Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

J4AI ATTRAPP2 UN VIRUS ET JE NE SAIS PAS COMMENT M4EN DEBARRASSER

CI JOINT LE rapport HIJACKTHIS

Merci pour votre aide

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:11:09, on 22/10/2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE

C:\WINDOWS\V0220Mon.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\Temp\_ex-08.exe

C:\DOCUME~1\ALLUSE~1\APPLIC~1\28398232\28398232.exe

C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe

C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Microsoft Office\Office\OSA.EXE

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Documents and Settings\ST-GENIEZ\Bureau\hijackthis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [EPSON Stylus D68 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE /P23 "EPSON Stylus D68 Series" /O6 "USB001" /M "Stylus D68"

O4 - HKLM\..\Run: [soundMan] C:\WINDOWS\sndman.exe -i

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [V0220Mon.exe] C:\WINDOWS\V0220Mon.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe

O4 - HKLM\..\Run: [28398232] C:\DOCUME~1\ALLUSE~1\APPLIC~1\28398232\28398232.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"

O4 - HKCU\..\Run: [intel Audio Studio V2.0] C:\WINDOWS\fmideploy.exe

O4 - HKCU\..\Run: [sT-GENIEZ] C:\Documents and Settings\ST-GENIEZ\ST-GENIEZ.exe /i

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: ikowin32.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O16 - DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} (VB2S Mannequin Virtuel Control) - http://mannequin.redoute.fr/activex/Mannequin.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} (France Telecom MDDK ActiveX Control) - http://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1246957831000

O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.edipole.fr/kits/WebInstall.dll

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3BD68922-9E9E-49DD-B82B-89EE1D009A3A}: NameServer = 213.174.139.72,192.168.1.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{A20B70DB-11F1-4518-B209-D592CD96B853}: NameServer = 213.174.139.72,192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3BD68922-9E9E-49DD-B82B-89EE1D009A3A}: NameServer = 213.174.139.72,192.168.1.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{3BD68922-9E9E-49DD-B82B-89EE1D009A3A}: NameServer = 213.174.139.72,192.168.1.1

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Service de l'iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Posté(e)

Bonjour,

 

Vous allez télécharger Combofix.

Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.

Avant de l'installer,vous pourriez utilement lire ce

,Mode opératoire:

 

Télécharger combofix.exe de sUBs

 

Vous devriez avoir une fenêtre vous avertissant que vous téléchargez Combofix depuis un site non-autorisé.

N'en tenez pas compte

 

Lancez Combofix en double cliquant

 

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage.

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mis

 

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

 

Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.

* Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:

Ne modifiez pas le nom du fichier

Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2

* Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

animation2ko5.gif

 

* Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed.

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs ,Teatimer de Spybot car ils pourraient perturber le fonctionnement de cet outil

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

Connecter tous les disques amovibles (disque dur externe, clé USB).

*Double cliquer sur combofix.exe ou votrenom .exe pour le lancer.

 

 

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

 

* Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, Vista par exemple, combofix ne se lançait pas,

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

* Le scan pourrait prendre un certain temps:

Patientez au moins 30 minutes pendant l'analyse. Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

* Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

Posté(e)

Voici le rapport de Combofix :

 

ComboFix 09-10-22.01 - ST-GENIEZ 24/10/2009 10:13.1.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.511.228 [GMT 2:00]

Lancé depuis: c:\docume~1\ST-GEN~1\MESDOC~1\combofix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\28398232

c:\documents and settings\All Users\Application Data\28398232\28398232.exe

c:\documents and settings\ST-GENIEZ\Application Data\wiaserva.log

c:\documents and settings\ST-GENIEZ\Bureau\Security Tool.lnk

c:\documents and settings\ST-GENIEZ\oashdihasidhasuidhiasdhiashdiuasdhasd

c:\windows\934fdfg34fgjf23

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_FIPS32CUP

-------\Legacy_SYS

-------\Legacy_SYSDRV

-------\Legacy_SYSTEMNTMI

-------\Service_fips32cup

-------\Service_ksi32sk

-------\Service_nicsk32

-------\Service_securentm

-------\Service_systemntmi

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-24 au 2009-10-24 ))))))))))))))))))))))))))))))))))))

.

 

2009-09-27 09:51 . 2009-09-27 09:50 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-09-27 09:41 . 2009-09-27 09:41 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2009-09-27 09:41 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-09-27 09:41 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-09-27 09:41 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-09-27 09:41 . 2009-09-27 09:41 -------- d-----w- c:\program files\Avira

2009-09-27 09:41 . 2009-09-27 09:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-24 08:34 . 2006-11-04 12:57 -------- d-----w- c:\program files\Wanadoo

2009-10-22 08:47 . 2009-06-25 16:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-10-21 19:08 . 2004-04-15 12:00 -------- d-----w- c:\documents and settings\ST-GENIEZ\Application Data\Canon

2009-10-12 08:37 . 2006-01-16 08:27 -------- d-s---r- c:\program files\CBIDev

2009-09-10 12:54 . 2009-06-25 16:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 12:53 . 2009-06-25 16:03 18520 ----a-w- c:\windows\system32\drivers\mbam.sys

2006-12-25 15:42 . 2006-12-25 15:42 492 ----a-w- c:\program files\mpc5.reg

2006-12-25 15:42 . 2006-12-25 15:42 30772 ----a-w- c:\program files\ffdsvsetts.reg

2006-12-25 15:42 . 2006-12-25 15:42 1446 ----a-w- c:\program files\ffdssetts.reg

2006-12-25 15:42 . 2006-12-25 15:42 1172 ----a-w- c:\program files\ffdsasetts.reg

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

"Creative Live! Cam Manager"="c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-09-24 5033984]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-22 32881]

"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]

"V0220Mon.exe"="c:\windows\V0220Mon.exe" [2006-06-28 32768]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"sysgif32"="c:\windows\Temp\wpv871255703227.exe" [2009-10-24 21504]

"46812627"="c:\docume~1\ALLUSE~1\APPLIC~1\46812627\46812627.exe" [2009-10-24 1050665]

"PromoReg"="c:\windows\Temp\_ex-08.exe" [2009-10-24 410112]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

 

c:\documents and settings\ST-GENIEZ\Menu D‚marrer\Programmes\D‚marrage\

D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1996-12-17 51984]

ikowin32.exe [2003-4-24 26624]

 

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [27/09/2009 11:41 22360]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [27/09/2009 11:41 45416]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/09/2009 11:41 108289]

R3 iKeyEnum;Rainbow iKey Enumerator;c:\windows\system32\drivers\IKEYENUM.SYS [22/02/2005 16:52 11256]

R3 iKeyIFD;Rainbow iKey Virtual Reader;c:\windows\system32\drivers\IKEYIFD.SYS [22/02/2005 16:52 16696]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [25/06/2009 18:03 38224]

S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\ST-GEN~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\ST-GEN~1\LOCALS~1\Temp\mdxgthkn.sys [?]

S3 V0220Dev;Live! Cam Video IM;c:\windows\system32\drivers\V0220Dev.sys [25/12/2006 13:58 146112]

S3 V0220Vfx;V0220VFX;c:\windows\system32\drivers\V0220Vfx.sys [25/12/2006 13:58 6272]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Microsoft Keyboard Enhance V2.0]

c:\windows\iasrecst.exe

.

Contenu du dossier 'Tâches planifiées'

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

mStart Page = hxxp://www.ustart.org

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

TCP: {3BD68922-9E9E-49DD-B82B-89EE1D009A3A} = 213.174.139.72,192.168.1.1

TCP: {A20B70DB-11F1-4518-B209-D592CD96B853} = 213.174.139.72,192.168.1.1

DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} - hxxp://mannequin.redoute.fr/activex/Mannequin.cab

DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} - hxxp://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-SoundMan - c:\windows\sndman.exe

HKLM-Run-28398232 - c:\docume~1\ALLUSE~1\APPLIC~1\28398232\28398232.exe

HKU-Default-Run-ALUAlert - c:\program files\Symantec\LiveUpdate\ALUNotify.exe

AddRemove-LiveUpdate - c:\program files\Symantec\LiveUpdate\LSETUP.EXE

AddRemove-Utilitaires Sierra - c:\program files\Sierra On-Line\sutil32.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-24 10:32

Windows 5.1.2600 Service Pack 1 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

 

c:\docume~1\ST-GEN~1\LOCALS~1\Temp\~TM5.tmp 679424 bytes executable

c:\docume~1\ST-GEN~1\LOCALS~1\Temp\WER6.tmp

c:\docume~1\ST-GEN~1\LOCALS~1\Temp\WER6.tmp.dir00

c:\windows\TEMP\_ex-68.exe 1050665 bytes executable

 

Scan terminé avec succès

Fichiers cachés: 4

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(620)

c:\windows\System32\ODBC32.dll

 

- - - - - - - > 'lsass.exe'(676)

c:\windows\System32\dssenh.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\combofix\CF7094.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\windows\System32\FTRTSVC.exe

c:\windows\System32\nvsvc32.exe

c:\windows\System32\SCardSvr.exe

c:\windows\System32\wdfmgr.exe

c:\progra~1\Wanadoo\TaskBarIcon.exe

c:\progra~1\Wanadoo\GestionnaireInternet.exe

c:\progra~1\Wanadoo\ComComp.exe

c:\progra~1\Wanadoo\Toaster.exe

c:\progra~1\Wanadoo\Inactivity.exe

c:\progra~1\Wanadoo\PollingModule.exe

c:\windows\System32\ALERTM~1\ALERTM~1.EXE

c:\windows\Temp\wpv161256085323.exe

c:\windows\System32\drwtsn32.exe

c:\windows\System32\drwtsn32.exe

c:\combofix\PEV.cfxxe

.

**************************************************************************

.

Heure de fin: 2009-10-24 10:39 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-10-24 08:38

 

Avant-CF: 3 537 551 360 octets libres

Après-CF: 6 687 109 120 octets libres

 

- - End Of File - - 79A3AF487B07440AC189DAF0526B73BC

Posté(e)

Bonjour,

 

 

 

 

color=#0000FF]Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

Folder::

c:\docume~1\ALLUSE~1\APPLIC~1\46812627

File::

c:\documents and settings\Jean-Mouloud\Menu Dmarrer\Programmes\Dmarrage\ikowin32.exe

c:\windows\Temp\wpv871255703227.exe

c:\docume~1\ALLUSE~1\APPLIC~1\46812627\46812627.exe

c:\windows\Temp\_ex-08.exe

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"sysgif32"=-

"46812627"=-

"PromoReg"=-

 

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

animation1md2.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

[/color]

 

Téléchargez TFC par OldTimer sur votre Bureau

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

Posté(e)

Lorsque je déplace le fichier du bloc note sur combofix, j'ai bien la "barre de chargement" qui s'affiche mais pas de fenêtre bleue. De plus je ne peux pas installer la console de récupération. :P

Help !!

Posté(e)

Supprimez ComboFix sur le Bureau, et re-téléchargez une version fraiche à renommer au moment du téléchargement en sVchost.exe .

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour renommer:

Clic droit sur http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Choisir "Enregistrer la cible du lien..sous....sVchost.exe

Choisir le bureau

En bas, à Nom du Fichier:

Vous devez obtenir ->sVchost.exe

Important : Respectez bien le V majuscule.

Cliquez enfin sur -> Enregistrer

Lancez le

Posté(e)

J'ai fait tout ce que vous aviez dit (du moins j'espère que je me suis pas trompée!)

Voici le nouveau rapport de Combofix mais toujours pas de console installée !!! Est-ce que je peux l'installer manuellement comme c'est écrit dans le mode opératoire de combofix???

 

 

ComboFix 09-10-23.01 - ST-GENIEZ 24/10/2009 13:52.3.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.1.1252.33.1036.18.511.246 [GMT 2:00]

Lancé depuis: c:\documents and settings\ST-GENIEZ\Bureau\ComboFix.exe

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\46812627

c:\documents and settings\All Users\Application Data\46812627\46812627.exe

c:\documents and settings\ST-GENIEZ\Application Data\wiaserva.log

c:\documents and settings\ST-GENIEZ\Bureau\Security Tool.lnk

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-24 au 2009-10-24 ))))))))))))))))))))))))))))))))))))

.

 

2009-09-27 09:51 . 2009-09-27 09:50 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2009-09-27 09:41 . 2009-09-27 09:41 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2009-09-27 09:41 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2009-09-27 09:41 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2009-09-27 09:41 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2009-09-27 09:41 . 2009-09-27 09:41 -------- d-----w- c:\program files\Avira

2009-09-27 09:41 . 2009-09-27 09:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-24 11:12 . 2006-11-04 12:57 -------- d-----w- c:\program files\Wanadoo

2009-10-22 08:47 . 2009-06-25 16:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-10-21 19:08 . 2004-04-15 12:00 -------- d-----w- c:\documents and settings\ST-GENIEZ\Application Data\Canon

2009-10-12 08:37 . 2006-01-16 08:27 -------- d-s---r- c:\program files\CBIDev

2009-09-10 12:54 . 2009-06-25 16:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-09-10 12:53 . 2009-06-25 16:03 18520 ----a-w- c:\windows\system32\drivers\mbam.sys

2006-12-25 15:42 . 2006-12-25 15:42 492 ----a-w- c:\program files\mpc5.reg

2006-12-25 15:42 . 2006-12-25 15:42 30772 ----a-w- c:\program files\ffdsvsetts.reg

2006-12-25 15:42 . 2006-12-25 15:42 1446 ----a-w- c:\program files\ffdssetts.reg

2006-12-25 15:42 . 2006-12-25 15:42 1172 ----a-w- c:\program files\ffdsasetts.reg

.

 

((((((((((((((((((((((((((((( SnapShot@2009-10-24_08.32.36 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-01-13 13:19 . 2009-10-24 11:08 262144 c:\windows\system32\config\systemprofile\ntuser.dat

- 2007-01-13 13:19 . 2009-10-24 08:12 262144 c:\windows\system32\config\systemprofile\ntuser.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [2004-08-23 122880]

"Creative Live! Cam Manager"="c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe" [2006-05-31 143360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-09-24 5033984]

"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-22 32881]

"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]

"V0220Mon.exe"="c:\windows\V0220Mon.exe" [2006-06-28 32768]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-24 13312]

 

c:\documents and settings\ST-GENIEZ\Menu D‚marrer\Programmes\D‚marrage\

D‚marrage d'Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1996-12-17 51984]

ikowin32.exe [2003-4-24 26624]

 

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [27/09/2009 11:41 22360]

R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [27/09/2009 11:41 45416]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/09/2009 11:41 108289]

R3 iKeyEnum;Rainbow iKey Enumerator;c:\windows\system32\drivers\IKEYENUM.SYS [22/02/2005 16:52 11256]

R3 iKeyIFD;Rainbow iKey Virtual Reader;c:\windows\system32\drivers\IKEYIFD.SYS [22/02/2005 16:52 16696]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [25/06/2009 18:03 38224]

S3 mdxgthkn;mdxgthkn;\??\c:\docume~1\ST-GEN~1\LOCALS~1\Temp\mdxgthkn.sys --> c:\docume~1\ST-GEN~1\LOCALS~1\Temp\mdxgthkn.sys [?]

S3 V0220Dev;Live! Cam Video IM;c:\windows\system32\drivers\V0220Dev.sys [25/12/2006 13:58 146112]

S3 V0220Vfx;V0220VFX;c:\windows\system32\drivers\V0220Vfx.sys [25/12/2006 13:58 6272]

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Microsoft Keyboard Enhance V2.0]

c:\windows\iasrecst.exe

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

mStart Page = hxxp://www.ustart.org

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

TCP: {3BD68922-9E9E-49DD-B82B-89EE1D009A3A} = 213.174.139.72,192.168.1.1

TCP: {A20B70DB-11F1-4518-B209-D592CD96B853} = 213.174.139.72,192.168.1.1

DPF: {1FF43AD5-2262-4C2F-81D4-26D710C3F305} - hxxp://mannequin.redoute.fr/activex/Mannequin.cab

DPF: {5CA8D349-C6E7-11D4-8166-009027DF3BB2} - hxxp://accueil.ava.serveur-ava.com/stkid_data/ocx/mDKid.cab

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-46812627 - c:\docume~1\ALLUSE~1\APPLIC~1\46812627\46812627.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-24 13:59

Windows 5.1.2600 Service Pack 1 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(620)

c:\windows\System32\ODBC32.dll

 

- - - - - - - > 'lsass.exe'(676)

c:\windows\System32\dssenh.dll

.

Heure de fin: 2009-10-24 14:02

ComboFix-quarantined-files.txt 2009-10-24 12:02

ComboFix2.txt 2009-10-24 08:39

 

Avant-CF: 6 686 928 896 octets libres

Après-CF: 6 672 900 096 octets libres

 

- - End Of File - - 984B977F74BAA092A8B4BCBDECDE995B

Posté(e)

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Posté(e)

Voici le rapport MBAM :

 

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 3025

Windows 5.1.2600 Service Pack 1

 

24/10/2009 18:19:24

mbam-log-2009-10-24 (18-19-24).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 135218

Temps écoulé: 55 minute(s), 35 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 21

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 5

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3bd68922-9e9e-49dd-b82b-89ee1d009a3a}\NameServer (Trojan.DNSChanger) -> Data: 213.174.139.72,192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4343f6cd-f190-4a08-92e6-ea0abb57bbd9}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{610146bb-f7b6-474f-81ef-282e4ff91cf1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{94604263-c363-407a-9f63-3c54213a0733}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a20b70db-11f1-4518-b209-d592cd96b853}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{a20b70db-11f1-4518-b209-d592cd96b853}\NameServer (Trojan.DNSChanger) -> Data: 213.174.139.72,192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{b935a0c4-ebc4-46c2-8147-161b9295f8bf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{3bd68922-9e9e-49dd-b82b-89ee1d009a3a}\NameServer (Trojan.DNSChanger) -> Data: 213.174.139.72,192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4343f6cd-f190-4a08-92e6-ea0abb57bbd9}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{610146bb-f7b6-474f-81ef-282e4ff91cf1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{94604263-c363-407a-9f63-3c54213a0733}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a20b70db-11f1-4518-b209-d592cd96b853}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{a20b70db-11f1-4518-b209-d592cd96b853}\NameServer (Trojan.DNSChanger) -> Data: 213.174.139.72,192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{b935a0c4-ebc4-46c2-8147-161b9295f8bf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{3bd68922-9e9e-49dd-b82b-89ee1d009a3a}\NameServer (Trojan.DNSChanger) -> Data: 213.174.139.72,192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{4343f6cd-f190-4a08-92e6-ea0abb57bbd9}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{610146bb-f7b6-474f-81ef-282e4ff91cf1}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{94604263-c363-407a-9f63-3c54213a0733}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a20b70db-11f1-4518-b209-d592cd96b853}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{a20b70db-11f1-4518-b209-d592cd96b853}\NameServer (Trojan.DNSChanger) -> Data: 213.174.139.72,192.168.1.1 -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{b935a0c4-ebc4-46c2-8147-161b9295f8bf}\DhcpNameServer (Trojan.DNSChanger) -> Data: 213.174.139.72 192.168.1.1 -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\28398232\28398232.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\46812627\46812627.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{2DD67642-5285-4666-99A5-ED66714A7A0F}\RP1496\A0130698.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\Documents and Settings\ST-GENIEZ\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

C:\Documents and Settings\ST-GENIEZ\Menu Démarrer\Programmes\Démarrage\ikowin32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Posté(e)

Bonjour,

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Ouvrez Combofix

# Dans le bloc-note ,copiez-collez ces lignes :

 

KillAll::

Folder::

c:\docume~1\ST-GEN~1\LOCALS~1\Temp\mdxgthkn.sys

File::

Driver::

mdxgthkn

Rootkit::

Registry::

* Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

* Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

animation1md2.gif

 

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...