouton Explorar pour lancer l'analyse.

Poster le rapport ELIBAGLA qui se trouve ici > C:\InfoSat.txt

en cas de problème, renommer Elibagla en Eli-bagla.exe avant le téléchargement pour traiter cette infection.I

en suivant cette méthode:

méthode illustrée

Cette infection Bagle peut endommager votre connexion wifi, vous obtenez alors l'erreur 1068.

Voici une procédure à suivre, après désinfection:

Résoudre les erreurs 1068

Elle transforme le PC infecté en machine zombie, ce qui signifie que la machine fait partie d'un Botnet qui permet à un malfaiteur de contrôler le PC à distance et de le faire spammer ou attaquer des cibles choisies - à volonté.

Ce Botnet compte quelques centaines de milliers de PCs infectés, aux quatre coins du globe.

Bagle détruit antivirus et pare-feu (si présents) en plus de désactiver le Centre de Sécurité Windows et plus encore,

vpey · le 9 juillet 2008

Bonjour,

c'est encore la même chose que précédement.

Windows me demande avec quelle application je veux lancer le .exe

J'ai fait une ré-installation Xp Pro par dessus.

C'est toujours pareil.

Qu'est-ce que je fais, je formate et je ré-installe ou je tente autre chose ??

pear · le 9 juillet 2008

J'ai fait une ré-installation Xp Pro par dessus.

Cela n'enlève pas les virus.

Essayez de cette façon:

Installer la console sur le disque dur avec le cd Xp:

http://www.zebulon.fr/dossiers/61-2-instal...ion-disque.html

Ou avec Combofix:

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

ou se faire un cd qui permette de lancer la console de récupération:

http://www.cybersolus.net/windows/windows_...cuperation.html

Dans le cas où la console n'est pas installée, munissez-vous de votre CD d'installation.

Assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS

- Insérez le CD Windows XP dans le lecteur de CD, puis redémarrez l'ordinateur

Sélectionnez les options requises pour démarrer l'ordinateur à partir du lecteur de CD-ROM dès que vous y êtes invité.

- Lorsque l'écran de bienvenue du programme d'installation s'affiche, appuyez sur la touche R pour démarrer la console de récupération.

Tapez votre mot de passe Administrateur si vous en avez un, sinon, ne tapez rien et cliquez sur ENTRÉE.

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

Vous arrivez là:

C:WINDOWS>

Suppression d'un dosier infecté:

Tapez

del C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS

Pour avoir ceci:

C:\Windows>del C:\WINDOWS\system32\DRIVERS\SROSA.SYS

validez

recommencez avec ceci, successivement:

C:\Windows\System32\drivers\hldrrr.exe

C:\WINDOWS\SYSTEM32\WINTEMS.EXE

C:\WINDOWS\SYSTEM32\BAN_LIST.TXT

C:\WINDOWS\system32\drivers\hldrr.exe

C:\Windows\System32\drivers\down

tapez exit.

Redémarrez et vérifiez.

Modifié le 9 juillet 2008 par pear

vpey · le 9 juillet 2008

il me trouve aucun de ces fichiers à supprimer

pear · le 9 juillet 2008

Ce n'est pas simple .

Essayons de rétablir vos extensions .exe:

Copier/coller ce qui suit dans le bloc notes.

Enregistrez sur le bureau sous exe.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]

@="exefile"

"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\exefile]

@="Application"

"EditFlags"=hex:38,07,00,00

"TileInfo"="prop:FileDescription;Company;FileVersion"

"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\exefile\DefaultIcon]

@="%1"

[HKEY_CLASSES_ROOT\exefile\shell]

[HKEY_CLASSES_ROOT\exefile\shell\open]

"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\runas]

[HKEY_CLASSES_ROOT\exefile\shell\runas\command]

@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shellex]

[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]

@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]

@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]

@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

ou telecharge http://pagesperso-orange.fr/doc.jm/b1n/VirusBdRRepair.vbs sur ton bureau et bouble clic dessus

Modifié le 9 juillet 2008 par angelique
ajout du .vbs

vpey · le 9 juillet 2008

Enfin, ça marche

*******************************

Voici le rapport Combofix :

*******************************

ComboFix 08-07-08.5 - atelier2008 2008-07-09 8:27:39.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.182 [GMT 2:00]

Endroit: C:\ComboFix.exe

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\Documents and Settings\atelier2008\Application Data\macromedia\Flash Player\#SharedObjects\GZ66EKNG\www.broadcaster.com

C:\Documents and Settings\atelier2008\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com

C:\Documents and Settings\atelier2008\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol

C:\Documents and Settings\slatelier\Application Data\macromedia\Flash Player\#SharedObjects\GZ66EKNG\www.broadcaster.com

C:\Documents and Settings\slatelier\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com

C:\Documents and Settings\slatelier\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol

C:\WINDOWS\BM53bef932.txt

C:\WINDOWS\cookies.ini

C:\WINDOWS\pskt.ini

C:\WINDOWS\regedit.com

C:\WINDOWS\system32\ajjwklun.dll

C:\WINDOWS\system32\befNnnnn.ini

C:\WINDOWS\system32\befNnnnn.ini2

C:\WINDOWS\system32\cmd.com

C:\WINDOWS\system32\cmnyqbox.ini

C:\WINDOWS\system32\dirhgckn.dll

C:\WINDOWS\system32\EfLlRqru.ini

C:\WINDOWS\system32\EfLlRqru.ini2

C:\WINDOWS\system32\fo-remove.exe

C:\WINDOWS\system32\hasnbfdp.ini

C:\WINDOWS\system32\igwgsjix.dll

C:\WINDOWS\system32\ijjjPqss.ini

C:\WINDOWS\system32\ijjjPqss.ini2

C:\WINDOWS\system32\lclkncsr.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mjupiggw.dll

C:\WINDOWS\system32\MSINET.oca

C:\WINDOWS\system32\msxsaxgt.ini

C:\WINDOWS\system32\nubgpbqu.dll

C:\WINDOWS\system32\nvs2.inf

C:\WINDOWS\system32\pac.txt

C:\WINDOWS\system32\pvmtyfbu.dll

C:\WINDOWS\system32\qmpjnlkd.dll

C:\WINDOWS\system32\rscnklcl.dll

C:\WINDOWS\system32\sluseypy.dll

C:\WINDOWS\system32\tgxasxsm.dll

C:\WINDOWS\system32\wggipujm.ini

C:\WINDOWS\system32\wins.exe

C:\WINDOWS\system32\wmpohodu.ini

C:\WINDOWS\system32\xijsgwgi.ini

C:\WINDOWS\system32\xobqynmc.dll

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_DOMAINSERVICE

-------\Legacy_POWERMANAGER

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-09 to 2008-07-09 ))))))))))))))))))))))))))))))))))))

.

2008-07-09 14:58 . 2008-07-09 14:57 4,097 --a------ C:\VirusBdRRepair.vbs

2008-07-09 12:38 . 2006-03-02 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex

2008-07-09 12:37 . 2006-03-02 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

2008-07-09 12:36 . 2006-03-02 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll

2008-07-09 12:35 . 2006-03-02 14:00 290,816 --a--c--- C:\WINDOWS\system32\dllcache\adsiis51.dll

2008-07-09 12:35 . 2006-03-02 14:00 47,104 --a--c--- C:\WINDOWS\system32\dllcache\coadmin.dll

2008-07-09 12:35 . 2006-03-02 14:00 43,520 --a--c--- C:\WINDOWS\system32\dllcache\admwprox.dll

2008-07-09 12:30 . 2006-03-02 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe

2008-07-09 12:30 . 2008-07-09 12:30 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

2008-07-09 12:30 . 2008-07-09 12:30 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

2008-07-09 12:30 . 2008-07-09 12:30 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

2008-07-09 12:30 . 2008-07-09 12:30 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest

2008-07-09 12:30 . 2008-07-09 12:30 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

2008-07-09 12:30 . 2008-07-09 12:30 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

2008-07-09 12:26 . 2004-08-19 16:09 154,112 --a------ C:\WINDOWS\system32\irftp.exe

2008-07-09 12:26 . 2004-08-03 23:00 87,424 --a------ C:\WINDOWS\system32\drivers\irda.sys

2008-07-09 12:26 . 2004-08-19 16:09 28,160 --a------ C:\WINDOWS\system32\irmon.dll

2008-07-09 12:26 . 2004-08-19 16:09 8,192 --a------ C:\WINDOWS\system32\wshirda.dll

2008-07-09 12:15 . 2001-08-17 21:51 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys

2008-07-09 08:41 . 2008-07-05 16:46 <REP> d-------- C:\327882R2FWJFW

2008-07-09 08:26 . 2008-07-09 08:25 2,608,075 --a------ C:\Combo-Fix.exe

2008-07-08 17:41 . 2008-07-08 17:41 <REP> d-------- C:\Program Files\Trend Micro

2008-07-08 17:40 . 2008-05-14 13:55 812,344 --a------ C:\HJTInstall.exe

2008-07-02 07:58 . 2008-07-02 07:58 <REP> d-------- C:\Documents and Settings\atelier2008\Application Data\Spamihilator

2008-07-02 07:22 . 2008-07-02 07:58 <REP> d-------- C:\Program Files\Spamihilator

2008-06-27 09:58 . 2008-05-06 22:02 86,016 ---hs---- C:\Documents and Settings\atelier2008\lsass.exe

2008-06-26 13:12 . 2007-01-19 23:19 <REP> d--h----- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\Voisinage r‚seau

2008-06-26 13:12 . 2007-01-19 23:19 <REP> d--h----- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\Voisinage d'impression

2008-06-26 13:12 . 2008-03-26 15:35 <REP> d--h----- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\ModŠles

2008-06-26 13:12 . 2007-01-19 23:19 <REP> d-------- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\Mes documents

2008-06-26 13:12 . 2007-01-19 23:19 <REP> dr------- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\Menu D‚marrer

2008-06-26 13:12 . 2007-01-19 23:19 <REP> d-------- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\Favoris

2008-06-26 13:12 . 2007-01-19 23:19 <REP> d-------- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\Bureau

2008-06-26 13:12 . 2008-05-29 05:41 <REP> d-------- C:\Documents and Settings\atelier2008.WINDOWS-24655A6\Application Data\ACD Systems

2008-06-26 13:12 . 2008-07-02 07:05 <REP> d-------- C:\Documents and Settings\atelier2008.WINDOWS-24655A6

2008-06-25 15:56 . 2008-06-25 15:58 <REP> d-------- C:\WINDOWS\ServicePackFiles

2008-06-25 15:53 . 2006-12-28 12:01 19,569 --a------ C:\WINDOWS\002737_.tmp

2008-06-25 10:56 . 2008-06-25 10:56 <REP> d-------- C:\Program Files\Windows Installer 4.5 SDK

2008-06-24 14:04 . 2008-06-24 14:04 <REP> d-------- C:\Program Files\PicLensIE

2008-06-20 14:10 . 2008-06-20 14:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ACD Systems

2008-06-20 13:47 . 2008-06-20 13:47 <REP> d-------- C:\Program Files\Lavalys

2008-06-19 19:45 . 2008-06-19 19:45 <REP> d-------- C:\Program Files\Microsoft Visual Studio 8

2008-06-19 19:45 . 2008-06-19 19:45 <REP> d-------- C:\Program Files\Microsoft Visual Studio .NET 2003

2008-06-19 19:45 . 2008-06-19 19:45 <REP> d-------- C:\Program Files\Microsoft Visual Studio .NET

2008-06-19 19:38 . 2008-06-19 19:43 696 --a------ C:\haspemul.reg

2008-06-19 13:48 . 2008-06-19 13:51 <REP> d-------- C:\Program Files\Antipub

2008-06-18 13:36 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

2008-06-18 13:36 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

2008-06-17 20:04 . 2008-06-17 20:04 120 --a------ C:\WINDOWS\Winchat.ini

2008-06-17 18:53 . 2008-06-17 18:53 126 --a------ C:\WINDOWS\system32\MMC.exe.config

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-23 16:55 --------- d-----w C:\Program Files\Alwil Software

2008-06-23 11:48 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-06-20 12:10 --------- d-----w C:\Program Files\Fichiers communs\ACD Systems

2008-06-20 12:06 --------- d-----w C:\Program Files\DivX

2008-05-07 18:09 5,776 ----a-w C:\WINDOWS\ upd.dll

2008-05-07 11:21 2,829 ----a-w C:\WINDOWS\ IEXPLORE.PIF

2008-04-13 17:33 39,424 ----a-w C:\WINDOWS\AppPatch\acadproc.dll

2007-06-20 15:05 47,360 ----a-w C:\Documents and Settings\slatelier\Application Data\pcouffin.sys

2007-06-20 15:05 47,360 ----a-w C:\Documents and Settings\atelier2008\Application Data\pcouffin.sys

2007-06-04 17:13 17,929,072 ----a-w C:\Program Files\Install_Messenger.exe

2007-05-04 07:52 384 ----a-w C:\Documents and Settings\slatelier\Application Data\internaldb6334.dat

2007-05-04 07:52 384 ----a-w C:\Documents and Settings\atelier2008\Application Data\internaldb6334.dat

2007-05-04 07:49 194 ----a-w C:\Documents and Settings\slatelier\Application Data\internaldb8467.dat

2007-05-04 07:49 194 ----a-w C:\Documents and Settings\atelier2008\Application Data\internaldb8467.dat

2007-05-04 07:49 18,432 ----a-w C:\Documents and Settings\slatelier\Application Data\internaldb41.dat

2007-05-04 07:49 18,432 ----a-w C:\Documents and Settings\atelier2008\Application Data\internaldb41.dat

2004-05-25 18:59 212,992 ----a-w C:\Program Files\Fichiers communs\progress software

2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe

2008-03-05 07:03 3,414 --sha-w C:\WINDOWS\mlkklm.ini2

2007-09-02 18:52 102,840 --sha-r C:\WINDOWS\spolis.exe

2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll

2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll

2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll

2006-05-03 09:06 163,328 --sha-r C:\WINDOWS\system32\flvDX.dll

2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll

2007-09-02 18:52 102,840 --sha-r C:\WINDOWS\system32\LeChucK.exe

2007-02-21 10:47 31,232 --sha-r C:\WINDOWS\system32\msfDX.dll

2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe

2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-24 12:15 7311360]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-01-24 12:15 86016]

"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 03:11 925696]

"LSA Shellu"="C:\Documents and Settings\atelier2008\lsass.exe" [2008-05-06 22:02 86016]

"nwiz"="nwiz.exe" [2006-01-24 12:15 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableCAD"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\startupfolder\C:^Documents and Settings^atelier2008^Menu Démarrer^Programmes^Démarrage^Anti-Pub.lnk]

path=C:\Documents and Settings\atelier2008\Menu Démarrer\Programmes\Démarrage\Anti-Pub.lnk

backup=C:\WINDOWS\pss\Anti-Pub.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]

--a------ 2006-03-02 14:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iousc]

--a------ 2008-06-30 17:17 380928 c:\Documents and Settings\atelier2008\Local Settings\Application Data\iousc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSA Shellu]

---hs---- 2008-05-06 22:02 86016 C:\Documents and Settings\atelier2008\lsass.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-13 19:34 1695232 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

--a------ 2006-01-24 12:15 7311360 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

--a------ 2006-01-24 12:15 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-02-13 12:46 98304 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]

--a------ 2005-05-20 03:11 925696 C:\Program Files\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spamihilator]

--a------ 2008-04-05 15:17 1060864 C:\Program Files\Spamihilator\spamihilator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2008-01-25 10:42 185896 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2006-01-24 12:15 1519616 C:\WINDOWS\system32\nwiz.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 PBUS;PBUS;C:\WINDOWS\system32\drivers\PBUS.sys [2001-09-19 10:56]

S3 BrDiskImageSvcx;B&R Disk Image;C:\BrAutomation\Pvi\Tools\PVITransfer\BrDiskImageSvc.exe [2006-04-06 18:56]

S3 SG760_XP;SAGEM 802.11g XG760 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2005-05-12 17:24]

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2006-03-02 14:00]

S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b123ffe4-928e-11dc-8bd8-0018f3d4490a}]

\Shell\Auto\command - Start.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4848d76-ac6a-11db-9db1-0018f3d4490a}]

\Shell\Auto\command - F:\Start.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{1C61F025-E41F-958E-0606-070204080802}]

C:\WINDOWS\test.exe

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-07-09 13:04:25 C:\WINDOWS\Tasks\User_Feed_Synchronization-{52CCCE1F-6AD6-44E6-8672-7C497A6D2CFA}.job"

- C:\WINDOWS\system32\msfeedssync.exe

.

