résolu /l'oeuvre de spyware secure
Forum Sécurité - Virus : résolu /l'oeuvre de spyware secure
bonjour,
comme d'autres internautes, mon ordinateur a été touché par spyware secure. Résultats: pages de pub intenpestives, alertes virus et ordinateurs très lent.
Voici un diagnostique de l'ordi:
Search Navipromo version 3.0.0 commencé le 08/09/2007 à 20:53:22,37
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 06.09.2007 a 07h00 by IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
*** Recherche Programmes installes ***
MessengerSkinner
*** Recherche dossiers dans C:\WINDOWS ***
*** Recherche dossiers dans C:\Program Files ***
C:\Program Files\MessengerSkinner trouvé !
*** Recherche dossiers dans D:\Documents and Settings\All Users\Application Data ***
*** Recherche dossiers dans D:\Documents and Settings\MylŠne\Application Data ***
*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
http://www.f-secure.com/blacklight [...] _help.html
Fichier(s) caché(s) dans C:\WINDOWS\system32 :
c:\WINDOWS\system32\afwotw.dat
C:\windows\system32\afwotw.exe
c:\WINDOWS\system32\afwotw_nav.dat
c:\WINDOWS\system32\afwotw_navps.dat
Processus caché(s) dans C:\WINDOWS\system32 :
C:\windows\system32\afwotw.exe
*** Recherche avec GenericNaviSearch ***
!!! Tous Ces résultats peuvent révéler des fichiers légitimes !!!
!!! A verifier impérativement avant toute suppression manuelle !!!
* Scan C:\WINDOWS\system32 *
Fichiers trouvés :
afwotw.exe trouvé !
flmopmddi.exe trouvé !
C:\WINDOWS\prefetch\flmopmddi*.pf trouvé !
wpqjkftz.exe trouvé !
Fichiers suspects :
Aucun Fichier suspect trouvé !
*** Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
C:\WINDOWS\system32\nvs2.inf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-183E7150.pf trouvé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf trouvé !
*** Recherche cles registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche Heuristique :
C:\WINDOWS\system32\afwotw.dat trouvé !
C:\WINDOWS\system32\byndqncpmb.dat trouvé !
C:\WINDOWS\system32\afwotw_navps.dat trouvé !
C:\WINDOWS\system32\byndqncpmb_navps.dat trouvé !
3)Recherche Certificats :
Certificat Egroup trouvé !
*** Analyse Terminé le 08/09/2007 à 20:58:18,60 ***
merci de m'aider à résoudre le problème.
Message édité par mamiebc le 15-09-2007 à 21:20:50
Bonjour
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.
Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.
Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre
PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.
Poste son rapport
Fais aussi ceci.
Télécharge HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
Tutorial
http://pchelpbordeaux.free.fr/tuto.html
Démo en image
http://perso.orange.fr/rginformati [...] hijack.htm
Fais un scan et poste l'analyse ici.
Vous avez un problème ? Créez votre propre post !
Répondre à chercheur_
merci de cet aide voici le rapport
Clean Navipromo version 3.0.0 commencé le 09/09/2007 à 10:27:30,96
Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 06.09.2007 a 07h00 by IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Mode suppression automatique
*** Creation backups fichiers trouvés par Blacklight ***
Copie vers "C:\Program Files\navilog1\Backupnavi"
*** Suppression des fichiers trouvés avec Blacklight ***
c:\WINDOWS\system32\afwotw.dat supprimé !
C:\windows\system32\afwotw.exe supprimé !
c:\WINDOWS\system32\afwotw_nav.dat supprimé !
c:\WINDOWS\system32\afwotw_navps.dat supprimé !
** 2ème passage **
C:\WINDOWS\system32\afwotw.exe absent !
C:\WINDOWS\system32\afwotw.dat absent !
C:\WINDOWS\system32\afwotw_nav.dat absent !
C:\WINDOWS\system32\afwotw_navps.dat absent !
C:\WINDOWS\system32\afwotw_navup.dat absent !
C:\WINDOWS\system32\afwotw_navtmp.dat absent !
C:\WINDOWS\system32\afwotw_m2s.xml absent !
C:\WINDOWS\prefetch\afwotw*.pf absent !
*** Suppression avec Backups résultats GenericNaviSearch ***
* Scan C:\WINDOWS\system32 *
*** Suppression dossiers dans C:\WINDOWS ***
*** Suppression dossiers dans C:\Program Files ***
C:\Program Files\MessengerSkinner ...suppression...
C:\Program Files\MessengerSkinner supprimé !
*** Suppression dossiers dans D:\Documents and Settings\All Users\Application Data ***
*** Suppression dossiers dans D:\Documents and Settings\Bruno\Application Data ***
...\Application Data\MessengerSkinner ...suppression...
...\Application Data\MessengerSkinner supprimé !
*** Suppression fichiers ***
C:\WINDOWS\pack.epk supprimé !
C:\WINDOWS\system32\nvs2.inf supprimé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-183E7150.pf supprimé !
C:\WINDOWS\prefetch\MESSENGERSKINNER.EXE-2C07B8D0.pf supprimé !
*** Suppression fichiers temporaires ***
Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu D:\Documents and Settings\Bruno\Local Settings\Temp effectué !
*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche fichiers connus:
2)Recherche et Suppression Heuristique :
C:\WINDOWS\System32\byndqncpmb.dat trouvé !
Copie C:\WINDOWS\system32\byndqncpmb.dat réalise avec succes !
C:\WINDOWS\system32\byndqncpmb.dat supprimé !
C:\WINDOWS\System32\byndqncpmb_navps.dat trouvé !
Copie C:\WINDOWS\system32\byndqncpmb_navps.dat réalise avec succes !
C:\WINDOWS\system32\byndqncpmb_navps.dat supprimé !
C:\WINDOWS\System32\byndqncpmb_nav.dat trouvé !
Copie C:\WINDOWS\system32\byndqncpmb_nav.dat réalise avec succes !
C:\WINDOWS\system32\byndqncpmb_nav.dat supprimé !
*** Sauvegarde du registre vers dossier Backupnavi ***
sauvegarde du registre réalise avec succes !
*** Nettoyage registre ***
Erreur application fixreg
Le registre n'a pas été nettoyé !
*** Certificats ***
Certificat Egroup supprimé !
*** Fichiers suspects non supprimés par Navilog1 ***
!! Fichiers légitimes possibles, à contrôler avant suppression !!
C:\WINDOWS\system32\flmopmddi.exe trouvé !
C:\WINDOWS\system32\wpqjkftz.exe trouvé !
*** Nettoyage termine le 09/09/2007 à 10:31:07,71 ***
voici le rapport de HijackThis
Logfile of HijackThis v1.99.1
Scan saved at 10:47:06, on 09/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe
C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Hijackthis Version Française\hijackthis vf.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://french.icrfast.com/index.php?rvs=hompag
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [BOOT] C:\Program Files\ISSENDIS\ISSENDIS WebUpdate v6\issendiswebupdatev6.exe /BOOT
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?baa5161da1b34f62b664c5b303b5d86b
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?baa5161da1b34f62b664c5b303b5d86b
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/bina [...] b56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-F [...] E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: MysqlInventime - Unknown owner - C:\Apps\INVENT~1\mysql\bin\mysqld-nt.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
Bonjour
Tu as deux antivirus (Norton et Avast). Lequel utilises tu ?
Double clique sur le fichier regclean.reg qui se trouve dans
%programfiles%\Navilog1. Accepte les modifications.
Télécharge Combofix.exe (par sUBs) sur ton Bureau
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe et suis les invites.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse.
Vous avez un problème ? Créez votre propre post !
Répondre à chercheur_
Encore merci de ton aide. J' ai avast comme anti virus. On a été obliger de supprimer norton (nous avons télécharger ce qui permettait de le désinstaller) car il nous refusait l' accés à internet.
En téléchargeant combofix avast c'est déclanché et combofix a été mis en quarantaine. Cependant, nous avons quand même eu le rapport.
ComboFix 07-09-09.5 - "Bruno" 2007-09-09 19:19:27.1 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.1.1036.18.483 [GMT 2:00]
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\asc3550.sys
((((((((((((((((((((((((((((( Fichiers créés 2007-08-09 to 2007-09-09 ))))))))))))))))))))))))))))))))))))
.
2007-09-09 19:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-09 10:50 <REP> d-------- C:\Program Files\jv16 PowerTools
2007-09-09 10:43 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-09-09 10:31 3,405 --a------ C:\WINDOWS\system32\gnc.exe
2007-09-08 20:51 <REP> d-------- C:\Program Files\Navilog1
2007-09-08 11:18 274,944 --a------ C:\WINDOWS\system32\wpqjkftz.exe
2007-09-02 18:09 333,312 --a------ C:\WINDOWS\system32\flmopmddi.exe
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-08 11:39 --------- d-------- C:\Program Files\Call of Duty Game of the Year Edition
2007-09-07 22:01 --------- d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-04 11:21 --------- d-------- C:\Program Files\Google
2007-08-31 20:19 --------- d-------- C:\Program Files\Picasa2
2007-08-23 19:43 --------- d-------- C:\Program Files\VDCodecPack1.6
2007-08-10 12:48 --------- d-------- D:\DOCUME~1\Bruno\APPLIC~1\Image Zone Express
2007-08-09 18:20 --------- d-------- D:\DOCUME~1\Brigitte\APPLIC~1\CyberLink
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-06-29 11:59 318976 --a------ C:\WINDOWS\system32\dllcache\unregmp2.exe
2007-06-26 16:12 663040 --------- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-14 20:10 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-14 20:10 617472 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-14 20:10 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-14 20:10 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-14 20:10 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-14 20:10 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-14 20:10 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-14 20:10 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-14 20:10 3079680 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-14 20:10 251392 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-14 20:10 205312 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-14 20:10 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-14 20:10 152064 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-14 20:10 1495040 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-14 20:10 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-14 20:10 1056768 --------- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-14 20:10 1024000 --------- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 16:07 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:22 1037312 --------- C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-11 23:51 10834944 --a------ C:\WINDOWS\system32\dllcache\wmp.dll
2007-02-01 21:45 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-02-11 05:00 80014 --a------ C:\WINDOWS\Fonts\unins000.exe
--------- C:\Program Files\Hijackthis Version Française
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2004-10-04 14:03]
"Ulead AutoDetector v2"="C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 12:43]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-11-28 10:47]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 19:48 C:\WINDOWS\SOUNDMAN.EXE]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 14:48]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"BOOT"="C:\Program Files\ISSENDIS\ISSENDIS WebUpdate v6\issendiswebupdatev6.exe" [2002-08-16 16:14]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 22:05]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-10 19:49]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"OoPDFSettingsv6.exe"="C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe" [2003-11-20 11:38]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
S2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-09-09 17:14:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-09 19:20:37
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-09-09 19:21:15
C:\ComboFix-quarantined-files.txt ... 2007-09-09 19:21
.
--- E O F ---
bonne soirée
Re
Copie (Ctrl+C) le texte ci-dessous :
File::
C:\WINDOWS\system32\wpqjkftz.exe
C:\WINDOWS\system32\flmopmddi.exe
Folder::
C:\Program Files\Symantec
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt
Comme l'image le montre, fait glisser CFScript.txt sur Combofix.exe
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Vous avez un problème ? Créez votre propre post !
Répondre à chercheur_
Voici le rapport:
ComboFix 07-09-09.5 - "Bruno" 2007-09-11 20:21:03.2 - NTFSx86
Microsoft Windows XP dition familiale 5.1.2600.2.1252.33.1036.18.492 [GMT 2:00]
* Created a new restore point
FILE::
C:\WINDOWS\system32\wpqjkftz.exe
C:\WINDOWS\system32\flmopmddi.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\drivers\asc3550.sys
C:\WINDOWS\system32\flmopmddi.exe
C:\WINDOWS\system32\wpqjkftz.exe
((((((((((((((((((((((((((((( Fichiers créés 2007-08-11 to 2007-09-11 ))))))))))))))))))))))))))))))))))))
.
2007-09-09 19:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-09 10:50 <REP> d-------- C:\Program Files\jv16 PowerTools
2007-09-09 10:43 <REP> d-------- C:\Program Files\Hijackthis Version Fran‡aise
2007-09-09 10:31 3,405 --a------ C:\WINDOWS\system32\gnc.exe
2007-09-08 20:51 <REP> d-------- C:\Program Files\Navilog1
2007-09-04 11:21 <REP> d-------- C:\WINDOWS\system32\config\SYSTEM~1\APPLIC~1\Google
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-11 20:18 --------- d-------- D:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
2007-09-08 11:39 --------- d-------- C:\Program Files\Call of Duty Game of the Year Edition
2007-09-06 12:09 801144 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-09-06 12:05 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 12:05 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 12:03 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 12:02 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 12:00 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-09-06 12:00 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-09-04 11:21 --------- d-------- C:\Program Files\Google
2007-08-31 20:19 --------- d-------- C:\Program Files\Picasa2
2007-08-23 19:43 --------- d-------- C:\Program Files\VDCodecPack1.6
2007-08-10 12:48 --------- d-------- D:\DOCUME~1\Bruno\APPLIC~1\Image Zone Express
2007-08-09 18:20 --------- d-------- D:\DOCUME~1\Brigitte\APPLIC~1\CyberLink
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-06-29 11:59 318976 --a------ C:\WINDOWS\system32\dllcache\unregmp2.exe
2007-06-26 16:12 663040 --------- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:32 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:32 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-14 20:10 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-14 20:10 617472 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-14 20:10 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-14 20:10 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-14 20:10 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-14 20:10 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-14 20:10 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-14 20:10 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-14 20:10 3079680 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-14 20:10 251392 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-14 20:10 205312 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-14 20:10 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-14 20:10 152064 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-14 20:10 1495040 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-14 20:10 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-14 20:10 1056768 --------- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-14 20:10 1024000 --------- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 16:07 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:22 1037312 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:22 1037312 --------- C:\WINDOWS\system32\dllcache\explorer.exe
2007-06-11 23:51 10834944 --a------ C:\WINDOWS\system32\dllcache\wmp.dll
2007-02-01 21:45 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2004-02-11 05:00 80014 --a------ C:\WINDOWS\Fonts\unins000.exe
--------- C:\Program Files\Hijackthis Version Française
.
((((((((((((((((((((((((((((( snapshot_2007-09-09_192054,32 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 16,384 2007-09-11 18:18:28 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
----a-w 32,768 2007-09-11 18:18:28 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
----a-w 32,768 2007-09-11 18:18:28 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
----atw 16,384 2007-09-11 18:09:00 C:\WINDOWS\Temp\Perflib_Perfdata_4d0.dat
.
----a-w 16,384 2007-08-07 07:18:56 C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
----a-w 32,768 2007-08-07 07:18:56 C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
----a-w 32,768 2007-08-07 07:18:56 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Vade Retro Outlook Express"="C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe" [2004-10-04 14:03]
"Ulead AutoDetector v2"="C:\Program Files\Fichiers communs\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 12:43]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-11-28 10:47]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 19:48 C:\WINDOWS\SOUNDMAN.EXE]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 14:48]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 00:12]
"BOOT"="C:\Program Files\ISSENDIS\ISSENDIS WebUpdate v6\issendiswebupdatev6.exe" [2002-08-16 16:14]
"ATIPTA"="C:\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 22:05]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-10 19:49]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe" []
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"OoPDFSettingsv6.exe"="C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe" [2003-11-20 11:38]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
S2 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique;"C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2007-09-11 18:14:07 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
.
**************************************************************************
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-11 20:22:18
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-09-11 20:22:51
C:\ComboFix-quarantined-files.txt ... 2007-09-11 20:22
C:\ComboFix2.txt ... 2007-09-09 19:21
.
--- E O F ---
cependant comme la première fois avast a détecté uncheval de troie au démarrage de combofix. je l'ai mis en quarentaine.
l'ordi a repris de la vitesse et nous n'avons plus de pubs intempestives.
j'aimerais cependant savoir si nous avons toujours le virus.
merci
Re
Pour voir s'il reste quelque chose, fais une analyse antivirus en ligne sur Kaspersky
http://webscanner.kaspersky.fr/
Clique sur Démarrer Online Scanner.
Sélectionne le poste de travail comme analyse.
Colle son rapport ici.
Aide toi de ce lien.
http://www.infos-du-net.com/forum/ [...] -kaspersky
Vous avez un problème ? Créez votre propre post !
Répondre à chercheur_
je suis désolée mais je réclame encore de l'aide: malgré les explications, je n'arrive pas à faire l'analyse. je reste bloquée sur la page "j'accepte" le bandeau ne devient pas jaune. j'ai autorisé les fenêtres popup pour ce site mais rien n'y fait!
Finalement avec un peu de patience on y arrive. Voici le rapport:
KASPERSKY ON-LINE SCANNER REPORT
Wednesday, September 12, 2007 4:08:03 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 12/09/2007
Enregistrements dans la base antivirus Kaspersky : 387366
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
C:\
D:\
E:\
G:\
H:\
I:\
J:\
Statistiques de l'analyse
Total d'objets analysés 94879
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 00:50:47
Nom de l'objet infecté Nom du virus Dernière action
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_AGENT_LOG1.txt L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_AUDIO\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_BINARY\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_BLOB\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_GLOBAL\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_IMAGE\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_MAIN\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_TV\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db L'objet est verrouillé ignoré
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLML_VIDEO\CLML.db-journal L'objet est verrouillé ignoré
C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\Traitements\300.exe Infecté : Trojan-Spy.Win32.Delf.wh ignoré
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP157\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{8093BEDB-817D-4E19-96DF-A300C799F6BA}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_4f4.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Cookies\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbc2e.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbdam L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbdao L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbeam L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbeao L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbm L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbu2d.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbvm.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\dbvmh.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\fii.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\fiih.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\hp L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\hpt2i.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\rpm.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\rpm1m.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\rpm1mh.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\rpmh.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-black-enchashm.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-black-enchashmh.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-black-urlm.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-black-urlmh.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-malware-domainm.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-malware-domainmh.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-white-domainm.cf1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Google\Google Desktop\f189efab1382\safeweb\goog-white-domainmh.ht1 L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Historique\History.IE5\MSHist012007091220070913\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Temp\hpodvd09.log L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Temp\~DFEEAC.tmp L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\ntuser.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Bruno\ntuser.dat.LOG L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Application Data\Microsoft\MSNLiveFav\LiveFavorites.xml L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Cookies\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Messenger\bcg27@hotmail.fr\SharingMetadata\Logs\Dfsr00005.log L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Messenger\bcg27@hotmail.fr\SharingMetadata\pending.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Messenger\bcg27@hotmail.fr\SharingMetadata\Working\database_7AA0_4274_A042_36C3\dfsr.db L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Messenger\bcg27@hotmail.fr\SharingMetadata\Working\database_7AA0_4274_A042_36C3\fsr.log L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Messenger\bcg27@hotmail.fr\SharingMetadata\Working\database_7AA0_4274_A042_36C3\fsrtmp.log L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Messenger\bcg27@hotmail.fr\SharingMetadata\Working\database_7AA0_4274_A042_36C3\tmp.edb L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Windows Live Contacts\bcg27@hotmail.fr\real\members.stg L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Application Data\Microsoft\Windows Live Contacts\bcg27@hotmail.fr\shadow\members.stg L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Historique\History.IE5\MSHist012007082020070827\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Historique\History.IE5\MSHist012007091220070913\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\temp\hpodvd09.log L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\temp\~DF3A6A.tmp L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\temp\~DF3A78.tmp L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\temp\~DF65A9.tmp L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\temp\~DFA873.tmp L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\temp\~DFF31E.tmp L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\temp\~DFF399.tmp L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\Local Settings\Temporary Internet Files\PhishingFilter\45E13EC5-3DB7-4B3D-9F80-073A58AB5E82.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\ntuser.dat L'objet est verrouillé ignoré
D:\Documents and Settings\Christian\ntuser.dat.LOG L'objet est verrouillé ignoré
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
D:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
D:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\LocalService\Local Settings\Temp\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré
D:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
D:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
D:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
D:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
D:\Documents and Settings\NetworkService\ntuser.dat L'objet est verrouillé ignoré
D:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP157\change.log L'objet est verrouillé ignoré
Analyse terminée.
apparement le virus est toujours là. Comment puis-je m'en débarrasser?
office one est un programme qui était sur l'ordi, mais on ne s'en sert jamais.
Bonjour
Supprime ce fichier
C:\Program Files\OFFICE One6.5\OFFICE One PDF Manager\Traitements\300.exe
As tu encore des dysfonctionnements ?
Vous avez un problème ? Créez votre propre post !
Répondre à chercheur_
bonjour,
j'ai supprimé le fichier infecté et j'ai relancé une analyse avec kaspersky.
Ce dernier a retrouvé un fichier infecté qui n'apparaissait pas lors de la dernière analyse.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP158\A0032714.exe
Infecté : Trojan-Spy.Win32.Delf.wh
J'ai l'impression que c'est le même virus qui se déplace. Est-ce possible?
merci
Oui, car il est maintenant dans le système de restauration.
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Cocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
Redémarre le PC
Clique sur Démarrer - Clic droit sur le Poste de Travail - Propriétés - Restauration du systéme - Décocher la case Désactiver la restauration du systéme et cliquer sur Appliquer.
As tu encore des dysfonctionnements ?
Vous avez un problème ? Créez votre propre post !
Répondre à chercheur_
bonsoir,
problème résolu. A la dernière analyse, pas de virus détecté.
merci de tes conseils avisés et du temps que tu m'as donné.
Il y a 2886 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
