PC infecté svp vos avis

bastof · le 2 août 2008

Salut a tous,

Comme vous vous en doutez je me suis fait vérolé et je ne sais pas comment m'en sortir.

Tous mes log, spybot, Nod 32, AVG et Hijack qui etaient intalés sur mon PC ne démarrent plus. Je n'ai plus la possibilitè d'aficher les fichiers cachés (option plus présente dans affichage).

IL met plusieurs minutes a m'afficher la page de démarrage et si je veux le lancer en mode sans echec il reboot.

Je crois que je suis dans une belle mer.. et qu'un formatage s'impose mais avant j'attends vos avis

Merci

Thanos · le 2 août 2008

salut

Essaie ceci car nous avons besoin de rapports pour déterminer les malwares présents sur ton pc >>

Fais un clic droit ICI

Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > bastof
On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
Clique enfin sur le bouton Enregistrer en bas de page à droite.
Ferme toutes les applications en cours (fenêtres internet etc...)
Double-clique sur bastof.exe (DSS.exe) pour lancer le programme.
DSS va afficher un message et te proposer d'installer Hijackthis: clique sur OUI.
Un nouveau message va te demander de t'assurer que ton pare-feu (si tu en as un) accepte bien la connexion de bastof.exe (DSS.exe) à internet: clique sur OK et donne lui l'accès si tu reçois une alerte de ton pare-feu.
Lorsque le scan est terminé, deux fichiers texte vont s'ouvrir.
Poste le contenu du rapport nommé main.txt
Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner

Que fait DSS ? >

Il créé un point de restauration pour Windows Xp et Vista.
Il nettoie les fichiers temporaires, le contenu du dossier Downloaded Program Files, le cache internet,et vide aussi la corbeille sur tous les lecteurs.
Il contrôle quelques points névralgiques du système et produit un rapport à soumettre à un analyste.
DSS lance automatiquement HijackThis,si tu ne possèdes pas ce programme, il va l'installer et créer un raccourci sur le bureau.

Note: Tu dois possèder les droits administrateurs pour le lancer.

Essaie ceci et dis moi si ca marche.

J'imagine que tu as déjà tenté une restauration système ?

bastof · le 2 août 2008

Merci Thanos,

J'ai galèré parce que le log ne se lançait pas aprés les deux mèssages et si je ne répondais pas assez vite ils se refermaient. Bon mais aprés reboot et demarage direct de DSS c'est OK, pour le rapport voila le main.txt mais j'ai aussi un extra.txt s'il le faut dis moi le.

Pour ce qui est de la restauration système impossible d'avoir des dates antérieurs a l'infection (vendredi) alors que la restauration etait active auparavant. J'avais ce même jour lancé un scan en ligne avec trend micro qui m'avais trouvé troj-bagle.ao dans tempory internet files\content.ie5 et normalement supprimé.

Deckard's System Scanner v20071014.68

Run by Christophe on 2008-08-02 14:03:57

Computer is in Normal Mode.

--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 2 Restore Point(s) --

2: 2008-08-02 12:04:19 UTC - RP2 - Deckard's System Scanner Restore Point

1: 2008-08-02 11:35:03 UTC - RP1 - Point de vérification système

Backed up registry hives.

Performed disk cleanup.

-- HijackThis Clone ------------------------------------------------------------

Emulating logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2008-08-02 14:08:32

Platform: Windows XP Service Pack 2 (5.01.2600)

MSIE: Internet Explorer (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\system32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Nero\InCD\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDANTSRV.EXE

C:\WINDOWS\system32\gearsec.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Drive Image 7.0\Agent\PQV2iSvc.exe

C:\WINDOWS\system32\WFXSVC.EXE

C:\Program Files\DelFax\WFXMOD32.EXE

C:\WINDOWS\explorer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\OmniPageSE4.0\OpWareSE4.exe

C:\WINDOWS\system32\rundll32.exe

C:\Documents and Settings\Christophe\Bureau\bastof1.exe

C:\Program Files\Nero\InCD\InCD\InCD.exe

C:\Program Files\Acrobat 7.0\Distillr\acrotray.exe

C:\Program Files\Wanadoo\TaskBarIcon.exe

C:\Program Files\DelFax\WFXSWTCH.exe

C:\WINDOWS\system32\WFXSNT40.EXE

C:\Program Files\AVG Anti-Spyware 7.5\_avgas.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\maFwTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\Program Files\Microsoft ActiveSync\rapimgr.exe

C:\Program Files\Acrobat 7.0\Acrobat\acrobat_sl.exe

C:\Program Files\PowerDesk\pddlghlp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Wanadoo\SearchPageURL.dll

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\GoogleToolbar2.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\GoogleToolbar2.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Nero\InCD\InCD\InCD.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\DelFax\WFXSWTCH.exe

O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\_avgas.exe" /minimized

O4 - HKLM\..\Run: [winsesame_del] C:\Program Files\WinSesame\effaceur.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\MAFWTray.exe

O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Dialog Helper.lnk = C:\Program Files\PowerDesk\pddlghlp.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\network diagnostic\xpnetdiag.exe

O15 - Trusted Zone: https://www.secuser.com (HKCU)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shock...director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flash...t/ultrashim.cab

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{3307C230-D1B3-48CA-B596-158DCCED0958}: NameServer = 192.168.1.1

O17 - HKLM\SYSTEM\CCS\Services\Tcpip\..\{7FF89405-BF5B-46F4-8C6F-C7EA4E0BF8C8}: NameServer = 192.168.1.1

O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Folders\PKMCDO.DLL

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Fichiers communs\Microsoft Shared\Information Retrieval\msitss.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDANTSRV.EXE

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\system32\FTRTSVC.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\system32\gearsec.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\InCD\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\ESET\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\PERSFW.exe

O23 - Service: V2i Protector - PowerQuest Corporation - C:\Program Files\Drive Image 7.0\Agent\PQV2iSvc.exe

O23 - Service: DelrinaFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE

--

End of file - 12859 bytes

-- HijackThis Fixed Entries (C:\Program Files\Trend Micro\HijackThis\backups\) -

backup-20071228-101346-825 O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

backup-20071228-101346-908 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

-- File Associations -----------------------------------------------------------

All associations okay.

