Cheval de Troie Trojan.Win32.BHO.agz : Impossible à supprimer [Résolu] - Page 2

Ok Ok, à ce soir  

Juste une petite question : Tu as quel âge (si c'est pas trop trop indiscret   ) ?

Re,

J'ai 20 ans  

J'ai mis au point la procédure, mais je préfère la faire vérifier par quelqu'un avant, donc dès que j'ai sa réponse je te poste la procédure ( ce soir ou demain   ).

 

Ok, pas de problèmes  

Re,

Je te poste enfin la procédure ce soir !

N.B : Par précaution, sauvegarde tes données les plus importantes  

Voilà la procédure tant attendue    

Une fois que tu auras sauvegardé tes données vitales, fais ça  


Imprime ces instructions car on va travailler en mode sans échec !


Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com/telecharger/virus_et...
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\

Désactive toute protection résidente ( antivirus…) !

Copie le texte se situant dans le cadre ci-dessous, sans le mot citation :




Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier ComboFix-Do.txt dans Combofix.exe comme ci-dessous :



Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt .
S'il n'y a pas de redémarrage, poste quand même le rapport.

Bonne soirée  

 

Voici ton rapport  

ComboFix 08-03-09.1 - Loisirs 2008-03-12 16:03:09.4 - FAT32x86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.244 [GMT 1:00]
Endroit: C:\Documents and Settings\Loisirs\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Loisirs\Bureau\CFScript.txt

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

FILE ::
C:\WINDOWS\system32\drivers\iozzimke.dat
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\iozzimke.dat
C:\WINDOWS\system32\msftedi.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_QHNTLGIU
-------\qhntlgiu


((((((((((((((((((((((((((((( Fichiers créés 2008-02-12 to 2008-03-12 ))))))))))))))))))))))))))))))))))))
.

2008-03-12 16:10 . 2001-08-28 14:00 56,320 --a------ C:\WINDOWS\system32\icmui.dll
2008-03-12 16:10 . 2001-08-28 14:00 56,320 --a------ C:\WINDOWS\system32\dllcache\icmui.dll
2008-03-12 15:28 . 2008-03-12 15:28 <REP> d--hs---- C:\FOUND.001
2008-03-09 16:58 . 2008-03-09 16:58 12,617,593 --a------ C:\upload_moi_PORTABLE.tar.gz
2008-03-08 19:23 . 2008-03-08 19:23 <REP> d-------- C:\_OTMoveIt
2008-03-08 19:11 . 2008-03-08 19:11 <REP> d-------- C:\Program Files\CCleaner
2008-03-08 18:43 . 2008-03-08 18:43 <REP> d-------- C:\Deckard
2008-03-07 16:42 . 2008-03-07 16:42 <REP> d-------- C:\Program Files\Navilog1
2008-03-02 23:02 . 2008-03-02 23:02 <REP> d--h----- C:\WINDOWS\PIF
2008-02-29 22:23 . 2008-02-29 22:23 <REP> d-------- C:\Program Files\Trend Micro
2008-02-29 17:12 . 2008-02-29 17:12 <REP> d--hs---- C:\FOUND.000
2008-02-24 19:03 . 2008-02-24 19:03 1,733 --a------ C:\WINDOWS\TSearch.INI
2008-02-21 12:41 . 2008-02-21 12:41 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-02-18 18:19 . 2008-02-18 18:19 95 --a------ C:\WINDOWS\system32\Dell.bat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-12 15:09 84,992 ----a-w C:\WINDOWS\system32\msftedi.dll
2008-03-12 14:23 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-12 14:23 32 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-12 14:23 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-12 14:23 32 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-11 15:13 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
2008-02-08 18:00 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-02-01 10:17 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-01-26 12:33 --------- d-----w C:\Program Files\UltraVNC
2008-01-25 17:45 1,762,287 ----a-w C:\Program Files\UltraVNC.zip
2008-01-25 17:32 1,573,671 ----a-w C:\Program Files\UltraVNC.rar
2008-01-11 21:36 159,867 ----a-w C:\WINDOWS\Sqirlz Morph Uninstaller.exe
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2007-08-24 15:19 492 ----a-w C:\Program Files\INSTALL.LOG
2007-01-22 10:06 729 ----a-w C:\Program Files\3D Flash Animator 4.8.html
2006-07-09 14:46 6,438,224 ----a-w C:\Program Files\sdsetup-3.5.0.478Q-winrar.exe
2006-04-20 20:26 1,953,480 ----a-w C:\Program Files\PPVIEWER.EXE
2006-04-04 11:20 699,177 ----a-w C:\Program Files\WordBiz18.exe
2006-04-03 20:43 127,744 ----a-w C:\Program Files\XLNCAAPT.exe
2006-03-30 19:27 9,393,352 ----a-w C:\Program Files\Install_MSN_Messenger.EXE
2006-03-24 11:58 2,588,160 ----a-w C:\Program Files\tekora_monuniverspro_guide_utilisateur.pps
2006-03-22 13:45 622,152 ----a-w C:\Program Files\GoogleToolbarInstaller.exe
2004-03-17 14:28 61,088 ----a-w C:\Program Files\Instructions.mht
2004-03-17 14:05 97,280 ----a-w C:\Program Files\NCAA Women's Results Tracker.xls
2004-03-17 14:04 97,280 ----a-w C:\Program Files\NCAA Men's Results Tracker.xls
.

