Probleme Spyware avec triangle jaune [Resolu]

Bonjour, j'aurais besoin de votre aide SVP. Je suis infecté par un ou plusieurs spywares. J'utilise habituellement Firefox mais un ami est venu chez moi et s'est connecté avec Internet Explorer. Résultat, j'ai un triangle jaune avec un point d'exclamation dans ma barre des taches pres de l'horloge. Je recois des messages me disant que mon pc est infecté des spyware ralentissant les performances de mon pc et m'incitant à résoudre mon probleme avec Spyware Doctor et Best SellerAntivirus qui sont évidemment payants( C'est limite harcelement) J'ai aussi deux nouveaux icones sur mon bureau impossibles a faire disparaitre definitivementnline Security guide et Live Safety Center. Je me suis renseigné sur les autres sujets du forum é j'ai téléchargé HijiackThis version 2.02 pour faire un log. voici le bilan é merci d'avance

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:04, on 16/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\HJTInstall.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\System32\wsedpmbi.dll
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [bc34fa73] rundll32.exe "C:\WINDOWS\System32\xyiuohpx.dll",b
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\BestsellerAntivirus\bm.exe" dm=http://bestsellerantivirus.com; ad=http://bestsellerantivirus.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\__c00911B2.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\mnfvvlen.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

--
End of file - 4523 bytes

Message édité par joe_1 le 21-11-2007 à 17:52:36

Répondre

Inscrivez-vous ou connectez-vous pour masquer ceci.

RE, mon 1er message a du passer inaperçu. Est ce que quelqu'un peut jeter un coup d'oeil sur mon rapport Hijackthis é me dire ce que je dois faire.
Merci d'avance

Répondre à joe_1

Bonsoir

Télécharge VundoFix <- ici
sur ton Bureau

Double-clique VundoFix.exe pour le lancer
lorsque il se lance à nouveau , clique sur Scan for Vundo
à la fin du scan , clique sur Remove Vundo
il te demandera si tu veux supprimer les fichiers , clique sur YES
ton Bureau va disparaitre lors de la suppression des fichiers
ensuite , il va t'annoncer que ton PC va s'éteindre , clique OK
Redémarre ton PC

Copie/colle le rapport ( C:\vundofix.txt )
et un nouveau rapport HijackThis

Il est possible que VundoFix ne puisse pas supprimer un fichier , dans ce cas, il se relancera au prochain redémarrage , il suffit de recommencer à partir de clique sur Scan for Vundo

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

Merci pour ton aide

Voici le rapport Vundofix

VundoFix V6.6.1

Checking Java version...

Java version is 1.5.0.10

Java version is 1.5.0.11

Scan started at 22:01:46 16/11/2007

Listing files found while scanning....

C:\WINDOWS\System32\wsedpmbi.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\wsedpmbi.dll
C:\WINDOWS\System32\wsedpmbi.dll Has been deleted!

Performing Repairs to the registry.
Done!

Et le nouveau rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:10:52, on 16/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\System32\wfvkenmp.dll
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [bc34fa73] rundll32.exe "C:\WINDOWS\System32\xyiuohpx.dll",b
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Fichiers communs\BestsellerAntivirus\bm.exe" dm=http://bestsellerantivirus.com; ad=http://bestsellerantivirus.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\__c00911B2.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\System32\mnfvvlen.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

--
End of file - 4474 bytes

Voila
Ps: j'ai toujours les messages et le triangla jaune clignotant
est ce que c'est normal que j'ai toujours best seller antivirus sur le log Hijackthis alors que je l'ai supprimé depuis le paneau de configuration (version gratuite installée suite auxx messages avertissements)

Répondre à joe_1

Re ,

On à pas terminé , encore plusieures infections

Télécharge ComboFix <- ici

Enregistre le sur ton Bureau et pas ailleurs !
Double clique combofix.exe ( le .exe peut ne pas apparaitre )
Pour démarrer , tape 1 puis valide , attend la fin du scan
il peut y avoir un Redémarrage du PC !

Un rapport est généré , Copie / Colle le dans ta réponse
Tu peux aussi trouver ce rapport ici : C:\Combofix.txt

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

Voici le rapport Combofix

ComboFix 07-11-08.1 - KARBONN VEGAS 2007-11-16 23:07:15.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.260 [GMT 1:00]
Running from: C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\ComboFix.exe
* Created a new restore point
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Bureau\Live Safety Center.lnk
C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Bureau\Online Security Guide.lnk
C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Favoris\Online Security Guide.lnk
C:\Documents and Settings\All Users.WINDOWS\Application Data.\salesmonitor
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\BestsellerAntivirus
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\BestsellerAntivirus\avtasks.dat
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\BestsellerAntivirus\Logs\av.log
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\BestsellerAntivirus\Logs\ga6Support.log
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\BestsellerAntivirus\Logs\update.log
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\BestsellerAntivirus\PGE.dat
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Bureau\Live Safety Center.lnk
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Bureau\Online Security Guide.lnk
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Favoris\Online Security Guide.lnk
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\BestsellerAntivirus
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\BestsellerAntivirus\avtasks.dat
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\BestsellerAntivirus\Logs\av.log
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\BestsellerAntivirus\Logs\ga6Support.log
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\BestsellerAntivirus\Logs\update.log
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\Live Safety Center.lnk
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\Online Security Guide.lnk
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Favoris\Online Security Guide.lnk
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\ResErrors.log
C:\Documents and Settings\LocalService.AUTORITE NT.004\Application Data\NetMon
C:\Documents and Settings\LocalService.AUTORITE NT.004\Application Data\NetMon\domains.txt
C:\Documents and Settings\LocalService.AUTORITE NT.004\Application Data\NetMon\log.txt
C:\Program Files\batty2
C:\Program Files\batty2\datahtml.sdf
C:\Program Files\batty2\datajava.sdf
C:\Program Files\batty2\Uninstall.exe
C:\Program Files\cmfibula
C:\Program Files\cmintex
C:\Program Files\cmintex\sf.txt
C:\Program Files\cmintex\Uninstall.exe
C:\Program Files\Fichiers communs\{BC34F~1
C:\Program Files\icroso~1
C:\Program Files\icroso~1\?icrosoft\
C:\Program Files\network monitor
C:\Program Files\pscastor
C:\Program Files\pscastor\Uninstall.exe
C:\Program Files\psdream
C:\UGA6P
C:\WINDOWS\System32\ddcyw.dll
C:\WINDOWS\system32\smante~1
C:\WINDOWS\system32\wfvkenmp.dllbox
C:\WINDOWS\system32\wl.exe
C:\WINDOWS\system32\wsedpmbi.dllbox
C:\WINDOWS\system32\wycdd.bak1
C:\WINDOWS\system32\wycdd.bak2
C:\WINDOWS\system32\wycdd.ini
C:\WINDOWS\system32\wycdd.ini2

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_FMTR
-------\DomainService

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-16 to 2007-11-16 ))))))))))))))))))))))))))))))))))))
.

2007-11-16 23:06 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-16 22:09 144,480 --a------ C:\WINDOWS\system32\wfvkenmp.dll
2007-11-16 22:08 144,480 --a------ C:\WINDOWS\system32\nehbuitt.dll
2007-11-16 22:01 <REP> d-------- C:\VundoFix Backups
2007-11-16 15:52 <REP> d-------- C:\Program Files\Trend Micro
2007-11-16 14:29 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-11-16 14:29 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-11-16 14:06 81,984 --a------ C:\WINDOWS\system32\atdwjcpf.dll
2007-11-16 14:00 85,056 --a------ C:\WINDOWS\system32\xyiuohpx.dll
2007-11-16 13:54 <REP> d-------- C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\Grisoft
2007-11-15 00:22 <REP> d--h----- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Voisinage r‚seau
2007-11-15 00:22 <REP> d--h----- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Voisinage d'impression
2007-11-15 00:22 <REP> d--h----- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\ModŠles
2007-11-15 00:22 <REP> d-------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Mes documents
2007-11-15 00:22 <REP> dr------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Menu D‚marrer
2007-11-15 00:22 <REP> d-------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Favoris
2007-11-15 00:22 <REP> d-------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Bureau
2007-11-15 00:12 85,056 --a------ C:\WINDOWS\system32\dovtxwsh.dll
2007-11-14 23:15 86,080 --a------ C:\WINDOWS\system32\jbnopbed.dll
2007-11-14 23:12 79,424 --a------ C:\WINDOWS\system32\ikpbbfjg.dll
2007-11-14 03:01 <REP> d-------- C:\WINDOWS\pss
2007-11-13 22:08 <REP> d-------- C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\Grisoft
2007-11-13 22:05 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2007-11-13 22:05 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-11-13 17:18 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-13 16:42 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2007-11-13 16:42 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2007-11-13 16:42 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-11-13 16:00 88,128 --a------ C:\WINDOWS\system32\wmevacmu.dll
2007-11-13 15:57 80,448 --a------ C:\WINDOWS\system32\hrnmuvqs.dll
2007-11-13 15:54 144,480 --a------ C:\WINDOWS\system32\yhapeoix.dll
2007-11-12 13:01 81,472 --a------ C:\WINDOWS\system32\cwureeql.dll
2007-11-12 12:55 89,664 --a------ C:\WINDOWS\system32\xyhcxaen.dll
2007-11-10 22:06 81,472 --a------ C:\WINDOWS\system32\hnynorfa.dll
2007-11-10 22:03 85,056 --a------ C:\WINDOWS\system32\fldckhvp.dll
2007-11-09 20:08 88,128 --a------ C:\WINDOWS\system32\wretcqwt.dll
2007-11-09 20:05 77,888 --a------ C:\WINDOWS\system32\wetajeae.dll
2007-11-09 07:48 <REP> d--h----- C:\Program Files\ApplePie
2007-10-26 18:12 <REP> d-------- C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\Azureus
2007-10-26 18:12 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Azureus

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-16 14:47 --------- d-----w C:\Program Files\Winamp
2007-11-12 17:27 --------- d-----w C:\Program Files\Java
2007-11-10 02:04 --------- d-----w C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\Azureus
2007-10-01 00:22 --------- d-----w C:\Program Files\OSS
2007-03-03 15:29 2,167,357 ----a-w C:\Program Files\dMC-r11.5.exe
2006-05-17 06:20 17 ----a-w C:\Program Files\d.bat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D}]
2007-11-09 07:48 95232 --a------ C:\Program Files\ApplePie\ie-improver.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74917664-9edc-4f29-82ae-2101c3968926}]
2007-11-16 14:06 81984 --a------ C:\WINDOWS\System32\atdwjcpf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-16 22:09 144480 --a------ C:\WINDOWS\system32\wfvkenmp.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\wfvkenmp.dll [2007-11-16 22:09 144480]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusKeeper"="C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe" [2006-11-15 16:10]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 10:50]
"CTSysVol"="C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 10:43]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-12-18 03:32]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"bc34fa73"="C:\WINDOWS\System32\xyiuohpx.dll" [2007-11-16 14:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 10:45]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wfvkenmp]
wfvkenmp.dll 2007-11-16 22:09 144480 C:\WINDOWS\system32\wfvkenmp.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\ddcyw.dll

R3 M2500;802.11g Wireless Network Driver;C:\WINDOWS\System32\DRIVERS\M2500.sys
R3 P17;Sound Blaster Live! 24-bit;C:\WINDOWS\System32\drivers\P17.sys

*Newly Created Service* - IPNAT
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-16 23:13:52
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-16 23:15:52 - machine was rebooted
.
--- E O F ---

Ps: Entre temps, j'ai eu des alertes avec VirusKeeper mais plus de triangle jaune ou de messages pour le moment

Répondre à joe_1

REbonjour,
Quelqu'un pourrait m'aider a finir la marche a suivre SVP.
Hier soir ca allait mais depuis que j'ai rallumé mon pc, le fameux triangle jaune et les messages alertes d'infection sont revenus ainsi que les 2 icnes sur mon bureaunline Security Guide et Live Safety Center
Merci d'avance

Répondre à joe_1

PS: est ce qu'il faut que je désactive mon antivirus et anti spyware pendant les scans???
Merci

Répondre à joe_1

Re , y'a encore pas mal d'infections ...

Télécharge Smitfraudfix <- ici

Enregistre le sur ton bureau

Double clique sur SmitfraudFix.exe ( le .exe peut ne pas apparaitre )
Choisis ensuite l'Option 1 ( Recherche )

Poste le rapport généré

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

Rapport SmitFraudFix

SmitFraudFix v2.253

Rapport fait à 17:44:57,07, 17/11/2007
Executé à partir de C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\cmd.exe
C:\Program Files\AxBx\VirusKeeper 2006 Pro\vk_scanfile.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KARBON~1.000\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g PCI Wireless Network Adapter - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{03B2BEA7-4F59-465E-B44A-38FE310A5C6E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{03B2BEA7-4F59-465E-B44A-38FE310A5C6E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{03B2BEA7-4F59-465E-B44A-38FE310A5C6E}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

PS: est ce que je dois désactiver mon antivirus et antispyware car c le meme pc que jutilise pour ce forum et que je veux désinfecter

Répondre à joe_1

Re,

J'attend une réponse pour la suite de la démarche.

Merci.

Répondre à joe_1

Re ,

Bizarre ce resultat

Redémarre en mode sans échec : >> Comment démarrer en mode Sans Echec <<

Double clique sur SmitfraudFix.exe ( le .exe peut ne pas apparaitre )
Choisis cette fois-ci l'Option 2 ( Nettoyage )

Repond Oui à toutes les questions
Un redémarrage peut être nécéssaire

Poste le rapport généré ( C:\rapport.txt )
Et un nouveau rapport Combofix

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

RE

Rapport SmitFraudFix

SmitFraudFix v2.253

Rapport fait à 0:13:28,39, 18/11/2007
Executé à partir de C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Et le nouveau Combofix

ComboFix 07-11-08.1 - KARBONN VEGAS 2007-11-18 0:18:55.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.368 [GMT 1:00]
Running from: C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Bureau\Live Safety Center.lnk
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Bureau\Online Security Guide.lnk
C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Favoris\Online Security Guide.lnk
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\Live Safety Center.lnk
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\Online Security Guide.lnk
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Favoris\Online Security Guide.lnk
C:\WINDOWS\system32\wfvkenmp.dllbox

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-17 to 2007-11-17 ))))))))))))))))))))))))))))))))))))
.

2007-11-18 00:18 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-17 17:45 2,304 --a------ C:\WINDOWS\system32\tmp.reg
2007-11-16 22:09 144,480 --a------ C:\WINDOWS\system32\wfvkenmp.dll
2007-11-16 22:08 144,480 --a------ C:\WINDOWS\system32\nehbuitt.dll
2007-11-16 22:01 <REP> d-------- C:\VundoFix Backups
2007-11-16 15:52 <REP> d-------- C:\Program Files\Trend Micro
2007-11-16 14:29 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-11-16 14:29 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-11-16 14:06 81,984 --a------ C:\WINDOWS\system32\atdwjcpf.dll
2007-11-16 14:00 85,056 --a------ C:\WINDOWS\system32\xyiuohpx.dll
2007-11-16 13:54 <REP> d-------- C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\Grisoft
2007-11-15 00:22 <REP> d--h----- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Voisinage r‚seau
2007-11-15 00:22 <REP> d--h----- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Voisinage d'impression
2007-11-15 00:22 <REP> d--h----- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\ModŠles
2007-11-15 00:22 <REP> d-------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Mes documents
2007-11-15 00:22 <REP> dr------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Menu D‚marrer
2007-11-15 00:22 <REP> d-------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Favoris
2007-11-15 00:22 <REP> d-------- C:\Documents and Settings\Administrateur.BRANDNEWKARBON\Bureau
2007-11-15 00:12 85,056 --a------ C:\WINDOWS\system32\dovtxwsh.dll
2007-11-14 23:15 86,080 --a------ C:\WINDOWS\system32\jbnopbed.dll
2007-11-14 23:12 79,424 --a------ C:\WINDOWS\system32\ikpbbfjg.dll
2007-11-14 03:01 <REP> d-------- C:\WINDOWS\pss
2007-11-13 22:08 <REP> d-------- C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\Grisoft
2007-11-13 22:05 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Grisoft
2007-11-13 22:05 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-11-13 17:18 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-11-13 16:42 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2007-11-13 16:42 89,088 --a------ C:\WINDOWS\system32\atl71.dll
2007-11-13 16:42 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-11-13 16:00 88,128 --a------ C:\WINDOWS\system32\wmevacmu.dll
2007-11-13 15:57 80,448 --a------ C:\WINDOWS\system32\hrnmuvqs.dll
2007-11-13 15:54 144,480 --a------ C:\WINDOWS\system32\yhapeoix.dll
2007-11-12 13:01 81,472 --a------ C:\WINDOWS\system32\cwureeql.dll
2007-11-12 12:55 89,664 --a------ C:\WINDOWS\system32\xyhcxaen.dll
2007-11-10 22:06 81,472 --a------ C:\WINDOWS\system32\hnynorfa.dll
2007-11-10 22:03 85,056 --a------ C:\WINDOWS\system32\fldckhvp.dll
2007-11-09 20:08 88,128 --a------ C:\WINDOWS\system32\wretcqwt.dll
2007-11-09 20:05 77,888 --a------ C:\WINDOWS\system32\wetajeae.dll
2007-11-09 07:48 <REP> d--h----- C:\Program Files\ApplePie
2007-10-26 18:12 <REP> d-------- C:\Documents and Settings\BRANDNEW 971.GWADAMAF-Z2RU7I\Application Data\Azureus
2007-10-26 18:12 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Azureus

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-16 14:47 --------- d-----w C:\Program Files\Winamp
2007-11-12 17:27 --------- d-----w C:\Program Files\Java
2007-11-10 02:04 --------- d-----w C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Application Data\Azureus
2007-10-01 00:22 --------- d-----w C:\Program Files\OSS
2007-03-03 15:29 2,167,357 ----a-w C:\Program Files\dMC-r11.5.exe
2006-05-17 06:20 17 ----a-w C:\Program Files\d.bat
.

((((((((((((((((((((((((((((( snapshot@2007-11-16_23.15.07.34 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-11-14 23:55:25 40,836 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2007-11-16 22:15:35 40,836 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-11-14 23:55:25 49,494 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2007-11-16 22:15:35 49,494 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2007-11-14 23:55:25 314,508 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2007-11-16 22:15:35 314,508 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-11-14 23:55:25 370,414 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2007-11-16 22:15:35 370,414 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D}]
2007-11-09 07:48 95232 --a------ C:\Program Files\ApplePie\ie-improver.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74917664-9edc-4f29-82ae-2101c3968926}]
2007-11-16 14:06 81984 --a------ C:\WINDOWS\System32\atdwjcpf.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-16 22:09 144480 --a------ C:\WINDOWS\system32\wfvkenmp.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\wfvkenmp.dll [2007-11-16 22:09 144480]

[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirusKeeper"="C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe" [2006-11-15 16:10]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 10:50]
"CTSysVol"="C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe" [2003-09-17 10:43]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-12-18 03:32]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]
"bc34fa73"="C:\WINDOWS\System32\xyiuohpx.dll" [2007-11-16 14:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-08-29 10:45]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wfvkenmp]
wfvkenmp.dll 2007-11-16 22:09 144480 C:\WINDOWS\system32\wfvkenmp.dll

R3 P17;Sound Blaster Live! 24-bit;C:\WINDOWS\System32\drivers\P17.sys
S3 M2500;802.11g Wireless Network Driver;C:\WINDOWS\System32\DRIVERS\M2500.sys

.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-18 00:21:44
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-18 0:22:50 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-16 23:15
.
--- E O F ---

J'attend la suite des instructions

Répondre à joe_1

Bonsoir

Séléctionne l'encadré ci dessous en entier , puis clique droit , choisis Copier

File::
C:\WINDOWS\system32\wfvkenmp.dll
C:\WINDOWS\system32\nehbuitt.dll
C:\WINDOWS\system32\atdwjcpf.dll
C:\WINDOWS\system32\xyiuohpx.dll
C:\WINDOWS\system32\dovtxwsh.dll
C:\WINDOWS\system32\jbnopbed.dll
C:\WINDOWS\system32\ikpbbfjg.dll
C:\WINDOWS\system32\wmevacmu.dll
C:\WINDOWS\system32\hrnmuvqs.dll
C:\WINDOWS\system32\yhapeoix.dll
C:\WINDOWS\system32\cwureeql.dll
C:\WINDOWS\system32\xyhcxaen.dll
C:\WINDOWS\system32\hnynorfa.dll
C:\WINDOWS\system32\fldckhvp.dll
C:\WINDOWS\system32\wretcqwt.dll
C:\WINDOWS\system32\wetajeae.dll
C:\Program Files\d.bat

Folder::
C:\VundoFix Backups
C:\WINDOWS\pss

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74917664-9edc-4f29-82ae-2101c3968926}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wfvkenmp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bc34fa73"=-

Colle le dans le Bloc-Notes
Enregistre le sur ton Bureau et nomme le CFScript ( type fichier texte )
Fait glisser le fichier CFScript sur le fichier ComboFix.exe comme ceci :

Un menu va apparaitre , tape 1 puis valide
Laisse faire le scan et poste le rapport généré ( C:\ComboFix.txt )

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

:pfff:

Combofix peut pas analyser le fichier texte. J'ai un message d'erreur qui me dit qu'on est le 18 novembre et que Combofix n'est pas à jour. Il me dit d'en télécharger un à jour et il désinstalle celui que j'ai sur le PC. Que faire?

Répondre à joe_1

RE pbm avec combofix
besoin aide :cry:
j'ai le message suivant quand je fais le glisser/déposer
Combofix démarre puis j'ai le message erreur suivant

"Abandon-07-11-08.1 La date actuelle est 18/11/2007. Cette copie de ComboFix a expiré, Supprimez cette copie avant de télécharger une copie... jour" puis Combofix est désinstallé automatiquement
:pfff:
Attend instructions pour finir mission

Répondre à joe_1

Re ,
on va utiliser un autre outil très puissant , lis attentivement ce qui suit

clique sur Demarrer / Panneau de configuration / Options des dossiers , choisis l'onglet Affichage , puis décoche cette option :

et enfin clique sur OK

Sélectionne entièrement le contenu du cadre ci-dessous :

registry keys to delete:
HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{74917664-9edc-4f29-82ae-2101c3968926}
HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\wfvkenmp

registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar | {11A69AE4-FBED-4832-A2BF-45AF82825583}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | bc34fa73

Files to delete:
C:\WINDOWS\system32\wfvkenmp.dll
C:\WINDOWS\system32\nehbuitt.dll
C:\WINDOWS\system32\atdwjcpf.dll
C:\WINDOWS\system32\xyiuohpx.dll
C:\WINDOWS\system32\dovtxwsh.dll
C:\WINDOWS\system32\jbnopbed.dll
C:\WINDOWS\system32\ikpbbfjg.dll
C:\WINDOWS\system32\wmevacmu.dll
C:\WINDOWS\system32\hrnmuvqs.dll
C:\WINDOWS\system32\yhapeoix.dll
C:\WINDOWS\system32\cwureeql.dll
C:\WINDOWS\system32\xyhcxaen.dll
C:\WINDOWS\system32\hnynorfa.dll
C:\WINDOWS\system32\fldckhvp.dll
C:\WINDOWS\system32\wretcqwt.dll
C:\WINDOWS\system32\wetajeae.dll
C:\Program Files\d.bat

Folders to delete:
C:\VundoFix Backups
C:\WINDOWS\pss

Puis clique droit , choisis Copier
Ouvre le Bloc-Note , clique droit , choisis Coller afin de coller le contenu du cadre ci-dessus
Vérifie qu'il ne manque aucune ligne avant de continuer !
Enregistre le fichier sur ton bureau , nomme le remove.txt

Télécharge The Avenger <- ici

Dézippe le contenu de l'archive sur ton bureau et pas ailleurs !
Double-clique sur avenger.exe et clique sur Ok
Sélectionne Load Script from File et clique sur l'icône en forme de dossier
Sélectionne le fichier remove.txt qui est sur ton bureau

Clique sur le feu vert pour lancer le script puis Clique sur Oui
Accepte de redémarrer ton pc
Une fois redémarré , Copie / Colle le rapport généré ( C:\avenger.txt )

ATTENTION , ci vous n'êtes pas la personne concernée , n'appliquez EN AUCUN CAS cette procédure , vous risqueriez d'endommager votre PC !!

Message édité par Eric_71 le 19-11-2007 à 00:34:45

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

Rapport Avenger en pleine nuit :sleep:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jwlgqskr

*******************

Script file located at: \??\C:\natcwhmx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\wfvkenmp.dll deleted successfully.
File C:\WINDOWS\system32\nehbuitt.dll deleted successfully.
File C:\WINDOWS\system32\atdwjcpf.dll deleted successfully.
File C:\WINDOWS\system32\xyiuohpx.dll deleted successfully.
File C:\WINDOWS\system32\dovtxwsh.dll deleted successfully.
File C:\WINDOWS\system32\jbnopbed.dll deleted successfully.
File C:\WINDOWS\system32\ikpbbfjg.dll deleted successfully.
File C:\WINDOWS\system32\wmevacmu.dll deleted successfully.
File C:\WINDOWS\system32\hrnmuvqs.dll deleted successfully.
File C:\WINDOWS\system32\yhapeoix.dll deleted successfully.
File C:\WINDOWS\system32\cwureeql.dll deleted successfully.
File C:\WINDOWS\system32\xyhcxaen.dll deleted successfully.
File C:\WINDOWS\system32\hnynorfa.dll deleted successfully.
File C:\WINDOWS\system32\fldckhvp.dll deleted successfully.
File C:\WINDOWS\system32\wretcqwt.dll deleted successfully.
File C:\WINDOWS\system32\wetajeae.dll deleted successfully.
File C:\Program Files\d.bat deleted successfully.

Folder C:\VundoFix Backups not found!
Deletion of folder C:\VundoFix Backups failed!

Could not process line:
C:\VundoFix Backups
Status: 0xc0000034

Folder C:\WINDOWS\pss deleted successfully.
Registry key HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{74917664-9edc-4f29-82ae-2101c3968926} deleted successfully.
Registry key HKLM\software\microsoft\windows\currentversion\explorer\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A} deleted successfully.
Registry key HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\wfvkenmp deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{11A69AE4-FBED-4832-A2BF-45AF82825583} deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|bc34fa73 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Attend suite des instructions, en attendant, je retourne me coucher :sol:

Répondre à joe_1

Bonjour , ça à fait un bon ménage

Bien dormi ? :lol:

Reposte un Hijackthis

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

:hello: RE, ouais bien dormi
Le pc a l'air d'etre plus propre c cool
Par contre quand j'active viruskeeper, il détecte le fichier NirCmd.exe dans C:\\WINDOWS comme dangereux mais je crois que ca avait un rapport avec application Combofix (en gros je sais pas si je dois ignorer ou supprimer cette alerte)

Bon voici le nouveau Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:03:49, on 19/11/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SysApp - {4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D} - C:\Program Files\ApplePie\ie-improver.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2006 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Program Files\EPSON\EPSON SMART PANEL for Scanner\ESPmain.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSI_WLAN_Service - Unknown owner - C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe

--
End of file - 4281 bytes

Attend suite des instructions 24h/24

Répondre à joe_1

Bonsoir

Relance Hijackthis clique cette fois sur do a system scan only
coche dans les cases à gauche les lignes suivantes ( et uniquement celles-ci ) :

O2 - BHO: SysApp - {4AE2A9A0-DC33-4C27-B521-5B6C68C1C53D} - C:\Program Files\ApplePie\ie-improver.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

et clique sur Fix checked ( en bas à gauche )
A la demande de confirmation , répond Oui

------------------------------------------------------------------------

C:\Program Files\ApplePie\ie-improver.dll <- Supprime ce fichier

------------------------------------------------------------------------

Fais un scan en ligne Kaspersky <- ici avec Internet Explorer

Clique sur Demarrer Online-Scanner ( en bas à droite )
Clique sur J'accepte , si necessaire valide l'installation des ActiveX
laisse installer les Mises à jour , choisis l'analyse du Poste de travail

à la fin de l'analyse , Sauvegarde le rapport puis colle le dans ta réponse

Si tu vois ce message : La licence de Kaspersky On-line Scanner est périmée
vas dans Ajout / Suppression de programmes et désinstalle On-Line Scanner
retourne sur le site et retente le scan

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

:wahoo: salut

J'ai fixé les lignes que tu m'as demandé sur HijackThis et ca a bien été supprimé. C'est peut etre pour ca que j'ai pas retrouvé C:\ ProgramFiles\ ApplePie\ie-improver.dll dans l'explorateur windows comme ca a été supprimé avec HijackThis.

Voila le rapport de Kaspesky

KASPERSKY ON-LINE SCANNER REPORT
Monday, November 19, 2007 11:32:18 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 19/11/2007
Enregistrements dans la base antivirus Kaspersky : 433014
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\
G:\
Statistiques de l'analyse
Total d'objets analysés 105839
Nombre de virus trouvés 2
Nombre d'objets infectés 4 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:41:24

Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\NTUSER.DAT.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService.AUTORITE NT.007\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService.AUTORITE NT.007\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService.AUTORITE NT.007\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService.AUTORITE NT.007\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService.AUTORITE NT.007\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService.AUTORITE NT.007\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService.AUTORITE NT.007\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService.AUTORITE NT.007\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService.AUTORITE NT.007\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService.AUTORITE NT.007\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService.AUTORITE NT.007\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\AxBx\VirusKeeper 2006 Pro\Quarantaine\ayrevdxn.exe Infecté : Trojan.Win32.Obfuscated.kp ignoré
C:\Program Files\AxBx\VirusKeeper 2006 Pro\Quarantaine\iclhtwcr.exe Infecté : Trojan.Win32.Obfuscated.kp ignoré
C:\Program Files\AxBx\VirusKeeper 2006 Pro\Quarantaine\ygorkglg.exe Infecté : Trojan.Win32.Obfuscated.kp ignoré
C:\Program Files\Windows Media Player\howymyfyc.html Infecté : Trojan-Clicker.Win32.Small.jf ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{31BEAA2E-AA10-47C7-974D-37D6B38240A6}\RP1\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\oakley.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
Analyse terminée.

Attend suite pour éradiquer ces enfoirés de Trojans :sol:

Répondre à joe_1

Bonsoir

Citation :

il détecte le fichier NirCmd.exe dans C:\\WINDOWS comme dangereux mais je crois que ca avait un rapport avec application Combofix

j'avais oublié de répondre à cette question , oui ce fichier fait partie de Combofix et n'est pas dangeureux

C:\Program Files\Windows Media Player\howymyfyc.html <- supprime ce fichier

les autres sont dans la quarantaine de ton Antivirus , donc pas de souci
Pour moi c'est propre , si tu n'as plus de problème :

Télécharge ToolsCleaner2 <- ici
Installe le sur ton Bureau
Clique sur Recherche pour lancer le scan
Clique sur Supprimer pour nettoyer les outils utilisés
Clique sur Quitter , ceci va créer un rapport
Poste le rapport ( C:\TCleaner.txt )

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

:wahoo: RE
Voila le rapport ToolCleaner

-->- Recherche:

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\avenger.zip: trouvé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\avenger.exe: trouvé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\vundoFix.exe: trouvé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Recent\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\avenger.zip: supprimé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\avenger.exe: supprimé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\vundoFix.exe: supprimé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Recent\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\KARBONN VEGAS.BRANDNEWKARBON.000\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Apparemment, j'ai plus de problème sur le pc, peut etre la fin du tunnel. Je suis pressé de poser un "résolu" sur mon post :bounce:

Répondre à joe_1

Hello ,

Citation :

Je suis pressé de poser un "résolu" sur mon post :bounce:

C'est tout bon

Clique, dans ton premier message, sur le bouton "Editer"
Ajoute [Résolu] au titre
Clique ensuite sur "Valider votre message"

---------------------------------------------------------------------

Ce serait sympa de rapporter ton infection sur > Malware-Complaints < pour faire condamner ses auteurs

- Règles du forum <- ici
- Poster un message <- ici ( par Malekal )

Pour t'enregistrer clique sur le bouton register ( en haut )
Si tu as plus de 13 ans choisis " I Agree to these terms and am over or exactly 13 years of age "
Si tu as moins de 13 ans choisis " I Agree to these terms and am under 13 years of age "

Tu auras une liste par type d'infection
Si ton infection n'est pas dans la liste crée un message dans Autres infections

Ton infection : Vundo

Merci

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

:hello:

Ca fait plaisir d'avoir un pc bien propre. La tranquilité règne sur mon bureau
Sérieusement je te remercie de m'avoir sorti de cette galere , d'avoir été dispo et de prendre de ton temps pour m'aider.

Répondre à joe_1

Re
je vais de ce pas rapporter mon infection
Merci encore ppour tout et a plus tard
:hello:

Répondre à joe_1

De rien

Bonne continuation

------------------------------ - Comment Fixer avec HiJackThis -
- Mode Sans Echec -
Répondre à Eric_71

[Resolu] Probleme Spyware avec triangle jaune

Forum Sécurité - Virus : [Resolu] Probleme Spyware avec triangle jaune

Attention