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 PQV2i - c:\windows\system32\drivers\pqv2i.sys <Not Verified; StorageCraft; V2i Protector>

R1 PQIMount - c:\windows\system32\drivers\pqimount.sys <Not Verified; PowerQuest Corporation; V2i Protector>

R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product>

R1 srosa (Megadrv3) - c:\windows\system32\drivers\srosa.sys

R2 taskmon - c:\program files\uice\taskmon.sys

R3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>

R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus® ASPI Shell>

S2 tmcomm - c:\windows\system32\drivers\tmcomm.sys (file missing)

S3 C-Dilla - c:\windows\system32\drivers\cdant.sys <Not Verified; Macrovision; Licence Management System>

S3 dcddrv - c:\program files\uice\devices\dcddrv.sys <Not Verified; MediaTexX; uICE>

S3 GMSIPCI - g:\install\gmsipci.sys (file missing)

S3 grmnusb - c:\windows\system32\drivers\grmnusb.sys <Not Verified; GARMIN Corp.; Garmin USB GPS>

S3 PCANDIS5 (PCANDIS5 NDIS Protocol Driver) - c:\windows\system32\pcandis5.sys <Not Verified; Printing Communications Assoc., Inc. (PCAUSA); PCAUSA Rawether for Windows>

S3 pcidrv - c:\program files\uice\devices\pcidrv.sys <Not Verified; ; PCI driver>

S3 SAA7146n (TT DVB-PCI driver (SAA7146n)) - c:\windows\system32\drivers\saa7146n.sys <Not Verified; TechnoTrend AG; TT-DVBsat PCI>

S3 SBExtigyIR - c:\windows\system32\drivers\sbextigy.sys <Not Verified; ; uICE>

S3 TTLOOPHE (Virtual DVB-S/-C/-T Network Adapter Driver) - c:\windows\system32\drivers\ttloophe.sys <Not Verified; TechnoTrend AG; TT-DVB PCI cards>

S3 wanatw (WAN Miniport (ATW)) - c:\windows\system32\drivers\wanatw4.sys (file missing)

S4 fwdrv (Kerio Personal Firewall Driver) - c:\windows\system32\drivers\fwdrv.sys

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 C-DillaSrv - c:\windows\system32\drivers\cdantsrv.exe <Not Verified; C-Dilla Ltd; CD-Secure/CD-Compress Windows NT>

R2 GEARSecurity - c:\windows\system32\gearsec.exe <Not Verified; GEAR Software; gearsec>

R2 O&O Defrag - c:\windows\system32\oodag.exe <Not Verified; O&O Software GmbH; O&O Defrag>

R2 V2i Protector - c:\program files\drive image 7.0\agent\pqv2isvc.exe <Not Verified; PowerQuest Corporation; V2i Protector>

R2 wfxsvc (DelrinaFax PRO) - c:\windows\system32\wfxsvc.exe <Not Verified; Symantec Corporation; Symantec WinFax PRO>

S2 a2free (a-squared Free Service) - "c:\program files\a-squared free\a2service.exe" <Not Verified; Emsi Software GmbH; a-squared>

S2 FTRTSVC (France Telecom Routing Table Service) - c:\windows\system32\ftrtsvc.exe <Not Verified; France Telecom; FTRTSVC NT Service>

S4 PersFw (Kerio Personal Firewall) - "c:\program files\kerio\persfw.exe" <Not Verified; Kerio Technologies; Kerio Personal Firewall>

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {36FC9E60-C465-11CF-8056-444553540000}

Description: Périphérique de stockage de masse USB

Device ID: USB\VID_0DB0&PID_6982\2002-78

Manufacturer: Périphérique de stockage USB compatible

Name: Périphérique de stockage de masse USB

PNP Device ID: USB\VID_0DB0&PID_6982\2002-78

Service: USBSTOR

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Carte Fast Ethernet PCI de base SiS 900

Device ID: PCI\VEN_1039&DEV_0900&SUBSYS_09001462&REV_91\3&61AAA01&0&20

Manufacturer: SiS

Name: Carte Fast Ethernet PCI de base SiS 900

PNP Device ID: PCI\VEN_1039&DEV_0900&SUBSYS_09001462&REV_91\3&61AAA01&0&20

Service: SISNIC

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Virtual DVB-S/-C/-T Network Adapter

Device ID: ROOT\NET\0001

Manufacturer: TechnoTrend AG

Name: Virtual DVB-S/-C/-T Network Adapter

PNP Device ID: ROOT\NET\0001

Service: TTLOOPHE

-- Files created between 2008-07-02 and 2008-08-02 -----------------------------

2008-08-01 18:07:17 0 d-------- C:\WINDOWS\AU_Temp

2008-07-29 18:13:22 21840 --a-----t C:\WINDOWS\system32\SIntfNT.dll

2008-07-29 18:13:22 17212 --a-----t C:\WINDOWS\system32\SIntf32.dll

2008-07-29 18:13:22 12067 --a-----t C:\WINDOWS\system32\SIntf16.dll

2008-07-27 12:15:14 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll <Not Verified; Sony DADC Austria AG.; >

2008-07-27 12:13:36 188416 --a------ C:\WINDOWS\system32\CP30FW.DLL

2008-07-27 12:13:29 0 d-------- C:\Program Files\Bayo

2008-07-26 13:20:05 74752 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic pour Windows>

2008-07-26 10:36:42 0 d-------- C:\Program Files\Microsoft Picture It! 7

2008-07-17 17:07:38 0 d-------- C:\Program Files\FrontDesign

2008-07-07 09:22:27 0 d-------- C:\Program Files\Icone

2008-07-07 09:22:26 0 d-------- C:\Program Files\LETMIN

2008-07-07 09:10:59 0 d-------- C:\Documents and Settings\Christophe\Application Data\Icone

-- Find3M Report ---------------------------------------------------------------

2008-08-02 14:05:32 0 d-------- C:\Program Files\Wanadoo

2008-08-02 14:03:58 0 d-------- C:\Documents and Settings\Christophe\Application Data\DMCache

2008-08-02 12:20:16 59768 --a------ C:\Documents and Settings\Christophe\Application Data\GDIPFONTCACHEV1.DAT

2008-08-02 09:35:09 0 d--h----- C:\Program Files\InstallShield Installation Information

2008-08-01 18:08:58 71749 --a------ C:\WINDOWS\hcextoutput.dll

2008-08-01 18:00:58 0 d-------- C:\Program Files\uICE

2008-08-01 17:58:02 0 d-------- C:\Program Files\PartitionMagic 8.0

2008-07-30 04:18:37 0 d-------- C:\Program Files\Opera Software

2008-07-30 04:13:04 0 d-------- C:\Program Files\Microsoft ActiveSync

2008-07-30 04:11:38 0 d-------- C:\Program Files\Fichiers communs

2008-07-29 17:13:30 495290 --a------ C:\WINDOWS\system32\perfh00C.dat

2008-07-29 17:13:30 78034 --a------ C:\WINDOWS\system32\perfc00C.dat

2008-07-07 21:30:48 0 d-------- C:\Program Files\Internet Download Manager

2008-07-07 17:53:56 0 d-------- C:\Documents and Settings\Christophe\Application Data\Copernic

2008-07-01 18:23:31 0 d-------- C:\Program Files\M-Audio

2008-07-01 18:23:28 0 d-------- C:\Documents and Settings\Christophe\Application Data\InstallShield

2008-07-01 18:08:19 0 d-------- C:\Program Files\M-Audio Firewire Family

2008-06-23 09:28:47 0 d-------- C:\Program Files\DelFax

2008-06-21 17:59:58 0 d-------- C:\Program Files\K!TV

2008-06-08 11:50:29 0 d-------- C:\Program Files\Microsoft Digital Image 10

2008-06-08 09:35:51 0 d-------- C:\Program Files\PoiEdit2007

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [15/08/2002 12:46 C:\WINDOWS\SOUNDMAN.EXE]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [29/10/2004 16:50]

"nwiz"="nwiz.exe" [29/10/2004 16:50 C:\WINDOWS\system32\nwiz.exe]

"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [23/08/2004 14:49]

"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [14/10/2004 16:55]

"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [28/09/2006 13:16]

"OpwareSE4"="C:\Program Files\OmniPageSE4.0\OpwareSE4.exe" [11/10/2006 12:45]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [29/10/2004 16:50]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22/02/2008 04:25]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [25/09/2005 19:11]

"InCD"="C:\Program Files\Nero\InCD\InCD\InCD.exe" [25/07/2005 12:01]

"Acrobat Assistant 7.0"="C:\Program Files\Acrobat 7.0\Distillr\Acrotray.exe" [14/12/2004 02:12]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [02/08/2008 14:04]

"WFXSwtch"="C:\PROGRA~1\DelFax\WFXSWTCH.exe" [11/09/2001 11:06]

"WinFaxAppPortStarter"="wfxsnt40.exe" [28/09/2001 13:39 C:\WINDOWS\system32\WFXSNT40.EXE]

"!AVG Anti-Spyware"="C:\Program Files\AVG Anti-Spyware 7.5\_avgas.exe" [03/02/2008 10:30]

"winsesame_del"="C:\Program Files\WinSesame\effaceur.exe" []

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [27/03/2008 08:35]

"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []

"M-Audio Taskbar Icon"="C:\WINDOWS\System32\MAFWTray.exe" [03/03/2008 16:43]

"MAFWTaskbarApp"="C:\WINDOWS\system32\MAFWTray.exe" [03/03/2008 16:43]

"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [18/07/2002 18:36]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [23/08/2004 14:50]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 16:09]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [13/09/2006 07:01]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [25/09/2005 19:11]

"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [06/10/2007 16:29]

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [13/11/2006 15:07]

C:\Documents and Settings\Christophe\Menu D‚marrer\Programmes\D‚marrage\

Dialog Helper.lnk - C:\Program Files\PowerDesk\pddlghlp.exe [02/08/2004 17:55:12]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [13/08/2007 18:02:02]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [17/02/1999 22:05:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= C:\Program Files\DelFax\WfxSeh32.Dll [27/07/1998 08:54 38400]

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"

-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

8325 more entries in hosts file.

-- End of Deckard's System Scanner: finished at 2008-08-02 14:09:22 ------------

Modifié le 2 août 2008 par bastof

Thanos · le 2 août 2008

salut

Le pc est effectivement infecté par Bagle! Ce malware s'attaque aux protections en place (antivirus/firewall) mais il détruit aussi les clés de registre liées au mode sans échec (ce qui explique pourquoi tu ne peux pas démarrer en mode sans échec).

Nous allons utiliser le programme suivant pour t'en débarrasser >>

Fais un clic droit ICI

Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > bastof1
Attention: n'enregistre surtout pas le fichier sous le nom ComboFix.exe car Bagle n'en ferait qu'une bouchée!!
On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
Clique enfin sur le bouton Enregistrer en bas de page à droite.
Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur bastof1.exe.
Clique sur Oui au message de Limitation de Garantie qui s'affiche.
Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

J'avais ce même jour lancé un scan en ligne avec trend micro qui m'avais trouvé troj-bagle.ao dans tempory internet files\content.ie5 et normalement supprimé.

j'aimerai aussi que tu refasses un scan en ligne après ca parce qu'il est important de tout éliminer >>

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

Fais un scan en ligne Kaspersky
Clique sur Accept
Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
clique une nouvelle fois sur "Accept"
Les bases de mises à jour vont s'installer, patiente un moment
Clique sur Next.
Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle la totalité du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Colle ce rapport dans ta réponse sur le forum.