((((((((((((((((((((((((((((( snapshot@2008-03-07_19.25.17,88 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-03-07 18:18:16 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-08 14:23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-07 18:18:16 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-03-08 14:23:02 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-03-07 18:18:16 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-08 14:23:02 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2004-08-20 00:09:22 52,736 ----a-w C:\WINDOWS\system32\dllcache\dssec.dll
+ 2004-08-20 00:09:30 54,784 ----a-w C:\WINDOWS\system32\dllcache\ixsso.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0E1219CA-D7AE-43CC-BF37-0BE0C650CE52}]
2008-03-12 16:18 84992 --a------ C:\WINDOWS\system32\msftedi.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
"ares"="C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\Ares.exe" [2007-04-12 00:50 947200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-01-29 23:02 200768]
"EoEngine"="" []
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2004-06-10 13:48 286720]
"combofix"="C:\WINDOWS\system32\CF21977.exe" [2004-08-20 01:09 400896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\DAP\\DAP.exe"=
"C:\\Documents and Settings\\Loisirs\\Bureau\\Nouveau dossier\\vincent\\incoming ares\\Ares\\Ares.exe"=
"C:\\WINDOWS\\System32\\dplaysvr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\UltraVNC\\repeater.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"28711:TCP"= 28711:TCP:AresChatServer

R2 DPortIO;Dritek Port I/O Driver;C:\WINDOWS\system32\Drivers\DPortIO.sys [2001-04-13 00:04]
R3 {40867A83-9E92-474c-A921-20AA73EAE42F};AIM 3.0 CH-7007;C:\WINDOWS\system32\drivers\A303.sys [2001-09-05 14:58]
R3 {A7E39B01-B403-11d4-BD18-00D0B7A1821E};AIM 3.0 Part 01 Codec Driver VCH-A;C:\WINDOWS\system32\drivers\Vch.sys [2001-09-05 14:58]
R3 TOSHIBASoftModem;TOSHIBA Software Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2001-08-17 21:28]
S0 qhntlgiu;qhntlgiu;C:\WINDOWS\system32\drivers\iozzimke.dat []
S2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.SYS [2004-06-26 15:22]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2006-09-12 18:59]
S3 fbxusb;FreeBox USB Network Adapter;C:\WINDOWS\system32\DRIVERS\fbxusb.sys [2003-12-31 11:35]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a04b460-d1ab-11dc-b28a-cf5612d0fcbe}]
\Shell\Auto\command - E:\UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c600a220-e9e8-11db-bc91-0007cb0000ff}]
\Shell\Auto\command - E:\UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{facc3480-b455-11db-bc12-f24826e988c9}]
\Shell\Auto\command - F:\UFO.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-12 16:11:56
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\qhntlgiu]
"ImagePath"="system32\drivers\iozzimke.dat"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-03-12 16:20:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-12 15:20:32
ComboFix3.txt 2008-03-07 18:25:56
ComboFix2.txt 2008-03-09 17:56:22
.
2008-02-27 11:48:36 --- E O F ---


Voila voila...  

 

C'est du coriace, mais je ne suis pas à cours de munition  

Tu peux me refaire un rapport hijackthis ?

Je vais te poster une nouvelle procédure et en même temps je me renseigne :super:

Bonjour, j'ai peut être un espoir, le virus à l'air de ne plus exister, donc bon, je postes le rapport HijackThis et dis moi ce que tu en penses  
PS : Le rapport à été fait en mode normal et non pas sans echec, dis moi si ça ne va pas et je le refais  

Bonne nuit  
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:27:46, on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\Ares.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adsl.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Program Files\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.new2.foto.com/ImageUploader4.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichiers/hardwaredet...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} - http://messenger.zone.msn.com/binary/Bankshot.cab57213....
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.downloa...
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://195.101.52.0/activex/AMC.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\chatServer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

--
End of file - 6418 bytes



       

Re,

Yep, il semblerait que malgré tout combofix en soit venu à bout   , je pense que la solution venait du driver que je t'ai fait enlevé  

1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
Ou si le lien ne marche pas ici : http://up.sur-la-toile.com/iadW

Double-clique sur OTMoveIt.exe pour le lancer.

Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

Copie le texte qui se trouve dans l'encadré ci-dessous, sans le mot citation, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

Citation :

C:\Program Files\Fichiers communs\BOONTY Shared\

Clique sur MoveIt! pour lancer la suppression.

Si OTMoveIt propose de redémarrer ton PC, accepte.

Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

Dans ta future réponse, envoie le rapport de OTMoveIt situé sur C:\_OTMoveIt\MovedFiles.

2) Et refais-moi un nouveau rapport hijackthis.

 
Bonsoir  

Voilà les rapports :

C:\Program Files\Fichiers communs\BOONTY Shared\Service moved successfully.
C:\Program Files\Fichiers communs\BOONTY Shared moved successfully.

OTMoveIt2 v1.0.20 log created on 03132008_231755









_______________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:18:49, on 13/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\Ares.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://adsl.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-4247568029-919082819-4212676017-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Corel Family & Friends Reminders.LNK = C:\Program Files\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} - http://messenger.zone.msn.com/binary/msgrchkr.cab31267....
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} - http://messenger.zone.msn.com/binary/MineSweeper.cab312...
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - http://www.new2.foto.com/ImageUploader4.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/fichiers/hardwaredet...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} - http://messenger.zone.msn.com/binary/Bankshot.cab57213....
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/5m/virtools.downloa...
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://195.101.52.0/activex/AMC.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\chatServer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe

--
End of file - 6554 bytes


 

 

1) Relance HijackThis, clique sur "do a system scan only", coche ces lignes puis clique sur "Fix Checked" et referme HijackThis :



2) Télécharge sur ton bureau : Clean (de Malekal) >Tuto<
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. (L%u2019extension cmd peut ne pas apparaître) Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé.
Poste le rapport se trouve ici : C:\rapport_clean.txt

Si tu obtiens un fichier C:\upload_moi.zip, merci de faire ceci.

3) Comment va le PC ? Toujours des problèmes ?

Bonjour,
Voila le rapport clean :

15/03/2008 a 12:58:09,62

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\
C:\WINDOWS\UnGins.exe FOUND

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
"C:\Program Files\vmntoolbar\" FOUND



Et non, l'antivirus ne trouve plus le virus...
Est-ce sa fin ?
Est-ce qu'on est allé au bout de ce trojan ?

 

Et oui je crois qu'on en est venu à bout, quelques petites choses encore pour finaliser proprement la désinfection et ce sera bon :super:

1) ~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
Aide


Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 2 puis patiente.

