Comprendre le bitcoin, l'intelligence artificielle, faire un site web... En 3 minutes en vidéo!

malwares?

<<<12>>>

[Page 1 sur 2 - 27 messages]
Informations Messages

Zyrx

Avatar de Zyrx
59 messages
Disquette
Disquette

Lien direct Le 18 Décembre 2008 à 22h48

Bonjour

etant sur msn j'ai reçu un fichier contaminé mon antivirus l'a alors supprimé mais depuis j'ai des pages qui s'ouvre automatiquement et lors de l'ouverture de session divers messages apparaissent me disant que le system32 n'a pas trouvées tel ou tel dll

voici le rapport hijackthisConfus


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:42:50, on 18/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\rundll32.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\CyberLink\PCM4Everio\EverioService.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\lexpps.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wanadoo.fr/go/page_recherche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - Software - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {940B1CEE-4B12-466C-85DF-1A018BE6DEB9} - (no file)
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: (no name) - {b2c01ac6-b01b-4162-9f6c-4b52bd3f376c} - C:\WINDOWS\system32\talogevi.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [EverioService] "C:\Program Files\CyberLink\PCM4Everio\EverioService.exe"
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [CPM5b2c30b6] Rundll32.exe "c:\windows\system32\pipiwuhi.dll",a
O4 - HKLM\..\Run: [gevijasiti] Rundll32.exe "C:\WINDOWS\system32\worayewu.dll",s
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [gevijasiti] Rundll32.exe "C:\WINDOWS\system32\worayewu.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/share ... insctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/share ... cgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15B6F893-8227-47FA-B70B-38019A455941}: NameServer = 81.253.149.9 80.10.246.132
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O20 - AppInit_DLLs: aivvrf.dll qzctjs.dll C:\WINDOWS\system32\refemope.dll c:\windows\system32\yavawoji.dll C:\WINDOWS\system32\nonomaso.dll c:\windows\system32\pipiwuhi.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pipiwuhi.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pipiwuhi.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 7637 bytes

 

Publicité

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 19 Décembre 2008 à 00h28

Bonsoir Hello

Tu es effectivement infecté. On va t'aider à sortir de ce mauvais pas :

Télécharge Combofix depuis l'un des liens ci-dessous:

Lien 1
Lien 2
Lien 3

* IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau


    [*:3mu02mix]Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

    [/*:m:3mu02mix]
    [*:3mu02mix]Double clic sur combofix.exe & suis les invites.

    [/*:m:3mu02mix]
    [*:3mu02mix]Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

    [/*:m:3mu02mix]
    [*:3mu02mix]Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.[/*:m:3mu02mix]



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

Poste le rapport généré par ComboFix.

Bonne nuitée.Clin d'oeil

 

Zyrx

Avatar de Zyrx
59 messages
Disquette
Disquette

Lien direct Le 19 Décembre 2008 à 00h56

Merci pour ton aide Clin d'oeil

voici ce qu'il m'affiche

parasites found:

C:\windows\system32\refemope.dll
C:\windows\system32\nonomaso.dll

 

synthexe

Avatar de synthexe
2498 messages
Geek
Geek
AidoAntivirus
AidoAntivirus

Lien direct Le 19 Décembre 2008 à 11h47

Non non, il t'affiche un rapport, nommé ComboFix.txt, il me/nous faut l'intégralité du rapport que tu copies/colles dans ta prochaine réponse.
Fais une recherche dans C:\ de combofix.txt, et poste son contenu.

 

Winx

Avatar de Winx
27839 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 20 Décembre 2008 à 11h10

Bonjour à tous,

en fait Synthexe te demande de faire ceci:



/!\ Pour les personnes ayant les mêmes problèmes ou similaires /!\
Cette manip. est spécifique au PC de l'utilisateur ayant créé cette discussion. La reproduire sur un autre ordinateur pourrait endommager le système.


Exécute cette manip pour faire un scan avec Combofix.développé par sUBs.
En portant une attention particulière à l'install de la console , à la demande de sUBs. , concepteur de l'outil utilisé.
-->clic ici pour faire la manip demandée
Poste le rapport de C:\Combofix.txt. sur le forum.

En cas de souci avec l'install de la console regarde ici le post de @Synthexe:
http://www.aidoforum.com/forum/vsujet-2 ... tml#271470

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Zyrx

Avatar de Zyrx
59 messages
Disquette
Disquette

Lien direct Le 22 Décembre 2008 à 12h09

Désolé pour le retard voici le rapport
(il n'y avait aucun probleme juste un manque de patience Sourire )


ComboFix 08-12-18.01 - lol 2008-12-22 11:50:17.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.503.243 [GMT 1:00]
Lancé depuis: c:\documents and settings\lol\Bureau\ComboFix.exe
* Resident AV is active


AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\windows\system32\refemope.dll
c:\windows\system32\nonomaso.dll
c:\windows\system32\puwaduvu.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\lol\Mes documents\My Documents.url
c:\windows\pack.epk
c:\windows\system32\joretido.dll
c:\windows\system32\nifisito.dll
c:\windows\system32\nonomaso.dll
c:\windows\system32\oditeroj.ini
c:\windows\system32\otisanof.ini
c:\windows\system32\pofuzema.dll
c:\windows\system32\puwaduvu.dll
c:\windows\system32\refemope.dll
c:\windows\system32\refemope.dll.vir
c:\windows\system32\tadezuzu.dll
c:\windows\system32\wobaheve.dll
c:\windows\Tasks\frzdgyhy.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-22 au 2008-12-22 ))))))))))))))))))))))))))))))))))))
.

2008-12-18 22:29 . 2008-12-18 22:29 <REP> d-------- c:\program files\Trend Micro
2008-12-17 21:05 . 2008-12-19 17:40 <REP> d-------- c:\documents and settings\lol\Tracing
2008-12-17 19:47 . 2008-12-17 19:47 <REP> d-------- c:\program files\Microsoft
2008-12-17 19:46 . 2008-12-17 19:46 <REP> d-------- c:\program files\Windows Live SkyDrive
2008-12-17 19:44 . 2008-12-17 19:47 <REP> d-------- c:\program files\Windows Live
2008-12-17 19:27 . 2008-12-17 19:27 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2008-12-17 18:51 . 2008-12-17 18:55 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-12-17 18:21 . 2008-12-17 18:21 <REP> d-------- c:\program files\MSXML 4.0
2008-12-16 18:34 . 2008-12-16 18:41 1,393 --a------ c:\windows\imsins.BAK
2008-12-14 12:33 . 2001-08-23 17:02 14,080 --a--c--- c:\windows\system32\dllcache\bulltlp3.sys
2008-12-14 12:31 . 2001-08-23 17:46 382,592 --a--c--- c:\windows\system32\dllcache\atidrab.dll
2008-12-14 12:29 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
2008-12-14 12:28 . 2001-08-23 17:46 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll
2008-12-13 16:29 . 2008-12-13 16:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Cyberlink
2008-12-13 16:29 . 2006-06-04 15:48 198,144 --a------ c:\windows\system32\_psisdecd.dll
2008-12-13 16:28 . 2006-06-04 15:48 82,432 --a------ c:\windows\system32\msxml4r.dll
2008-12-13 16:28 . 2006-06-04 15:48 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-12-13 16:26 . 2008-12-13 16:41 <REP> d-------- C:\MyWorks
2008-12-13 16:26 . 2006-06-04 15:48 1,060,864 --a------ c:\windows\system32\MFC71.dll
2008-12-13 16:26 . 2006-06-04 15:48 1,047,552 --a------ c:\windows\system32\MFC71u.dll
2008-12-13 16:25 . 2008-12-13 16:25 <REP> d-------- c:\program files\Digital Photo Navigator 1.5
2008-12-13 14:30 . 2008-12-13 14:30 <REP> d-------- c:\documents and settings\lol\Application Data\Malwarebytes
2008-12-13 14:29 . 2008-12-13 14:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d-------- c:\documents and settings\Loïc.COLAS-DB20AC37F.002\Modèles
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d-------- c:\documents and settings\Loïc.COLAS-DB20AC37F.002\Favoris
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d---s---- c:\documents and settings\Loïc.COLAS-DB20AC37F.002
2008-12-07 18:51 . 2008-11-10 03:39 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll
2008-11-24 11:45 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 10:41 --------- d-----w c:\program files\Wanadoo
2008-12-19 17:40 96,989 ----a-w c:\windows\system32\puwaduvu.dll.vir
2008-12-19 17:40 85,265 --sha-w c:\windows\system32\fonasito.dll
2008-12-18 20:57 --------- d-----w c:\documents and settings\LocalService\Application Data\SACore
2008-12-18 19:25 --------- d-----w c:\program files\McAfee
2008-12-18 18:58 85,269 --sha-w c:\windows\system32\pigopimu.dll
2008-12-18 17:58 63,621 --sha-w c:\windows\system32\daholose.dll
2008-12-17 20:04 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-16 18:20 93,923 --sha-w c:\windows\system32\rokewezi.dll
2008-12-13 15:34 --------- d-----w c:\program files\CyberLink
2008-12-13 15:33 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-13 10:55 --------- d-----w c:\documents and settings\All Users\Application Data\rkfree
2008-12-07 17:50 --------- d-----w c:\program files\Java
2008-11-17 21:50 --------- d-----w c:\documents and settings\lol\Application Data\LimeWire
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET72.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET6E.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET64.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET2F.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET22.tmp
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-18 17:58 65,536 --sha-w c:\windows\system32\bikuhagu.dll
2008-09-18 17:58 63,621 --sha-w c:\windows\system32\talogevi.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b2c01ac6-b01b-4162-9f6c-4b52bd3f376c}]
2008-09-18 18:58 63621 --ahs---- c:\windows\system32\talogevi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"EverioService"="c:\program files\CyberLink\PCM4Everio\EverioService.exe" [2007-11-01 151552]
"581f032a"="c:\windows\system32\fonasito.dll" [2008-12-19 85265]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\windows\system32\refemope.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
--a--c--- 2004-08-13 01:05 122939 c:\windows\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
-----c--- 2004-10-12 16:54 57344 c:\program files\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
--a------ 2006-06-06 17:06 77824 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--a------ 2006-06-06 17:10 118784 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--a------ 2006-06-06 17:09 94208 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
--a------ 2004-01-07 01:01 110592 c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]
--a------ 2004-10-13 16:12 24576 c:\progra~1\Wanadoo\CnxMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--a------ 2004-10-13 16:12 49152 c:\progra~1\Wanadoo\TaskBarIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--a------ 2004-10-13 16:12 24576 c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedAppl ications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\Wanadoo\\EspaceWanadoo.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\explorer.exe"=