Aide en cas de problème :Cybersécurité

NOTE: Le scan est à faire avec Internet Explorer.

Poste ces deux rapports stp

Modifié le 2 août 2008 par Thanos

bastof · le 3 août 2008

Salut,

Merci de ton aide, je te post les deux rapports

ComboFix 08-08-01.05 - Christophe 2008-08-03 10:41:06.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.713 [GMT 2:00]

* Création d'un nouveau point de restauration

* Resident AV is active

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Christophe\Application Data\inst.exe

C:\WINDOWS\system32\ban_list.txt

C:\WINDOWS\system32\drivers\downld

C:\WINDOWS\system32\drivers\downld\133515.exe

C:\WINDOWS\system32\drivers\downld\138125.exe

C:\WINDOWS\system32\drivers\downld\142781.exe

C:\WINDOWS\system32\drivers\downld\147218.exe

C:\WINDOWS\system32\drivers\downld\154171.exe

C:\WINDOWS\system32\drivers\downld\162015.exe

C:\WINDOWS\system32\drivers\downld\171218.exe

C:\WINDOWS\system32\drivers\downld\174125.exe

C:\WINDOWS\system32\drivers\downld\175750.exe

C:\WINDOWS\system32\drivers\downld\180171.exe

C:\WINDOWS\system32\drivers\downld\187359.exe

C:\WINDOWS\system32\drivers\downld\192812.exe

C:\WINDOWS\system32\drivers\downld\196843.exe

C:\WINDOWS\system32\drivers\downld\20601109.exe

C:\WINDOWS\system32\drivers\downld\20612031.exe

C:\WINDOWS\system32\drivers\downld\20626750.exe

C:\WINDOWS\system32\drivers\downld\20629078.exe

C:\WINDOWS\system32\drivers\downld\20640421.exe

C:\WINDOWS\system32\drivers\downld\20665593.exe

C:\WINDOWS\system32\drivers\downld\20760406.exe

C:\WINDOWS\system32\drivers\downld\208078.exe

C:\WINDOWS\system32\drivers\downld\20826218.exe

C:\WINDOWS\system32\drivers\downld\212078.exe

C:\WINDOWS\system32\drivers\downld\212875.exe

C:\WINDOWS\system32\drivers\downld\2766546.exe

C:\WINDOWS\system32\drivers\downld\2770406.exe

C:\WINDOWS\system32\drivers\downld\2780078.exe

C:\WINDOWS\system32\drivers\downld\2791015.exe

C:\WINDOWS\system32\drivers\downld\2797328.exe

C:\WINDOWS\system32\drivers\downld\309296.exe

C:\WINDOWS\system32\drivers\downld\320437.exe

C:\WINDOWS\system32\drivers\downld\327312.exe

C:\WINDOWS\system32\drivers\downld\345625.exe

C:\WINDOWS\system32\drivers\downld\35247718.exe

C:\WINDOWS\system32\drivers\downld\35257796.exe

C:\WINDOWS\system32\drivers\downld\35261562.exe

C:\WINDOWS\system32\drivers\downld\35271234.exe

C:\WINDOWS\system32\drivers\downld\35311140.exe

C:\WINDOWS\system32\drivers\downld\35398906.exe

C:\WINDOWS\system32\drivers\downld\35418671.exe

C:\WINDOWS\system32\drivers\downld\49828718.exe

C:\WINDOWS\system32\drivers\downld\49831406.exe

C:\WINDOWS\system32\drivers\downld\49841000.exe

C:\WINDOWS\system32\drivers\downld\49851828.exe

C:\WINDOWS\system32\drivers\downld\49866265.exe

C:\WINDOWS\system32\drivers\downld\49880093.exe

C:\WINDOWS\system32\drivers\downld\49888265.exe

C:\WINDOWS\system32\drivers\downld\49971968.exe

C:\WINDOWS\system32\drivers\downld\49994421.exe

C:\WINDOWS\system32\drivers\downld\518265.exe

C:\WINDOWS\system32\drivers\downld\5193781.exe

C:\WINDOWS\system32\drivers\downld\5195343.exe

C:\WINDOWS\system32\drivers\downld\5202625.exe

C:\WINDOWS\system32\drivers\downld\521156.exe

C:\WINDOWS\system32\drivers\downld\5214781.exe

C:\WINDOWS\system32\drivers\downld\5223437.exe

C:\WINDOWS\system32\drivers\downld\5229750.exe

C:\WINDOWS\system32\drivers\downld\5293296.exe

C:\WINDOWS\system32\drivers\downld\529859.exe

C:\WINDOWS\system32\drivers\downld\5303046.exe

C:\WINDOWS\system32\drivers\downld\5316890.exe

C:\WINDOWS\system32\drivers\downld\5332578.exe

C:\WINDOWS\system32\drivers\downld\5338343.exe

C:\WINDOWS\system32\drivers\downld\5350531.exe

C:\WINDOWS\system32\drivers\downld\5357281.exe

C:\WINDOWS\system32\drivers\downld\539125.exe

C:\WINDOWS\system32\drivers\downld\5451906.exe

C:\WINDOWS\system32\drivers\downld\5469718.exe

C:\WINDOWS\system32\drivers\downld\5539625.exe

C:\WINDOWS\system32\drivers\downld\5543687.exe

C:\WINDOWS\system32\drivers\downld\5552593.exe

C:\WINDOWS\system32\drivers\downld\556031.exe

C:\WINDOWS\system32\drivers\downld\5562125.exe

C:\WINDOWS\system32\drivers\downld\5569234.exe

C:\WINDOWS\system32\drivers\downld\5659828.exe

C:\WINDOWS\system32\drivers\downld\5670750.exe

C:\WINDOWS\system32\drivers\downld\5766734.exe

C:\WINDOWS\system32\drivers\downld\5777968.exe

C:\WINDOWS\system32\drivers\downld\5792421.exe

C:\WINDOWS\system32\drivers\downld\5802343.exe

C:\WINDOWS\system32\drivers\downld\5866437.exe

C:\WINDOWS\system32\drivers\downld\5877093.exe

C:\WINDOWS\system32\drivers\downld\5888781.exe

C:\WINDOWS\system32\drivers\downld\5894093.exe

C:\WINDOWS\system32\drivers\downld\5905640.exe

C:\WINDOWS\system32\drivers\downld\5933859.exe

C:\WINDOWS\system32\drivers\downld\6078390.exe

C:\WINDOWS\system32\drivers\downld\6181515.exe

C:\WINDOWS\system32\drivers\downld\618390.exe

C:\WINDOWS\system32\drivers\downld\626640.exe

C:\WINDOWS\system32\drivers\downld\636718.exe

C:\WINDOWS\system32\drivers\downld\651296.exe

C:\WINDOWS\system32\drivers\downld\654921.exe

C:\WINDOWS\system32\drivers\downld\677843.exe

C:\WINDOWS\system32\drivers\downld\682656.exe

C:\WINDOWS\system32\drivers\downld\779375.exe

C:\WINDOWS\system32\drivers\downld\797687.exe

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\drivers\mdelk.exe

C:\WINDOWS\system32\drivers\srosa.sys

C:\WINDOWS\system32\mdelk.exe

C:\WINDOWS\system32\wintems.exe

.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-03 to 2008-08-03 ))))))))))))))))))))))))))))))))))))

.

2008-08-02 13:32 . 2008-08-02 13:32 <REP> d-------- C:\Deckard

2008-08-01 18:09 . 2008-08-01 18:08 26,136,177 --a------ C:\WINDOWS\LPT$VPN.449

2008-08-01 18:08 . 2008-08-01 18:08 26,136,177 --a------ C:\WINDOWS\VPTNFILE.449

2008-08-01 18:07 . 2008-08-01 18:09 <REP> d-------- C:\WINDOWS\AU_Temp

2008-07-29 18:13 . 2008-07-29 19:00 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll

2008-07-29 18:13 . 2008-07-29 19:00 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll

2008-07-29 18:13 . 2008-07-29 19:00 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll

2008-07-27 12:15 . 2008-07-27 12:15 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-07-27 12:13 . 2008-07-30 04:11 <REP> d-------- C:\Program Files\Bayo

2008-07-27 12:13 . 2002-01-13 18:12 188,416 --a------ C:\WINDOWS\system32\CP30FW.DLL

2008-07-26 13:20 . 2005-07-27 09:41 2,750,447 --------- C:\WINDOWS\Tci.CAB

2008-07-26 13:20 . 2008-07-26 13:20 253,952 --------- C:\WINDOWS\Setup1.exe

2008-07-26 13:20 . 2008-07-26 13:20 74,752 --a------ C:\WINDOWS\ST6UNST.EXE

2008-07-26 10:36 . 2008-07-26 13:23 <REP> d-------- C:\Program Files\Microsoft Picture It! 7

2008-07-17 17:07 . 2008-07-21 20:00 <REP> d-------- C:\Program Files\FrontDesign

2008-07-07 09:22 . 2008-07-07 09:22 <REP> d-------- C:\Program Files\LETMIN

2008-07-07 09:22 . 2008-07-07 09:22 <REP> d-------- C:\Program Files\Icone

2008-07-07 09:10 . 2008-07-07 09:10 <REP> d-------- C:\Documents and Settings\Christophe\Application Data\Icone

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-02 12:55 --------- d-----w C:\Documents and Settings\Christophe\Application Data\DMCache

2008-08-02 12:05 --------- d-----w C:\Program Files\Wanadoo

2008-08-02 12:00 --------- d-----w C:\Program Files\Spybot - Search & Destroy

2008-08-02 11:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-08-02 10:20 59,768 ----a-w C:\Documents and Settings\Christophe\Application Data\GDIPFONTCACHEV1.DAT

2008-08-02 07:35 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-08-01 16:09 333,576 ----a-w C:\WINDOWS\tsc.exe

2008-08-01 16:08 91,744 ----a-w C:\WINDOWS\BPMNT.dll

2008-08-01 16:08 71,749 ----a-w C:\WINDOWS\hcextoutput.dll

2008-08-01 16:08 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll

2008-08-01 16:00 --------- d-----w C:\Program Files\uICE

2008-08-01 15:58 --------- d-----w C:\Program Files\PartitionMagic 8.0

2008-07-30 02:18 --------- d-----w C:\Program Files\Opera Software

2008-07-30 02:13 --------- d-----w C:\Program Files\Microsoft ActiveSync

2008-07-19 06:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\nView_Profiles

2008-07-07 19:30 --------- d-----w C:\Program Files\Internet Download Manager

2008-07-07 15:53 --------- d-----w C:\Documents and Settings\Christophe\Application Data\Copernic

2008-07-01 16:23 --------- d-----w C:\Program Files\M-Audio

2008-07-01 16:23 --------- d-----w C:\Documents and Settings\Christophe\Application Data\InstallShield

2008-07-01 16:08 --------- d-----w C:\Program Files\M-Audio Firewire Family

2008-06-23 07:28 --------- d-----w C:\Program Files\DelFax

2008-06-21 15:59 --------- d-----w C:\Program Files\K!TV

2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-08 09:50 --------- d-----w C:\Program Files\Microsoft Digital Image 10

2008-06-08 07:35 --------- d-----w C:\Program Files\PoiEdit2007

2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll

2008-02-03 14:11 47,360 ----a-w C:\Documents and Settings\Christophe\Application Data\pcouffin.sys

2007-05-25 15:19 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 14:50 122880]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2006-09-13 07:01 720904]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-09-25 19:11 94208]

"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2007-10-06 16:29 880896]

"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 15:07 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 16:50 4620288]

"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]

"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]

"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 13:16 185896]

"OpwareSE4"="C:\Program Files\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 12:45 75304]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 16:50 86016]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 19:11 155648]

"InCD"="C:\Program Files\Nero\InCD\InCD\InCD.exe" [2005-07-25 12:01 1397760]

"Acrobat Assistant 7.0"="C:\Program Files\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-08-02 14:04 949376]

"WFXSwtch"="C:\PROGRA~1\DelFax\WFXSWTCH.exe" [2001-09-11 11:06 27648]

"!AVG Anti-Spyware"="C:\Program Files\AVG Anti-Spyware 7.5\_avgas.exe" [2008-02-03 10:30 6731312]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-03-27 08:35 36352]

"M-Audio Taskbar Icon"="C:\WINDOWS\System32\MAFWTray.exe" [2008-03-03 16:43 252424]

"MAFWTaskbarApp"="C:\WINDOWS\system32\MAFWTray.exe" [2008-03-03 16:43 252424]

"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-18 18:36 28672]

"SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE]

"nwiz"="nwiz.exe" [2004-10-29 16:50 921600 C:\WINDOWS\system32\nwiz.exe]

"WinFaxAppPortStarter"="wfxsnt40.exe" [2001-09-28 13:39 45568 C:\WINDOWS\system32\WFXSNT40.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

C:\Documents and Settings\Christophe\Menu D‚marrer\Programmes\D‚marrage\

Dialog Helper.lnk - C:\Program Files\PowerDesk\pddlghlp.exe [2004-08-02 17:55:12 40960]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Lancement rapide d'Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2007-08-13 18:02:02 25214]

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{A213B520-C6C2-11d0-AF9D-008029E1027E}"= "C:\Program Files\DelFax\WfxSeh32.Dll" [1998-07-27 08:54 38400]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\eMule\\emule.exe"=

"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"= C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"= C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"= C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Excel Password Recovery\\ExcelPasswordRecovery.exe"=

"C:\\Program Files\\Kerio\\PERSFW.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 PQV2i;PQV2i;C:\WINDOWS\system32\drivers\PQV2i.sys [2003-06-03 15:52]

R1 PQIMount;PQIMount;C:\WINDOWS\system32\drivers\PQIMount.sys [2003-06-03 15:52]

R2 taskmon;taskmon;C:\Program Files\uICE\taskmon.sys [2002-11-16 19:57]

R2 wfxsvc;DelrinaFax PRO;C:\WINDOWS\system32\WFXSVC.EXE [2000-05-15 16:37]

R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 14:14]

R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 14:15]

R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

S3 dcddrv;dcddrv;C:\Program Files\uICE\devices\dcddrv.sys [2002-11-16 20:13]

S3 MAFW;%FW.SvcDesc%;C:\WINDOWS\system32\DRIVERS\mafw.sys [2008-03-03 16:43]

S3 SAA7146n;TT DVB-PCI driver (SAA7146n);C:\WINDOWS\system32\DRIVERS\saa7146n.sys [2004-09-13 10:13]

S3 SBExtigyIR;SBExtigyIR;C:\WINDOWS\system32\drivers\sbextigy.sys [2002-11-17 19:35]

S3 TTLOOPHE;Virtual DVB-S/-C/-T Network Adapter Driver;C:\WINDOWS\system32\DRIVERS\ttloophe.sys [2004-11-08 18:44]

S4 fwdrv;Kerio Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys [2002-04-15 12:28]

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

- - - - ORPHANS REMOVED - - - -

HKLM-Run-winsesame_del - C:\Program Files\WinSesame\effaceur.exe

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Christophe\Application Data\Mozilla\Firefox\Profiles\0i7qt1n7.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-03 10:44:21

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

--------------------- DLLs a chargé sous des processus courants ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe

-> C:\Program Files\Eset\pr_imon.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Nero\InCD\InCD\InCDsrv.exe

C:\WINDOWS\system32\drivers\CDANTSRV.EXE

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Drive Image 7.0\Agent\PQV2iSvc.exe

C:\Program Files\DelFax\WFXMOD32.EXE

.

**************************************************************************

.

Temps d'accomplissement: 2008-08-03 10:45:59 - machine was rebooted

ComboFix-quarantined-files.txt 2008-08-03 08:45:57

Pre-Run: 22,461,243,392 octets libres

Post-Run: 22,731,153,408 octets libres

280 --- E O F --- 2008-07-10 01:00:32

________________________________________________________________________________

_____________________________________________________________

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, August 3, 2008

Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Sunday, August 03, 2008 08:55:11

Records in database: 1047736

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

C:\

D:\

E:\

F:\

G:\

H:\

I:\

M:\

Scan statistics:

Files scanned: 70483

Threat name: 10

Infected objects: 30

Suspicious objects: 0

Duration of the scan: 01:31:17

File name / Threat name / Threats count

C:\Program Files\eMule\Temp\013.part Infected: P2P-Worm.Win32.Kapucen.ac 1

C:\Program Files\ESET\infected\1HDRQ2CA.NQF Infected: Virus.Win32.Sality.l 1

C:\Program Files\ESET\infected\FQ5PKECA.NQF Infected: not-a-virus:FraudTool.Win32.VirusProtectPro.u 1

C:\Program Files\ESET\infected\H1RC4HDA.NQF Infected: P2P-Worm.Win32.Kapucen.b 1

C:\Program Files\ESET\infected\PADQXYCA.NQF Infected: P2P-Worm.Win32.Kapucen.b 1

C:\Program Files\ESET\infected\PRBBEIDA.NQF Infected: P2P-Worm.Win32.Kapucen.b 1

C:\Program Files\ESET\infected\QCGCO3BA.NQF Infected: Email-Worm.Win32.Drefir.e 1

C:\Program Files\ESET\infected\QG42AODA.NQF Infected: P2P-Worm.Win32.Kapucen.b 1

C:\Program Files\ESET\infected\TFMCSACA.NQF Infected: not-a-virus:Downloader.Win32.WinFixer.au 1

C:\Program Files\ESET\infected\WOA5SMCA.NQF Infected: not-a-virus:AdWare.Win32.E404.o 1

C:\Program Files\ESET\infected\XNAVSNDA.NQF Infected: P2P-Worm.Win32.Kapucen.ac 1

C:\Program Files\ESET\infected\YFMWRZCA.NQF Infected: P2P-Worm.Win32.Kapucen.b 1

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe Infected: Trojan-Downloader.Win32.Bagle.we 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\133515.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\171218.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\175750.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\2791015.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\35257796.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\49851828.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\5316890.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\539125.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\5562125.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\5792421.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\5888781.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\downld\636718.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\hldrrr.exe.vir Infected: Trojan-Downloader.Win32.Bagle.we 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\mdelk.exe.vir Infected: Trojan-Downloader.Win32.Bagle.we 1

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\srosa.sys.vir Infected: Trojan-Downloader.Win32.Bagle.vj 1

C:\QooBox\Quarantine\C\WINDOWS\system32\mdelk.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

C:\QooBox\Quarantine\C\WINDOWS\system32\wintems.exe.vir Infected: Email-Worm.Win32.Bagle.of 1

The selected area was scanned.

Thanos · le 3 août 2008

salut

C'est déjà beaucoup mieux

Le scan en ligne montre bien que Bagle a infecté un programme légitime afin de se lancer automatiquement au démarrage. Nous allons nous en occuper.

Il y a aussi ceci qui est mis en évidence par Kaspersky....>>

C:\Program Files\eMule\Temp\013.part Infected: P2P-Worm.Win32.Kapucen.ac 1

Comme tu peux le voir, le pc a été infecté en partie via eMule!

Ce qui suit n'est pas pour faire la morale, mais vise plutôt à te faire prendre conscience des risques liés à l'utilisation de ce type de programmes.

Fais gaffe avec l'utilisation des logiciels P2P!! ce sont les principaux vecteurs d'infection avec les craks/keygens etc...! Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/prevention-le-p2p-...ces-t85544.html

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir... est ce que ca vaut le coup de risquer une grosse infection(et mettre tes données en peril)? La plupart des logiciels payants ont un équivalent en freeware.

*******

Il va falloir réinstaller les protections sur ton pc bastof, parce qu'elles ne fonctionnent plus au vu de tes rapports.

1°) Commence par désinstaller les programmes suivants en passant par le Menu Démarrer > Panneau de Configuration > Ajouter/Supprimer des Programmes et désinstalle >>>

Google

Kerio Personal Firewall

NOD32 Antivirus

Elimine ensuite le dossier > C:\Program Files\Google

Vide ce dossier > C:\Program Files\eMule\Temp

(je te conseillerais même de désinstaller l'application...)

On désinstalle ComboFix comme ceci >>

Passe maintenant par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

2°) Démarre Hijackthis depuis son icône que tu trouveras ici > C:\Program Files\Trend Micro\HijackThis.

Clique sur "Do a system scan only", et coche les lignes suivantes :

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

-Ferme tous les programmes et clique sur "Fix Checked"

3°) Il faut réinstaller les protections.

As tu acheté NOD32 Antivirus, ou s'agit 'il de la version d'évaluation ?

S'il s'agit d'une version d'évaluation, je te propose (mais il n'y a aucune obligation!) d'installer Antivir à la place.

Si tu décides d'installer Antivir procède ainsi >

-Télécharge Antivir sur le bureau, mais ne le lance pas encore!

-Télécharge aussi Kério (par ex) et met le de côté.

-Installe Antivir et Kério

-Met Antivir à jour et configure le en suivant les indications du Tutoriel de tesgaz

-Télécharge ATF Cleaner by Atribune sur ton bureau.

Ce programme va nous permettre de nettoyer ton pc des fichiers inutiles.

4°) On va scanner ton pc avec Antivir en mode sans échec

Le mode sans échec est réparé normalement, aussi, on va finir le nettoyage avec Antivir >>

Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
Choisis ton compte usuel, et non Administrateur.
>> En images ici<<

5°) Scan du pc.

a) Double-clique sur ATF Cleaner afin de lancer le programme.

Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

b) Lance Antivir depuis son icône.

Pour démarrer un scan, il suffit de cliquer sur l'onglet Scanner
Choisis les éléments à scanner > choisis Local Drivers
Clique sur l'icône pour démarrer le scan.
Lorsqu'une infection est détectée, clique sur le bouton Move to quarantine puis coche la case Apply selection to all following detections > cilque sur [ok] pour valider.
Une fois le scan terminé, clique sur le bouton report > un rapport va être créé : enregistre le sur le bureau.

6°) Poste les rapports suivants stp >>

- Le rapport d'Antivir

- Un nouveau rapport fait avec DSS (Bastof.exe sur ton Bureau) et poste les rapports main.txt et extra.txt

Attention:

Je vois que tu utillises Drive Image 7.0. Je te conseille vivement d'éliminer les images disque précédentes pour ne pas réinstaller un système infecté en cas de problème!

Tu pourras refaire une image propre une fois le pc sain.

Courage

Modifié le 3 août 2008 par Thanos

bastof · le 3 août 2008

Concernant Hijackthis mon PC me dit que ce n'est une application win32 valide, je le désinstalle et réinstalle ?

Nod 32 est un logiciel que j'ai acheté donc pas une version d'évaluation, pour le scan en mode sans echec je le fais avec ou faut il quand même que j'installe et utilise Antivir ?

Et dernière question pour la desinstalation complète de Nod32 il faut que je reboot, est ce un problème ?

Sinon, j'aviais aussi posté sur ABC de la sécurité, où JokuHech m'avais répondu et je lui avais dit que tu avais pris mon problème en main. D'ailleurs il te passe le bonjour, et il m'a dit de te dire qu'il m'avais fait récupérer deux fichiers sur le site :1 reg SafeBoot et RHosts de S!Ri.