- - - - ORPHANS REMOVED - - - -

BHO-{0FDB4C5D-F715-4C75-9449-C750686367C0} - C:\WINDOWS\system32\ssqPjjji.dll

BHO-{A9EE832B-B412-4A0E-94C1-7C1B777E9277} - C:\WINDOWS\system32\urqRlLfE.dll

BHO-{B8A42496-7C38-426F-9DEA-46929D38EBE4} - C:\WINDOWS\system32\nnnnNfeb.dll

HKLM-Run-BM53bef932 - C:\WINDOWS\system32\ajjwklun.dll

HKU-Default-Run-swg - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Notify-dattil - dattil.dll

Notify-dskt97 - dskt97.dll

Notify-tuvWQGwv - tuvWQGwv.dll

MSConfigStartUp-508dcaae - C:\WINDOWS\system32\tgxasxsm.dll

MSConfigStartUp-ares - C:\Program Files\Ares\Ares.exe

MSConfigStartUp-avast! - C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

MSConfigStartUp-BM53bef932 - C:\WINDOWS\system32\ajjwklun.dll

MSConfigStartUp-mscdti - C:\WINDOWS\cdti.exe

MSConfigStartUp-swg - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-09 15:00:34

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe

-> C:\Documents and Settings\atelier2008\lsass.exe

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-07-09 15:07:39 - machine was rebooted

ComboFix-quarantined-files.txt 2008-07-09 13:07:35

Pre-Run: 62,782,545,920 octets libres

Post-Run: 63,499,988,992 octets libres

255 --- E O F --- 2008-07-09 06:20:21

Maintenant le rapport ELIBAGLA :

**************************************

Wed Jul 09 15:10:13 2008

----------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Jul 09 15:10:41 2008

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 6264

Nº Total de Ficheros: 57821

Nº de Ficheros Analizados: 11153

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

ET LE RAPPORT HIJACKTHIS :

***********************************

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:16, on 2008-07-09

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Documents and Settings\atelier2008\lsass.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (file missing)

O2 - BHO: PicLens plug-in for Internet Explorer - {EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA} - C:\Program Files\PicLensIE\PicLens.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)

O3 - Toolbar: Multi Media Toolbar - {b5146c40-189a-4311-bda9-fbae3e023187} - C:\Program Files\Multi_Media\tbMul0.dll (file missing)

O3 - Toolbar: (no name) - {b69a9db4-d0a1-4722-b56b-f20757a29cdf} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\atelier2008\lsass.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: Anti-Pub.lnk = C:\Program Files\Antipub\antipub.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Launch PicLens - {3437D640-C91A-458f-89F5-B9095EA4C28B} - C:\Program Files\PicLensIE\PicLens.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1207044146335

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1213727724045

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/fichier...on_2_0_4_12.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: B&R Disk Image (BrDiskImageSvcx) - Bernecker + Rainer, Industrie-Elektronik Ges.m.b.H, A-5142, Austria, Europe - C:\BrAutomation\Pvi\Tools\PVITransfer\BrDiskImageSvc.exe

O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 6418 bytes

VOILA LES 3 RAPPORTS

pear · le 9 juillet 2008

Eh bien, j'aime mieux ça !

Télécharger SDFix (créé par AndyManchesta)

et le sauvegarder sur le Bureau.

Double cliquer sur SDFix.exe et choisir Install pour l'extraire

SDFix s'installe à la racine de la partition système (par défaut, Généralement C:). .

Redémarrer en mode sans échec

* Ouvrir le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clic sur RunThis.cmd pour lancer le script.

* Appuyer sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis demandera d'appuyer sur une touche pour redémarrer.

Si Sdfix ne se lance pas

1)Démarrer->Exécuter

Copiez/collez :

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

cliquez ok, et validez.

Redémarrez et essayez de nouveau de lancer Sdfix.

2)Si vous avez le message Cette commande a été désactivée par votre Administrateur

Appuyez sur une touche pour continuer:

Démarrer->Exécuter

Copiez/Collez

%systemdrive%\SDFix\apps\swreg IMPORT %systemdrive%\SDFix\apps\Enable_Command_Prompt.reg

Validez

Relancez Sdfix

* Le redémarrage sera plus lent qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuyer sur une touche pour finir l'exécution du script et charger les icônes du Bureau.

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Postez le rapport ici.

et un nouvel hijackthis, svp.

Connexion

Pas encore inscrit ?

Plein de pubs sur mon PC : infection ?

Messages recommandés

vpey

pear

vpey

pear

vpey

pear

vpey

pear

vpey

pear

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer