Multi Virus (http://main.exoclick.com)

oGu · le 2 mars 2009

Ok: on va passer ComboFix, mais pas la version dont tu disposes: supprime-là en l'envoyant à la corbeille.

COMBOFIX

ATTENTION

ComboFix est un outil dangereux s'il est mal utilisé, et est réservé exclusivement aux helpers formés à son utilisation: lecteurs, ne pas reproduire cette procédure sur votre machine! Ce script est spécifique à la machine traitée ici !

Conseil: lis cette procédure en intégralité avant de te lancer.

Télécharge ComboFix de sUBs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

** IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
Connecte tes clés USB et ton disque dur externe
Fais un double clic sur combofix.exe & suis les invites.
Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage (ce qui est très rare!).
Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t' est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu devrais voir le message suivant:

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il affichera un rapport. Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse:

Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

Clique sur le bouton Démarrer.
Clique sur l'option de menu Paramètres.
Clique sur l'option Panneau de configuration.
Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.

Modifié le 2 mars 2009 par oGu

BENLAKORE · le 2 mars 2009

Ok je viens de voir ta réponse je me lance dans la manip.

Je tourne encore avec le Service Pack 2 oui mais ce n'est pas volontaire. Je n'ai pas de license windows donc je ne sais pas si je peux installer le SP3 sur ma machine ?

Enfin pour ComboFix je l'ai utilisé suite à la demande d'une personne sur un Forum pour essayer de l'enlever ce virus .......

Modifié le 2 mars 2009 par BENLAKORE

BENLAKORE · le 2 mars 2009

ComboFix 09-03-02.01 - Will 2009-03-02 19:55:26.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2046.1636 [GMT 1:00]

Lancé depuis: c:\documents and settings\Will\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Outdated)

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\tmp.reg

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-02 au 2009-03-02 ))))))))))))))))))))))))))))))))))))

.

2009-03-01 15:50 . 2009-03-01 15:50 <REP> d-------- C:\rsit

2009-03-01 15:26 . 2009-03-01 15:26 <REP> d-------- C:\_OTMoveIt

2009-02-23 23:22 . 2009-02-23 23:59 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2009-02-23 23:22 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-23 23:22 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-23 02:35 . 2009-02-23 02:35 250 --a------ c:\windows\gmer.ini

2009-02-23 02:28 . 2009-02-23 02:28 <REP> d-------- c:\program files\Avira

2009-02-23 02:28 . 2009-02-23 02:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira

2009-02-22 20:28 . 2009-02-22 20:28 <REP> d-------- c:\windows\system32\fr-fr

2009-02-22 19:41 . 2009-02-22 19:41 1,374 --a------ c:\windows\imsins.BAK

2009-02-21 17:43 . 2009-02-21 17:43 <REP> d-------- c:\program files\Trend Micro

2009-02-20 19:22 . 2009-02-20 19:22 <REP> d-------- c:\windows\system32\Kaspersky Lab

2009-02-20 19:08 . 2009-02-20 19:08 3,873,655 --a------ C:\upload_moi_WILLPOWER.tar.gz

2009-02-20 03:16 . 2009-02-20 03:16 <REP> d-------- c:\documents and settings\LocalService\Application Data\McAfee

2009-02-20 02:36 . 2009-02-22 21:06 <REP> d-------- c:\documents and settings\Will\Application Data\McAfee

2009-02-20 01:00 . 2009-02-20 01:00 <REP> d-------- c:\documents and settings\LocalService\Application Data\SACore

2009-02-19 00:24 . 2009-02-23 23:55 664 --a------ c:\windows\system32\d3d9caps.dat

2009-02-19 00:15 . 2009-02-19 00:15 <REP> d-------- c:\documents and settings\LocalService\Bureau

2009-02-19 00:15 . 2009-02-20 02:28 <REP> d-------- c:\documents and settings\All Users\Application Data\SiteAdvisor

2009-02-19 00:08 . 2009-02-22 21:09 <REP> d-------- c:\documents and settings\All Users\Application Data\McAfee

2009-02-18 19:02 . 2009-02-18 19:02 <REP> d-------- c:\program files\Ashampoo

2009-02-18 00:45 . 2009-02-19 09:04 72 --a------ c:\windows\WININIT.INI

2009-02-18 00:38 . 2009-02-19 14:38 <REP> d-------- c:\program files\X-Cleaner

2009-02-17 23:19 . 2009-02-17 23:20 <REP> d-------- c:\windows\BDOSCAN8

2009-02-17 22:40 . 2009-02-17 22:40 <REP> d-------- C:\fsaua.data

2009-02-17 22:19 . 2009-02-17 22:19 <REP> d-------- c:\program files\Spybot - Search & Destroy

2009-02-17 22:19 . 2009-02-24 00:00 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-01 22:22 --------- d-----w c:\documents and settings\Will\Application Data\uTorrent

2009-02-22 18:10 --------- d-----w c:\program files\CCleaner

2009-02-19 13:37 --------- d-----w c:\program files\DAEMON Tools Lite

2009-02-17 21:30 --------- d-----w c:\program files\Lavasoft

2009-02-17 21:30 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-02-17 18:51 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-17 18:02 --------- d-----w c:\program files\SystemRequirementsLab

2009-01-17 17:59 --------- d-----w c:\program files\ma-config.com

2009-01-17 17:59 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com

2009-01-11 20:58 --------- d-----w c:\program files\Google

2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2008-12-23 20:58 453,152 ----a-w c:\windows\system32\NVUNINST.EXE

2008-10-22 17:47 94,208 ----a-w c:\documents and settings\Will\Application Data\ezplay.sys

2008-10-22 17:47 47,360 ----a-w c:\documents and settings\Will\Application Data\pcouffin.sys

2008-10-22 17:35 22,328 ----a-w c:\documents and settings\Will\Application Data\PnkBstrK.sys

2008-04-28 18:46 2 --shatr c:\windows\winstart.bat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-03 81920]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-01 843776]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-12-20 37376]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-17 98304]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-26 13680640]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-26 86016]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"nwiz"="nwiz.exe" [2008-12-26 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.vp31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 17:24 1694208 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2007-09-25 01:11 132496 c:\program files\Java\jre1.6.0_03\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

S3 Asushwio;Asushwio;c:\windows\system32\drivers\ASUSHWIO.SYS [2007-12-03 5824]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-11-17 195752]

S3 Ndisprot;ArcNet NDIS Protocol Driver;c:\windows\system32\drivers\ndisprot.sys [2008-11-13 27904]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3e7cdc06-a5ab-11dd-9705-001731bba1d5}]

\Shell\AutoRun\command - H:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{451c5ddc-7763-11dd-9686-001731bba1d5}]

\Shell\AutoRun\command - G:\laucher.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5e55ddfe-a1ab-11dc-94be-001731bba1d5}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: secuser.com\www

TCP: {29F1765E-AFD1-4A63-B430-FFB0AF7177DD} = 192.168.0.1

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}

DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243}

FF - ProfilePath - c:\documents and settings\Will\Application Data\Mozilla\Firefox\Profiles\zskprn8f.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-02 19:56:37

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-436374069-308236825-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:b5,b8,47,18,4f,91,72,5d,d9,e5,31,8a,06,84,60,b5,9e,26,a3,1d,78,

4f,e0,70,4f,4a,7c,71,46,fb,0a,8a,8e,c4,7e,52,1f,2e,e8,9a,ea,04,bc,95,c1,d2,\

"rkeysecu"=hex:b7,f5,cf,f2,24,ac,ee,0b,bb,86,be,b8,98,80,5f,6d

.

Heure de fin: 2009-03-02 19:57:28

ComboFix-quarantined-files.txt 2009-03-02 18:57:27

ComboFix2.txt 2009-02-20 15:02:43

Avant-CF: 17 517 723 648 octets libres

Après-CF: 17,620,627,456 octets libres

142 --- E O F --- 2008-08-14 23:10:58

BENLAKORE · le 2 mars 2009

Voila un deuxième rapport COMBO FIX car pour le premier ANTIVIR n'était pas désactivé ..... ( boulette de ma part )

ComboFix 09-03-02.01 - Will 2009-03-02 20:03:41.3 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.2046.1645 [GMT 1:00]

Lancé depuis: c:\documents and settings\Will\Bureau\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Outdated)