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\program files\McAfee\SiteAdvisor\McSACore.exe" [2008-10-20 203280]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys []
.
Contenu du dossier 'Tâches planifiées'

2008-12-15 c:\windows\Tasks\McDefragTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

2008-08-31 c:\windows\Tasks\McQcTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{940B1CEE-4B12-466C-85DF-1A018BE6DEB9} - (no file)
HKLM-Run-gevijasiti - c:\windows\system32\worayewu.dll
HKLM-Run-CPM5b2c30b6 - c:\windows\system32\puwaduvu.dll
SharedTaskScheduler-{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\puwaduvu.dll
MSConfigStartUp-581f032a - c:\windows\system32\joretido.dll
MSConfigStartUp-gevijasiti - c:\windows\system32\nuhasuke.dll


.
------- Examen supplémentaire -------
.
uStart Page = http://www.gmer.net
Rootkit scan 2008-12-22 11:57:24
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(816)
c:\windows\System32\BCMLogon.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\McAfee\MSC\mcmscsvc.exe
c:\program files\Fichiers communs\McAfee\MNA\McNASvc.exe
c:\progra~1\FICHIE~1\McAfee\McProxy\McProxy.exe
c:\progra~1\McAfee\VIRUSS~1\Mcshield.exe
c:\program files\McAfee\MPF\MpfSrv.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\McAfee.com\Agent\mcagent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\WLTRAY.EXE
c:\windows\system32\rundll32.exe
c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe
.
**************************************************************************
.
Heure de fin: 2008-12-22 12:05:13 - La machine a redémarré [lol]
ComboFix-quarantined-files.txt 2008-12-22 11:05:01

Avant-CF: 5,279,752,192 octets libres
Après-CF: 5,186,650,112 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

223 --- E O F --- 2008-12-19 09:19:07

 

Winx

Avatar de Winx
27839 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 22 Décembre 2008 à 14h22

re,

en attendant le retour de Synthexe,

tu n'as pas installé la console de récupération.
En cas de souci avec l'install de la console regarde ici le post de @Synthexe:
http://www.aidoforum.com/forum/vsujet-2 ... tml#271470


ensuite:

    Sélectionne le contenu du cadre ci dessous (en dessous du mot citation: ), puis tu le copies avec un ctrl+c
    ouvre ensuite le Bloc-Notes puis colle le texte ( ctrl+v )
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.) (notepad.exe )
    Sauvegarde ce fichier sous le nom de CFScript.txt sur le bureau.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :



    Cela va relancer Combofix, tape sur 1 puis valide.
    Après redémarrage, poste le contenu du rapport Combofix.txt
    S'il n'y a pas de rédémarrage, poste quand même le rapport.



