Se connecter / S'enregistrer
Votre question

Antispyware expert et Virus Alert!

Tags :
  • Antispyware
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Juillet 2008 16:22:52

Bonjour,

J'ai un petit problème avec l'ordinateur de mon père, il est infecté par Antispywareexpert et Virus Alert! après de nombreuses recherches, j'ai pu je pense enlever une partie d'antispywareexpert grâce à MalwareByte's Anti-Malware mais bon le problème est toujours là, à savoir, impossibilité d'accéder au disque dur, au gestionnaire des taches , au modificateur de registre, à executer et à "tous les programmes" donc l'ordi est quasiment inutilisable pour mon père. Quelqu'un peut-il m'aider à enlever celà. J'ai fait hijackthis et SmitfraudFix en mode sans echec, si ça peut aider.

Voilà le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26: VIRUS ALERT!, on 11/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [AntiSpywareExpert] C:\Program Files\AntiSpywareExpert\ase_fr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 3836 bytes



Voici le premier rapport SmitfraudFix :

SmitFraudFix v2.329

Rapport fait à 15:19:21,01, ven. 11/07/2008
Executé à partir de C:\Documents and Settings\dany\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\dany


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\dany\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\dany\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 172.19.3.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8405A47B-57B1-4E38-AED0-945D20638040}: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8405A47B-57B1-4E38-AED0-945D20638040}: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8405A47B-57B1-4E38-AED0-945D20638040}: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=172.19.3.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



et le deuxieme SmitfraudFix :

SmitFraudFix v2.329

Rapport fait à 15:21:59,75, ven. 11/07/2008
Executé à partir de C:\Documents and Settings\dany\Bureau\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8405A47B-57B1-4E38-AED0-945D20638040}: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8405A47B-57B1-4E38-AED0-945D20638040}: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{8405A47B-57B1-4E38-AED0-945D20638040}: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.19.3.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=172.19.3.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Merci d'avance

Autres pages sur : antispyware expert virus alert

11 Juillet 2008 23:24:57

Bonsoir,

Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    12 Juillet 2008 10:38:03

    Merci beaucoup, je pense que le problème est résolu.

    Je poste quand même le rapport au cas où il resterait qqch.



    ComboFix 08-07-11.1 - dany 2008-07-12 10:29:41.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.265 [GMT 2:00]
    Endroit: C:\Documents and Settings\dany\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration
    * Resident AV is active


    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\cordoba\Menu Démarrer\Programmes\Antivirus 2008 PRO
    C:\Documents and Settings\cordoba\Menu Démarrer\Programmes\Antivirus 2008 PRO\antivirus-2008pro.lnk

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-11 15:21 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2008-07-11 15:21 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2008-07-11 15:21 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
    2008-07-11 15:21 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
    2008-07-11 15:21 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
    2008-07-11 15:21 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
    2008-07-11 15:21 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-07-11 15:21 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2008-07-11 15:21 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2008-07-11 15:19 . 2008-07-11 15:22 2,364 --a------ C:\WINDOWS\system32\tmp.reg
    2008-07-11 14:01 . 2008-07-11 14:01 <REP> d-------- C:\_OTMoveIt
    2008-07-11 12:39 . 2008-07-11 12:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2008-07-11 12:35 . 2008-04-08 18:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
    2008-07-11 12:35 . 2008-07-11 12:42 <REP> d-------- C:\Documents and Settings\Administrateur
    2008-07-11 11:57 . 2008-07-11 11:57 <REP> d-------- C:\Documents and Settings\dany\Application Data\Malwarebytes
    2008-07-11 11:57 . 2008-07-11 11:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-11 11:57 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-07-11 11:57 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-07-11 07:44 . 2008-07-11 13:12 <REP> d-------- C:\Documents and Settings\cordoba\Application Data\TmpRecentIcons
    2008-06-25 23:52 . 2008-06-25 23:52 <REP> d-------- C:\Documents and Settings\dany\Application Data\Meridian93
    2008-06-25 00:04 . 2008-06-25 00:04 <REP> d-------- C:\Documents and Settings\dany\Application Data\Fuzzy Games
    2008-06-20 22:51 . 2008-07-12 10:25 <REP> d-------- C:\Documents and Settings\dany\Application Data\OpenOffice.org2

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-09 14:30 --------- d-----w C:\Program Files\Real
    2008-06-27 19:49 --------- d-----w C:\Documents and Settings\dany\Application Data\LimeWire
    2008-06-24 20:58 --------- d-----w C:\Documents and Settings\dany\Application Data\PlayFirst
    2008-06-24 20:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\PlayFirst
    2008-06-18 15:35 --------- d-----w C:\Program Files\eMule
    2008-06-10 15:59 --------- d-----w C:\Documents and Settings\dany\Application Data\Gaijin Ent
    2008-06-08 17:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lifetime
    2008-06-01 07:12 --------- d-----w C:\Program Files\Happyneuron
    2008-05-23 10:51 3,888 ----a-w C:\WINDOWS\system32\drivers\NTHANDLE.SYS
    2008-05-21 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sandlot Games
    2008-05-17 14:55 --------- d-----w C:\Documents and Settings\cordoba\Application Data\Ahead
    2008-05-12 19:13 --------- d-----w C:\Documents and Settings\dany\Application Data\Ahead
    2008-05-12 10:16 --------- d-----w C:\Program Files\Fichiers communs\Ahead
    2008-05-12 10:13 --------- d-----w C:\Program Files\Nero
    2008-05-12 09:15 --------- d-----w C:\Program Files\ESET
    2008-05-12 09:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET
    2008-04-09 16:09 774,144 ----a-w C:\Program Files\RngInterstitial.dll
    2004-02-18 11:57 69,632 ----a-w C:\Documents and Settings\dany\Instngin.dll
    2004-02-18 11:57 147,456 ----a-w C:\Documents and Settings\dany\Setup.exe
    2003-05-14 08:17 106,496 ----a-w C:\Documents and Settings\dany\PCIUtil.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 16:10 1667584]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-06 18:07 68856]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 13:32 94208]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2004-02-10 10:55 155648]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2004-02-10 10:51 118784]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
    "egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 16:48 1443072]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=

    R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]

    *Newly Created Service* - CATCHME
    .
    - - - - ORPHANS REMOVED - - - -

    HKLM-Run-WinampAgent - C:\Program Files\Winamp\winampa.exe


    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-12 10:32:16
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...


    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-12 10:34:26
    ComboFix-quarantined-files.txt 2008-07-12 08:33:23

    Pre-Run: 97,689,989,120 octets libres
    Post-Run: 98,833,780,736 octets libres

    110
    Contenus similaires
    12 Juillet 2008 10:51:16

    Apparemment, il a eu le virus sur une autre session windows qu'il vient d'ouvrir et sur laquelle il était encore donc je viens de faire combofix sur cette session là aussi je poste le rapport ici



    ComboFix 08-07-11.1 - cordoba 2008-07-12 10:42:38.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.248 [GMT 2:00]
    Endroit: C:\Documents and Settings\cordoba\Bureau\ComboFix.exe
    * Resident AV is active


    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    ((((((((((((((((((((((((((((( Fichiers créés 2008-06-12 to 2008-07-12 ))))))))))))))))))))))))))))))))))))
    .

    2008-07-11 15:21 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
    2008-07-11 15:21 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
    2008-07-11 15:21 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
    2008-07-11 15:21 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
    2008-07-11 15:21 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
    2008-07-11 15:21 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
    2008-07-11 15:21 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
    2008-07-11 15:21 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
    2008-07-11 15:21 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
    2008-07-11 15:19 . 2008-07-11 15:22 2,364 --a------ C:\WINDOWS\system32\tmp.reg
    2008-07-11 14:01 . 2008-07-11 14:01 <REP> d-------- C:\_OTMoveIt
    2008-07-11 12:39 . 2008-07-11 12:39 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2008-07-11 12:35 . 2008-04-08 18:45 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
    2008-07-11 12:35 . 2008-04-08 19:37 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
    2008-07-11 12:35 . 2008-07-11 12:42 <REP> d-------- C:\Documents and Settings\Administrateur
    2008-07-11 11:57 . 2008-07-11 11:57 <REP> d-------- C:\Documents and Settings\dany\Application Data\Malwarebytes
    2008-07-11 11:57 . 2008-07-11 11:57 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-07-11 11:57 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-07-11 11:57 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-06-25 23:52 . 2008-06-25 23:52 <REP> d-------- C:\Documents and Settings\dany\Application Data\Meridian93
    2008-06-25 00:04 . 2008-06-25 00:04 <REP> d-------- C:\Documents and Settings\dany\Application Data\Fuzzy Games
    2008-06-20 22:51 . 2008-07-12 10:25 <REP> d-------- C:\Documents and Settings\dany\Application Data\OpenOffice.org2

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-07-09 14:30 --------- d-----w C:\Program Files\Real
    2008-06-27 19:49 --------- d-----w C:\Documents and Settings\dany\Application Data\LimeWire
    2008-06-24 20:58 --------- d-----w C:\Documents and Settings\dany\Application Data\PlayFirst
    2008-06-24 20:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\PlayFirst
    2008-06-18 15:35 --------- d-----w C:\Program Files\eMule
    2008-06-10 15:59 --------- d-----w C:\Documents and Settings\dany\Application Data\Gaijin Ent
    2008-06-08 17:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lifetime
    2008-06-01 07:12 --------- d-----w C:\Program Files\Happyneuron
    2008-05-23 10:51 3,888 ----a-w C:\WINDOWS\system32\drivers\NTHANDLE.SYS
    2008-05-21 13:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Sandlot Games
    2008-05-17 14:55 --------- d-----w C:\Documents and Settings\cordoba\Application Data\Ahead
    2008-05-12 19:13 --------- d-----w C:\Documents and Settings\dany\Application Data\Ahead
    2008-05-12 10:16 --------- d-----w C:\Program Files\Fichiers communs\Ahead
    2008-05-12 10:13 --------- d-----w C:\Program Files\Nero
    2008-05-12 09:15 --------- d-----w C:\Program Files\ESET
    2008-05-12 09:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\ESET
    2008-04-09 16:09 774,144 ----a-w C:\Program Files\RngInterstitial.dll
    2004-02-18 11:57 69,632 ----a-w C:\Documents and Settings\dany\Instngin.dll
    2004-02-18 11:57 147,456 ----a-w C:\Documents and Settings\dany\Setup.exe
    2003-05-14 08:17 106,496 ----a-w C:\Documents and Settings\dany\PCIUtil.dll
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 16:10 1667584]
    "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-06 18:07 68856]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-06-01 13:32 94208]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2004-02-10 10:55 155648]
    "HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2004-02-10 10:51 118784]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
    "egui"="C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 16:48 1443072]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=

    R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]

    *Newly Created Service* - CATCHME
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-07-12 10:44:21
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...


    **************************************************************************
    .
    Temps d'accomplissement: 2008-07-12 10:46:13
    ComboFix-quarantined-files.txt 2008-07-12 08:45:06
    ComboFix2.txt 2008-07-12 08:34:28

    Pre-Run: 98,830,450,688 octets libres
    Post-Run: 98,825,347,072 octets libres

    102
    12 Juillet 2008 13:17:10

    Re,

    Apparemment propre.
    Il faut désactiver tes protections pour passer ComboFix :) 

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

    Une fois l'installation et la mise à jour effectuées :
    Redémarre en mode sans échec
    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    [#FF0000]Aide
    : Comment utiliser MBAM.
    12 Juillet 2008 13:53:42

    Merci beaucoup je l'ai fait et il n'y a plus rien, super gentil merci.
    12 Juillet 2008 14:51:30

    Re,

    Poste un dernier rapport hijackThis.
    12 Juillet 2008 20:59:00

    Encore Merci, voilà le dernier HijackThis


    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:55, on 12/07/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\WINDOWS\system32\wscntfy.exe
    D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

    --
    End of file - 4419 bytes
    12 Juillet 2008 23:22:03

    Re,

    C'est propre.
    Désinstalle les outils utilisés.
    Bonne soirée ;) 
    15 Juillet 2008 18:32:05

    Voilà c'est fait merci beaucoup
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS