spyware antivirus 2008/virus alert ! Besoin d'aide (RESOLU)

u44 · le 6 août 2008

Bonjour,

Comme d'autres personnes avant moi, je pense avoir attrapé un spyware sur mon ordi ! Il s'agit apparemment d'un problème bien connu (comme j'ai pu m'en rendre compte en lisant les différencs topics à ce sujet!)

J'ai la petite icone VIRUS ALERT ! en bas à côté de l'horloge, un "programme" qui se nomme ANTIVIRUS 2008 s'est installé et je n'ai plus accès à de nombreux programmes du menu démarrer.

En fait, le problème ressemblerait au problème exposé par Sandy hier sur ce topic :

http://forum.zebulon.fr/virus-alert-dans-l...he-t148902.html

J'ai effectué un "nettoyage" avec spybot qui me dit avoir corrigé les problèmes, mais j'ai toujours les anormalités décrites plus haut. N'étant pas une pro de l'informatique, je compte sur votre efficacité pour m'aider à résoudre ce problème ! Merci d'être indulgent et de bien vouloir m'expliquer étape par étape ! J'ai vraiment besoin de vous ! Merci d'avance !

Modifié le 6 août 2008 par u44

Falkra · le 6 août 2008

Bonjourj, chaque procédure est pour une machine, si tu as des infections différentes ou en plus, ça ne passera pas.

Spybot laisse souvent des restes derrière lui et ne finit pas le boulot.

Poste un rapport HijackThis dans ta prochaine réponse stp.

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

Double-clique sur l'icône HijackThis :

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

u44 · le 6 août 2008

Bonjourj, chaque procédure est pour une machine, si tu as des infections différentes ou en plus, ça ne passera pas.
Spybot laisse souvent des restes derrière lui et ne finit pas le boulot.

Poste un rapport HijackThis dans ta prochaine réponse stp.

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

Double-clique sur l'icône HijackThis :

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

Merci Falkra pour ta rapidité !

Voici mon rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:39: VIRUS ALERT!, on 06/08/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\RamBoost XP\rambxpfr.exe

C:\Program Files\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\utility.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\gael\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://antivir--2008.com/buy.php?aff=1001

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: run="C:\Documents and Settings\gael\Application Data\Adobe\Manager.exe"

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: bgrqfetx - {C70BCB6B-51D7-40FE-8A88-CD5FA0088646} - C:\WINDOWS\bgrqfetx.dll (file missing)

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9

O4 - HKCU\..\Run: [Antivirus-2008.exe] C:\Program Files\Antivirus 2008\Antivirus-2008.exe

O4 - HKCU\..\Run: [RamBoostXp] C:\Program Files\RamBoost XP\rambxpfr.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration Utility.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1217020921389

O17 - HKLM\System\CCS\Services\Tcpip\..\{39C04F3C-F1A8-44F8-BC62-07A9A3706969}: NameServer = 212.27.32.176,212.27.32.177

O17 - HKLM\System\CCS\Services\Tcpip\..\{FFC1FC64-CC3B-435F-A6ED-B1D1F3E93F52}: NameServer = 212.27.53.252,212.27.54.252

O21 - SSODL: tfnslopk - {DCF84704-79EE-431C-B4E5-CC98A99C130C} - C:\WINDOWS\tfnslopk.dll (file missing)

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--

End of file - 6278 bytes

Merci pour la suite !

Falkra · le 6 août 2008

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection.

A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" .

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.
Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

u44 · le 6 août 2008

Désactive TeaTimer dans spybot dès maintenant, ça peut empêcher la désinfection.
A faire en passant par les options de Spybot: il faut aller dans le menu "Mode"=> coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" .

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.

Double-clique combofix.exe afin de l'exécuter.

Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.

Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.

Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.

Lorsque l'analyse sera terminée, un rapport apparaîtra.

Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Ca y est ! J'ai suivi tes instructions Falkra ! Juste une question : J'ai un message WINDOWS : RESTAURATION AKTIVE DESKTOP - Je réponds Oui pour restaurer ou pas ?

Voici mon rapport combofix :

ComboFix 08-08-04.09 - gael 2008-08-06 10:57:39.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.282 [GMT 2:00]

Endroit: C:\Documents and Settings\gael\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

* Resident AV is active

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\Documents and Settings\gael\Application Data\Adobe\Manager.exe

C:\Documents and Settings\gael\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008.lnk

C:\Documents and Settings\gael\Bureau\Antivirus-2008.lnk

C:\Documents and Settings\gael\Bureau\Privacy Protector.url

C:\Documents and Settings\gael\Menu Démarrer\Programmes\Antivirus 2008

C:\Documents and Settings\gael\Menu Démarrer\Programmes\Antivirus 2008\Antivirus-2008.lnk

C:\WINDOWS\ektv.exe

C:\WINDOWS\wnlmdakqosx.dll

----- BITS: Possible sites infectés -----

http://pornotube8.net

.

((((((((((((((((((((((((((((( Fichiers créés 2008-07-06 to 2008-08-06 ))))))))))))))))))))))))))))))))))))

.

2008-08-06 02:30 . 2008-08-06 02:32 184 --a------ C:\WINDOWS\wininit.ini

2008-08-05 23:08 . 2008-03-03 14:25 5,702 --ah----- C:\WINDOWS\nod32restoretemdono.reg

2008-08-05 23:08 . 2008-03-03 18:21 568 --ah----- C:\WINDOWS\nod32fixtemdono.reg

2008-08-05 23:05 . 2008-08-05 18:39 86,016 --a------ C:\WINDOWS\lnvegaow.exe

2008-08-05 23:05 . 2008-08-05 23:05 9,732 --a------ C:\WINDOWS\system32\setup(1).exe

2008-08-05 23:03 . 2008-08-05 23:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ESET

2008-08-04 11:27 . 2008-08-04 11:27 5,632 --ahs---- C:\WINDOWS\Thumbs.db

2008-08-04 10:42 . 2008-08-04 10:49 <REP> d-------- C:\Program Files\OUIDIRE Ohrenauf

2008-07-25 23:51 . 2008-07-25 23:51 <REP> d-------- C:\Documents and Settings\gael\Contacts

2008-07-25 23:49 . 2008-07-25 23:49 <REP> d----c--- C:\WINDOWS\system32\DRVSTORE

2008-07-25 23:26 . 2008-07-25 23:48 <REP> d-------- C:\Program Files\Windows Live

2008-07-25 23:26 . 2008-07-25 23:48 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller

2008-07-25 23:26 . 2008-07-25 23:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-07-25 23:25 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui

2008-07-25 23:25 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-07-25 23:25 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui

2008-07-25 23:25 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-06 08:02 --------- d-----w C:\Program Files\RamBoost XP

2008-08-05 21:03 --------- d-----w C:\Program Files\ESET

2008-08-05 18:36 --------- d-----w C:\Documents and Settings\gael\Application Data\OpenOffice.org2

2008-08-05 14:40 --------- d-----w C:\Program Files\OpenOffice.org1.1.4

2008-08-04 09:27 --------- d-----w C:\Program Files\Real Alternative

2008-08-04 09:27 --------- d-----w C:\Program Files\QuickTime Alternative

2008-08-04 09:27 --------- d-----w C:\Program Files\FinePixViewer

2008-08-04 09:27 --------- d-----w C:\Program Files\Editions JOCATOP

2008-08-04 08:16 --------- d-----w C:\Documents and Settings\gael\Application Data\foobar2000

2007-11-25 11:16 20,432 ----a-w C:\Documents and Settings\gael\Application Data\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

"RamBoostXp"="C:\Program Files\RamBoost XP\rambxpfr.exe" [2003-12-05 00:59 1409024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 13:19 7626752]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 13:19 86016]

"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.EXE" [2001-07-25 14:04 57344]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 11:06 1443072]

"C-Media Mixer"="Mixer.exe" [2001-10-22 17:24 1216512 C:\WINDOWS\mixer.exe]

"nwiz"="nwiz.exe" [2006-07-12 13:19 1519616 C:\WINDOWS\system32\nwiz.exe]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Belkin 802.11g Wireless PCI Card Configuration Utility.lnk - C:\Program Files\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\utility.exe [2007-09-30 16:04:59 340054]

Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"NoDispSettingPage"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoDesktopCleanupWizard"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoStrCmpLogical"= 0 (0x0)

"NoInstrumentation"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoDesktopCleanupWizard"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]

--a------ 2003-06-06 10:02 159744 C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"wuauserv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"DisablePagingExecutive"=dword:00000001

"SecondLevelDataCache"=dword:00000200

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\Program Files\\Spybot - Search & Destroy\\SpybotSD.exe"=

"C:\\Program Files\\Belkin\\Belkin 802.11g Wireless PCI Card Configuration Utility\\utility.exe"=

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6881:TCP"= 6881:TCP:azureus

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-02-20 11:11]

R1 lusbaudio;Microphone USB Logitech;C:\WINDOWS\system32\drivers\OVSound2.sys [2001-08-17 20:05]

R2 nvTUNEP;nVidia WDM TVTuner;C:\WINDOWS\system32\DRIVERS\nvtunep.sys [2002-12-17 12:54]

R2 nvtvSND;nVidia WDM TVAudio Crossbar;C:\WINDOWS\system32\DRIVERS\nvtvsnd.sys [2002-12-17 12:54]

R3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\PROGRA~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS [2003-07-24 12:10]

R3 QCEmerald;QuickCam Web Logitech;C:\WINDOWS\system32\DRIVERS\OVCE.sys [2001-08-17 20:05]

S2 NOD32FiXTemDono;Eset Nod32 Boot;C:\WINDOWS\system32\regedt32.exe [2001-08-24 13:00]

S3 WFIOCTL;WFIOCTL;C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS [2003-01-07 10:16]

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

- - - - ORPHANS REMOVED - - - -

Toolbar-{C70BCB6B-51D7-40FE-8A88-CD5FA0088646} - C:\WINDOWS\bgrqfetx.dll

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\gael\Application Data\Mozilla\Firefox\Profiles\yloltimr.default\

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-06 11:00:54

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

Temps d'accomplissement: 2008-08-06 11:02:34

ComboFix-quarantined-files.txt 2008-08-06 09:02:27

Pre-Run: 6,992,609,280 octets libres

Post-Run: 7,183,101,952 octets libres

141

Falkra · le 6 août 2008

Je regarde le rapport. Dis non à Active Desktop.

Falkra · le 6 août 2008

Ce qui suit n'est que pour ta machine, et ta machine seulement.

Ne pas utiliser sur une autre machine : dangereux.

Désactive ton antivirus, il peut gêner.
Ouvre le bloc notes. Copie colle ceci dedans :

Killall::

File::

C:\WINDOWS\lnvegaow.exe

C:\WINDOWS\bgrqfetx.dll

Folder::

C:\Program Files\Antivirus 2008

Registry::

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"NoDispSettingPage"=-

Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

u44 · le 6 août 2008

Ce qui suit n'est que pour ta machine, et ta machine seulement.
Ne pas utiliser sur une autre machine : dangereux.

Désactive ton antivirus, il peut gêner.

Ouvre le bloc notes. Copie colle ceci dedans :

Sauvegarde cela comme fichier texte nommé CFScript, sur le bureau.

Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Ensuite ajoute un nouveau rapport HijackThis stp après ce rapport là, et réactive ton antivirus.

Ok ! Rapport combofix :

ComboFix 08-08-04.09 - gael 2008-08-06 11:25:08.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.270 [GMT 2:00]

Endroit: C:\Documents and Settings\gael\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\gael\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

* Resident AV is active

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::

C:\WINDOWS\bgrqfetx.dll

C:\WINDOWS\lnvegaow.exe

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\lnvegaow.exe

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-06 to 2008-08-06 ))))))))))))))))))))))))))))))))))))