Code

KillAll::
File::
c:\windows\system32\bikuhagu.dll
c:\windows\system32\talogevi.dll
c:\windows\system32\rokewezi.dll
c:\windows\system32\daholose.dll
c:\windows\system32\pigopimu.dll
c:\windows\system32\fonasito.dll
c:\windows\system32\puwaduvu.dll.vir



Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"581f032a"=-

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Zyrx

Avatar de Zyrx
59 messages
Disquette
Disquette

Lien direct Le 22 Décembre 2008 à 14h30

voici le rapport avec la console Clin d'oeil
je post le rapport avec CFScript dés qu'il as terminé

ComboFix 08-12-18.01 - lol 2008-12-22 14:12:25.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.503.187 [GMT 1:00]
Lancé depuis: c:\documents and settings\lol\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\lol\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
* Resident AV is active

.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\windows\system32\nonomaso.dll
c:\windows\system32\tajojeti.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ebeginat.ini
c:\windows\system32\otisanof.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-22 au 2008-12-22 ))))))))))))))))))))))))))))))))))))
.

2008-12-18 22:29 . 2008-12-18 22:29 <REP> d-------- c:\program files\Trend Micro
2008-12-17 21:05 . 2008-12-22 14:22 <REP> d-------- c:\documents and settings\lol\Tracing
2008-12-17 19:47 . 2008-12-17 19:47 <REP> d-------- c:\program files\Microsoft
2008-12-17 19:46 . 2008-12-17 19:46 <REP> d-------- c:\program files\Windows Live SkyDrive
2008-12-17 19:44 . 2008-12-17 19:47 <REP> d-------- c:\program files\Windows Live
2008-12-17 19:27 . 2008-12-17 19:27 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2008-12-17 18:51 . 2008-12-17 18:55 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-12-17 18:21 . 2008-12-17 18:21 <REP> d-------- c:\program files\MSXML 4.0
2008-12-16 18:34 . 2008-12-16 18:41 1,393 --a------ c:\windows\imsins.BAK
2008-12-14 12:33 . 2001-08-23 17:02 14,080 --a--c--- c:\windows\system32\dllcache\bulltlp3.sys
2008-12-14 12:31 . 2001-08-23 17:46 382,592 --a--c--- c:\windows\system32\dllcache\atidrab.dll
2008-12-14 12:29 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
2008-12-14 12:28 . 2001-08-23 17:46 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll
2008-12-13 16:29 . 2008-12-13 16:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Cyberlink
2008-12-13 16:29 . 2006-06-04 15:48 198,144 --a------ c:\windows\system32\_psisdecd.dll
2008-12-13 16:28 . 2006-06-04 15:48 82,432 --a------ c:\windows\system32\msxml4r.dll
2008-12-13 16:28 . 2006-06-04 15:48 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-12-13 16:26 . 2008-12-13 16:41 <REP> d-------- C:\MyWorks
2008-12-13 16:26 . 2006-06-04 15:48 1,060,864 --a------ c:\windows\system32\MFC71.dll
2008-12-13 16:26 . 2006-06-04 15:48 1,047,552 --a------ c:\windows\system32\MFC71u.dll
2008-12-13 16:25 . 2008-12-13 16:25 <REP> d-------- c:\program files\Digital Photo Navigator 1.5
2008-12-13 14:30 . 2008-12-13 14:30 <REP> d-------- c:\documents and settings\lol\Application Data\Malwarebytes
2008-12-13 14:29 . 2008-12-13 14:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d-------- c:\documents and settings\Loïc.COLAS-DB20AC37F.002\Modèles
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d-------- c:\documents and settings\Loïc.COLAS-DB20AC37F.002\Favoris
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d---s---- c:\documents and settings\Loïc.COLAS-DB20AC37F.002
2008-12-07 18:51 . 2008-11-10 03:39 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll
2008-11-24 11:45 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 13:09 --------- d-----w c:\program files\Wanadoo
2008-12-18 20:57 --------- d-----w c:\documents and settings\LocalService\Application Data\SACore
2008-12-18 19:25 --------- d-----w c:\program files\McAfee
2008-12-17 20:04 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-13 15:34 --------- d-----w c:\program files\CyberLink
2008-12-13 15:33 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-13 10:55 --------- d-----w c:\documents and settings\All Users\Application Data\rkfree
2008-12-07 17:50 --------- d-----w c:\program files\Java
2008-11-17 21:50 --------- d-----w c:\documents and settings\lol\Application Data\LimeWire
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-09-18 17:58 65,536 --sha-w c:\windows\system32\bikuhagu.dll
2008-09-18 17:58 63,621 --sha-w c:\windows\system32\talogevi.dll
.

((((((((((((((((((((((((((((( [email protected]_12.03.55.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-19 17:40:10 96,989 ----a-w c:\windows\system32\puwaduvu.dll
+ 2008-12-22 11:29:16 87,108 --sha-w c:\windows\system32\tanigebe.dll
+ 2008-12-22 13:19:51 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_790.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b2c01ac6-b01b-4162-9f6c-4b52bd3f376c}]
2008-09-18 18:58 63621 --ahs---- c:\windows\system32\talogevi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"EverioService"="c:\program files\CyberLink\PCM4Everio\EverioService.exe" [2007-11-01 151552]
"gevijasiti"="c:\windows\system32\worayewu.dll" [BU]
"CPM5b2c30b6"="c:\windows\system32\tajojeti.dll" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=aivvrf.dll qzctjs.dll c:\windows\system32\refemope.dll c:\windows\system32\yavawoji.dll c:\windows\system32\nonomaso.dll c:\windows\system32\pipiwuhi.dll c:\windows\system32\tajojeti.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
--a--c--- 2004-08-13 01:05 122939 c:\windows\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
-----c--- 2004-10-12 16:54 57344 c:\program files\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
--a------ 2006-06-06 17:06 77824 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--a------ 2006-06-06 17:10 118784 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--a------ 2006-06-06 17:09 94208 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
--a------ 2004-01-07 01:01 110592 c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]
--a------ 2004-10-13 16:12 24576 c:\progra~1\Wanadoo\CnxMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--a------ 2004-10-13 16:12 49152 c:\progra~1\Wanadoo\TaskBarIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--a------ 2004-10-13 16:12 24576 c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedAppl ications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\Wanadoo\\EspaceWanadoo.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\program files\McAfee\SiteAdvisor\McSACore.exe" [2008-10-20 203280]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys []
.
Contenu du dossier 'Tâches planifiées'

2008-12-15 c:\windows\Tasks\McDefragTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

2008-08-31 c:\windows\Tasks\McQcTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = http://www.gmer.net
Rootkit scan 2008-12-22 14:20:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(820)
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(496)
c:\program files\McAfee\SiteAdvisor\saHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\McAfee\MSC\mcmscsvc.exe
c:\program files\Fichiers communs\McAfee\MNA\McNASvc.exe
c:\progra~1\FICHIE~1\McAfee\McProxy\McProxy.exe
c:\progra~1\McAfee\VIRUSS~1\Mcshield.exe
c:\program files\McAfee\MPF\MpfSrv.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\McAfee.com\Agent\mcagent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\WLTRAY.EXE
c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe
.
**************************************************************************
.
Heure de fin: 2008-12-22 14:26:04 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-22 13:25:54
ComboFix2.txt 2008-12-22 11:05:18

Avant-CF: 5 128 171 520 octets libres
Après-CF: 5,121,986,560 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP

 

Winx

Avatar de Winx
27839 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 22 Décembre 2008 à 14h46

re,

    Sélectionne le contenu du cadre ci dessous (en dessous du mot citation: ), puis tu le copies avec un ctrl+c
    ouvre ensuite le Bloc-Notes puis colle le texte ( ctrl+v )
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.) (notepad.exe )
    Sauvegarde ce fichier sous le nom de CFScript.txt sur le bureau.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :



    Cela va relancer Combofix, tape sur 1 puis valide.
    Après redémarrage, poste le contenu du rapport Combofix.txt
    S'il n'y a pas de rédémarrage, poste quand même le rapport.



Code


File::
c:\windows\system32\tanigebe.dll
c:\windows\system32\puwaduvu.dll
c:\windows\system32\bikuhagu.dll
c:\windows\system32\talogevi.dll

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Zyrx

Avatar de Zyrx
59 messages
Disquette
Disquette

Lien direct Le 22 Décembre 2008 à 15h03

voici le nouveau rapport

ComboFix 08-12-18.01 - lol 2008-12-22 14:46:24.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.503.178 [GMT 1:00]
Lancé depuis: c:\documents and settings\lol\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\lol\Bureau\CFScript.txt.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\bikuhagu.dll
c:\windows\system32\daholose.dll
c:\windows\system32\fonasito.dll
c:\windows\system32\pigopimu.dll
c:\windows\system32\puwaduvu.dll.vir
c:\windows\system32\rokewezi.dll
c:\windows\system32\talogevi.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\bikuhagu.dll
c:\windows\system32\daholose.dll
c:\windows\system32\pigopimu.dll
c:\windows\system32\rokewezi.dll
c:\windows\system32\talogevi.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-22 au 2008-12-22 ))))))))))))))))))))))))))))))))))))
.

2008-12-18 22:29 . 2008-12-18 22:29 <REP> d-------- c:\program files\Trend Micro
2008-12-17 21:05 . 2008-12-22 14:56 <REP> d-------- c:\documents and settings\lol\Tracing
2008-12-17 19:47 . 2008-12-17 19:47 <REP> d-------- c:\program files\Microsoft
2008-12-17 19:46 . 2008-12-17 19:46 <REP> d-------- c:\program files\Windows Live SkyDrive
2008-12-17 19:44 . 2008-12-17 19:47 <REP> d-------- c:\program files\Windows Live
2008-12-17 19:27 . 2008-12-17 19:27 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2008-12-17 18:51 . 2008-12-17 18:55 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-12-17 18:21 . 2008-12-17 18:21 <REP> d-------- c:\program files\MSXML 4.0
2008-12-16 18:34 . 2008-12-16 18:41 1,393 --a------ c:\windows\imsins.BAK
2008-12-14 12:33 . 2001-08-23 17:02 14,080 --a--c--- c:\windows\system32\dllcache\bulltlp3.sys
2008-12-14 12:31 . 2001-08-23 17:46 382,592 --a--c--- c:\windows\system32\dllcache\atidrab.dll
2008-12-14 12:29 . 2001-08-17 21:28 762,780 --a--c--- c:\windows\system32\dllcache\3cwmcru.sys
2008-12-14 12:28 . 2001-08-23 17:46 66,048 --a--c--- c:\windows\system32\dllcache\s3legacy.dll
2008-12-13 16:29 . 2008-12-13 16:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Cyberlink
2008-12-13 16:29 . 2006-06-04 15:48 198,144 --a------ c:\windows\system32\_psisdecd.dll
2008-12-13 16:28 . 2006-06-04 15:48 82,432 --a------ c:\windows\system32\msxml4r.dll
2008-12-13 16:28 . 2006-06-04 15:48 44,544 --a------ c:\windows\system32\msxml4a.dll
2008-12-13 16:26 . 2008-12-13 16:41 <REP> d-------- C:\MyWorks
2008-12-13 16:26 . 2006-06-04 15:48 1,060,864 --a------ c:\windows\system32\MFC71.dll
2008-12-13 16:26 . 2006-06-04 15:48 1,047,552 --a------ c:\windows\system32\MFC71u.dll
2008-12-13 16:25 . 2008-12-13 16:25 <REP> d-------- c:\program files\Digital Photo Navigator 1.5
2008-12-13 14:30 . 2008-12-13 14:30 <REP> d-------- c:\documents and settings\lol\Application Data\Malwarebytes
2008-12-13 14:29 . 2008-12-13 14:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d-------- c:\documents and settings\Loïc.COLAS-DB20AC37F.002\Modèles
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d-------- c:\documents and settings\Loïc.COLAS-DB20AC37F.002\Favoris
2008-12-12 09:15 . 2008-12-12 09:20 <REP> d---s---- c:\documents and settings\Loïc.COLAS-DB20AC37F.002
2008-12-07 18:51 . 2008-11-10 03:39 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-02 22:37 . 2008-12-02 22:37 49,480 --a------ c:\windows\system32\sirenacm.dll
2008-11-24 11:45 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 13:44 --------- d-----w c:\program files\Wanadoo
2008-12-22 11:29 97,980 ----a-w c:\windows\system32\tajojeti.dll.vir
2008-12-22 11:29 87,108 --sha-w c:\windows\system32\tanigebe.dll
2008-12-19 17:40 96,989 ----a-w c:\windows\system32\puwaduvu.dll
2008-12-18 20:57 --------- d-----w c:\documents and settings\LocalService\Application Data\SACore
2008-12-18 19:25 --------- d-----w c:\program files\McAfee
2008-12-17 20:04 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-13 15:34 --------- d-----w c:\program files\CyberLink
2008-12-13 15:33 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-13 10:55 --------- d-----w c:\documents and settings\All Users\Application Data\rkfree
2008-12-07 17:50 --------- d-----w c:\program files\Java
2008-11-17 21:50 --------- d-----w c:\documents and settings\lol\Application Data\LimeWire
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET72.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET6E.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET64.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET2F.tmp
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\SET22.tmp
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
.

((((((((((((((((((((((((((((( [email protected]_12.03.55.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-12-22 13:52:50 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7cc.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2007-08-03 582992]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"EverioService"="c:\program files\CyberLink\PCM4Everio\EverioService.exe" [2007-11-01 151552]
"gevijasiti"="c:\windows\system32\worayewu.dll" [BU]
"CPM5b2c30b6"="c:\windows\system32\tajojeti.dll" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=aivvrf.dll qzctjs.dll c:\windows\system32\refemope.dll c:\windows\system32\yavawoji.dll c:\windows\system32\nonomaso.dll c:\windows\system32\pipiwuhi.dll c:\windows\system32\tajojeti.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^DSLMON.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\DSLMON.lnk
backup=c:\windows\pss\DSLMON.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 03:33 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
--a--c--- 2004-08-13 01:05 122939 c:\windows\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVDLauncher]
-----c--- 2004-10-12 16:54 57344 c:\program files\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]
--a------ 2006-06-06 17:06 77824 c:\windows\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]
--a------ 2006-06-06 17:10 118784 c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--a------ 2006-06-06 17:09 94208 c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateManager]
--a------ 2004-01-07 01:01 110592 c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WooCnxMon]
--a------ 2004-10-13 16:12 24576 c:\progra~1\Wanadoo\CnxMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON]
--a------ 2004-10-13 16:12 49152 c:\progra~1\Wanadoo\TaskBarIcon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--a------ 2004-10-13 16:12 24576 c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedAppl ications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Fichiers communs\\McAfee\\MNA\\McNASvc.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\LEXPPS.EXE"=
"c:\\Program Files\\Wanadoo\\EspaceWanadoo.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\program files\McAfee\SiteAdvisor\McSACore.exe" [2008-10-20 203280]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys []
.
Contenu du dossier 'Tâches planifiées'

2008-12-15 c:\windows\Tasks\McDefragTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]

2008-08-31 c:\windows\Tasks\McQcTask.job
- c:\program files\mcafee\mqc\QcConsol.exe [2007-12-04 12:32]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{b2c01ac6-b01b-4162-9f6c-4b52bd3f376c} - c:\windows\system32\talogevi.dll


.
------- Examen supplémentaire -------
.
uStart Page = http://www.gmer.net
Rootkit scan 2008-12-22 14:53:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(812)
c:\windows\System32\BCMLogon.dll

- - - - - - - > 'explorer.exe'(3964)
c:\program files\McAfee\SiteAdvisor\saHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\windows\system32\LEXBCES.EXE
c:\windows\system32\LEXPPS.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\McAfee\MSC\mcmscsvc.exe
c:\program files\Fichiers communs\McAfee\MNA\McNASvc.exe
c:\progra~1\FICHIE~1\McAfee\McProxy\McProxy.exe
c:\progra~1\McAfee\VIRUSS~1\Mcshield.exe
c:\program files\McAfee\MPF\MpfSrv.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\progra~1\McAfee.com\Agent\mcagent.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\WLTRAY.EXE
c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe
c:\progra~1\Wanadoo\EspaceWanadoo.exe
c:\progra~1\Wanadoo\ComComp.exe
c:\program files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Heure de fin: 2008-12-22 15:02:08 - La machine a redémarré [lol]
ComboFix-quarantined-files.txt 2008-12-22 14:01:55
ComboFix2.txt 2008-12-22 13:26:13
ComboFix3.txt 2008-12-22 11:05:18

Avant-CF: 5,055,827,968 octets libres
Après-CF: 5,043,265,536 octets libres

218 --- E O F --- 2008-12-19 09:19:07

 

Winx

Avatar de Winx
27839 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 22 Décembre 2008 à 19h31

re,
fais ceci:

Ensuite fais ceci:

Télécharge Malwarebytes' Anti-Malware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).
-->source ici


* Redémarre en mode sans échec :


    o Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    o A la place du chargement normal de Windows, un menu avec différentes options devrait aparaître.
    o Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    o Choisis ton compte.


* Si besoin: pour une aide visuelle clic ici



    * Lance MBAM et sélectionne "Exécuter un rapide". Patiente le temps du scan.
    * Une fois le scan terminé,clique sur "Supprimer la sélection".


    Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    Enregistre le rapport sur ton Bureau lorsqu'il s'affichera.
    Poste le rapport dans ta prochaine réponse.



ps:
--->aide visuelle sur Mbam ici

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Zyrx

Avatar de Zyrx
59 messages
Disquette
Disquette

Lien direct Le 22 Décembre 2008 à 20h16

salut!! ça a l'air d'aller beaucoup mieux Clin d'oeil

voici le rapport mbam

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1532
Windows 5.1.2600 Service Pack 3

22/12/2008 20:07:06
mbam-log-2008-12-22 (20-07-06).txt

Type de recherche: Examen rapide
Eléments examinés: 89542
Temps écoulé: 12 minute(s), 47 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gevijasiti (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm5b2c30b6 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\nonomaso.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pipiwuhi.dll_old (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\puwaduvu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tajojeti.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tanigebe.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

 

Winx

Avatar de Winx
27839 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 22 Décembre 2008 à 20h35

re,

je voudrai voir ce que dit SmitfraudFix de S!Ri. à ce sujet:

Code

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"



    * Télécharge SmitfraudFix de S!Ri.
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe
    * Double-clique sur SmitfraudFix.exe.
    * Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Enter"; un texte va apparaitre, qui liste les fichiers infectés si présent.
    * Poste le rapport dans ta prochaine réponse.




Citation

process.exe (partie intégrante de Smitfraud ) est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.



____________________________________________________________________________

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

Zyrx

Avatar de Zyrx
59 messages
Disquette
Disquette

Lien direct Le 22 Décembre 2008 à 20h45

voici le rapport :hum:

SmitFraudFix v2.387

Rapport fait à 20:40:52,56, 22/12/2008
Executé à partir de C:\Documents and Settings\lol\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\McAfee\SiteAdvisor\McSACore.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\CyberLink\PCM4Everio\EverioService.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
c:\PROGRA~1\mcafee\VIRUSS~1\mcvsshld.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lol


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\lol\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lol\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\lol\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About&#058;Home"
"SubscribedURL"="About&#058;Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="aivvrf.dll qzctjs.dll C:\\WINDOWS\\system32\\refemope.dll c:\\windows\\system32\\yavawoji.dll C:\\WINDOWS\\system32\\nonomaso.dll c:\\windows\\system32\\pipiwuhi.dll c:\\windows\\system32\\tajojeti.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 80.10.246.130
DNS Server Search Order: 81.253.149.10

HKLM\SYSTEM\CCS\Services\Tcpip\..\{15B6F893-8227-47FA-B70B-38019A455941}: NameServer=80.10.246.130 81.253.149.10
HKLM\SYSTEM\CS1\Services\Tcpip\..\{15B6F893-8227-47FA-B70B-38019A455941}: NameServer=80.10.246.130 81.253.149.10


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

Winx

Avatar de Winx
27839 messages
No-Life
No-Life
AidoHardware
AidoHardware
AidoAntivirus
AidoAntivirus
AidoWindows
AidoWindows

Lien direct Le 23 Décembre 2008 à 09h08

re,

fais ceci:

Nettoyage
=================
-Si je te demande d'effectuer la procédure de nettoyage---->
-Redémarre ton PC en en mode sans échec.
pour une aide visuelle clic ici
Lance smitfraudfix.exe
choisis l'option n°2
Accepte les différents nettoyages (registre et tout)
Colle ici le nouveau log ( rapport ) généré.

Je n'ai pas la prétention de résoudre les problèmes, mais celle de vous aider à les résoudre ;-)
 

<<<12>>>

[Page 1 sur 2 - 27 messages]