J'attends tes instructions concernant ces deux fichiers si tu décide que je m'en serve et les réponses aux différentes questions.

Modifié le 3 août 2008 par bastof

Thanos · le 3 août 2008

Re!

Concernant Hijackthis mon PC me dit que ce n'est une application win32 valide, je le désinstalle et réinstalle ?

Oui stp.

Nod 32 est un logiciel que j'ai acheté donc pas une version d'évaluation, pour le scan en mode sans echec je le fais avec ou faut il quand même que j'installe et utilise Antivir ?

Ok: si tu as la version payante de Nod 32, laisse tomber Antivir!

Ce que je te propose, c'est de lancer un scan avec un autre programme à la place (il n'interfèrera pas avec Nod32 une fois que tu l'auras réinstallé).

Je te remet ci-dessous ma procédure mais je la modifie pour prendre en compte le fait que tu conserves Nod32

Sinon, j'aviais aussi posté sur ABC de la sécurité, où JokuHech m'avais répondu et je lui avais dit que tu avais pris mon problème en main. D'ailleurs il te passe le bonjour, et il m'a dit de te dire qu'il m'avais fait récupérer deux fichiers sur le site :1 reg SafeBoot et RHosts de S!Ri.

Le reg SafeBoot ne devrait pas nous servir car ComboFix a réparé les clés de registre Safeboot. Ce qui signifie que tu peux à présent utiliser le mode sans échec sans souci.

Passe le bonjour à JokuHech au passage si tu en à l'occasion

J'attends tes instructions concernant ces deux fichiers si tu décide que je m'en serve et les réponses aux différentes questions.

Je te poste la procédure modifiée dans quelques instants....

Modifié le 3 août 2008 par Thanos

Thanos · le 3 août 2008

1°) Commence par désinstaller les programmes suivants en passant par le Menu Démarrer > Panneau de Configuration > Ajouter/Supprimer des Programmes et désinstalle >>>

Google

Kerio Personal Firewall

NOD32 Antivirus

Hijackthis

Elimine ensuite le dossier > C:\Program Files\Google

Vide ce dossier > C:\Program Files\eMule\Temp

(je te conseillerais même de désinstaller l'application...)

On désinstalle ComboFix comme ceci >>

Passe maintenant par le Menu Démarrer > Exécuter > et tape ceci > ComboFix /u (il ya un espace entre x et / )

Une fenêtre va s'ouvrir et ComboFix sera désinstallé de ton pc.

2°) Clique ICI pour télécharger le fichier d'installation d'HijackThis :

Enregistre HJTInstall.exe sur ton bureau
Double-clique sur HJTInstall.exe pour lancer le programme
Par défaut, il s'installera là || C:\Program Files\Trend Micro\HijackThis
Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan only" et coche les cases suivantes >>

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

Ferme tous les programmes et clique sur "Fix Checked"

3°) Il faut réinstaller les protections.

Réinstalle NOD32 Antivirus, ainsi que Kério

-Télécharge ATF Cleaner by Atribune sur ton bureau.

Ce programme va nous permettre de nettoyer ton pc des fichiers inutiles.

-Télécharge Malwarebytes' Anti-Malware en cliquant sur cette image:

Installe-le puis lance-le
Connecte tes clés USB et disques externes.
Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Quitte le programme.

4°) Redémarre le PC, impérativement en mode sans échec.

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionne "Mode sans échec" et appuie sur la touche [Entrée].
Choisis ton compte usuel, et non Administrateur.
>> En images ici<<

5°) Double-clique sur ATF Cleaner afin de lancer le programme.

Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Clique Exit, du menu prinicipal, afin de fermer le programme.

6°) Scan avec MBAM >>

Lance Malwarebytes' Anti-Malware
Rend-toi dans l'onglet "Recherche"
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
Le scan se lance
A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Sauvegarde ce rapport sur le Bureau puis quitte le programme.

7°) Poste les rapports suivants stp >>

- Le rapport MBAM

- Un nouveau rapport fait avec DSS (Bastof.exe sur ton Bureau) et poste les rapports main.txt et extra.txt

Note: tu peux copier/coller les instructions concernant le scan avec MBAM en mode sans échec dans un fichier texte pour pouvoir les consulter car tu n'auras pas accès à internet.

Attention:

Je vois que tu utillises Drive Image 7.0. Je te conseille vivement d'éliminer les images disque précédentes pour ne pas réinstaller un système infecté en cas de problème!

Tu pourras refaire une image propre une fois le pc sain.

Courage

Modifié le 3 août 2008 par Thanos

bastof · le 4 août 2008

Salut Thanos,

Pour les divers désinstal réinstal j'etais obligé de faire un nouveau combofix avant le démarage en mode sans echec car j'avais une page qui s'ouvrait automatiquement me demandant ou été le fichier a cracker (alors que je ne lui ai pas demandé de cracker quoi que ce soit) et me rebootait le PC. A la base j'avais lancé un setup qui m'avais ouvert cette même fenêtre avant l'infection, pourtant je l'avais scanné mais avec il y avait un fichier.info que j'ai ouvert aprés et il etait avec plein de codes hiéroglyphes.

Sinon pour le scan avec Malwarebytes' Anti-Malware, il n'a rien trouvé. Je te poste les rapports par contre DSS ne m'a pas proposé ce coup ci le Extra.txt...

Pour ce qui de mes images de sauvegarde je suis sur qu'elles sont saines et je crois que je vais finir par formater par ce que le PC mais trois jours a démarré ce qu'il ne faisait pas avant, enfin on verra une fois qu'il serra propre...

Malwarebytes' Anti-Malware 1.24

Version de la base de données: 1023

Windows 5.1.2600 Service Pack 2

17:14:01 04/08/2008

mbam-log-8-4-2008 (17-14-01).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|J:\|N:\|O:\|P:\|Q:\|R:\|)

Eléments examinés: 104606

Temps écoulé: 23 minute(s), 6 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):