~Redémarre normalement
Poste le rapport clean qui se trouve en C:\rapport_clean.txt

2)

Télécharge et installe Malwarebyte's Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option Update Malwarebyte's Anti-Malware soit cochée. >>> clique sur finish

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur ok

Clique sur l'onglet Update >>> Check for Update

Referme le programme

Redémarre en "Mode sans échec"

Lance Malwarebyte's Anti-Malware

Onglet "Scanner" >>> coche Perform full scan >>> Start Scan

A la fin du scan >>> clique sur Show Results

Suppression des éléments détectés >>>> clique sur Remove Selected

S'il t'es demandé de redémarrer >>> clique sur "Yes"

Un rapport de scan s'ouvre, enregistre/ poste le rapport.

Bonsoir,

Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 15/03/2008 a 14:24:07,44

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:

*** Suppression des fichiers dans C:\WINDOWS\
tentative de suppression de C:\WINDOWS\UnGins.exe

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\vmntoolbar\"

*** Suppression des clefs du registre effectuee..









Malwarebytes' Anti-Malware 1.08
Database version: 493

Scan type: Full Scan (C:\|)
Objects scanned: 72061
Time elapsed: 34 minute(s), 45 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 4

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\Loisirs\Bureau\Nouveau dossier\vincent\incoming ares\Ares\tcpip_patcher.sys (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Program Files\XMoto\sqlite3.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\photos2007_37.zip (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\photos2007_82.zip (Backdoor.Bot) -> Quarantined and deleted successfully.



 

Re,

C’est OK, tu n’es plus infecté(e)  

1) Télécharge ToolsCleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/toolscleaner...

Ce programme va te faire désinstaller tous les outils que je t’ai faits utiliser.

Clique sur Recherche et laisse le scan agir ...

Clique sur Suppression pour finaliser.

Tu peux, si tu le souhaites, te servir des Options facultatives.

Clique sur Quitter pour obtenir le rapport.

Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

2) Télécharge et installe Ccleaner :
http://www.01net.com/telecharger/windows/Utilitaire/net...

Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Clique sur l'onglet "Nettoyeur" puis sur "Lancer le Nettoyage".

Ensuite clique sur l'onglet Registre, clique sur "Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées". Il est inutile de faire des sauvegardes des clés. Répète l'opération autant de fois qu'il le faut jusqu'à qu'il ne trouve plus d'erreurs.

Tutorial ici : http://www.infos-du-net.com/forum/272336-7-ccleaner-und...
3)

Désactive ta restauration systeme

Réactive ta restauration systeme

Tutorial ici : http://www.infos-du-net.com/forum/272480-11-desactiver-...
********************************************************************************

Ajoute maintenant [Résolu] au titre. Pour cela :
* Clique, dans ton premier message, sur le bouton "Editer"
* Rajoute la mention [Résolu] au titre
* Clique ensuite sur "Valider votre message"

Ce serait sympa de rapporter ton infection sur > Malware-Complaints < pour faire condamner ses auteurs

- Règles du forum <- ici
- Poster un message <- ici ( par Malekal )

Pour t'enregistrer clique sur le bouton register ( en haut )
Si tu as plus de 13 ans choisis " I Agree to these terms and am over or exactly 13 years of age "
Si tu as moins de 13 ans choisis " I Agree to these terms and am under 13 years of age "

Tu auras une liste par type d'infection
Si ton infection n'est pas dans la liste crée un message dans Autres infections

a+ et bon surf  


Quelques liens intéressants :

http://mickael.barroux.free.fr/securite/
http://www.malekal.com/
http://www.infos-du-net.com/forum/275481-11-dossier-pre...

Bonsoir,
Tout d'abord, merci infiniement d'avoir eu la patience et d'avoir pris le temps de m'aider, je t'en suis reconaissant  

Ensuite, le rapport ToolsCleaner :

-->- Recherche:

C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: trouvé !
C:\Documents and Settings\Loisirs\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\Loisirs\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Loisirs\Bureau\DiagHelp.zip: trouvé !
C:\Documents and Settings\Loisirs\Bureau\Clean.zip: trouvé !
C:\Documents and Settings\Loisirs\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Loisirs\Bureau\DiagHelp: trouvé !
C:\Documents and Settings\Loisirs\Bureau\Clean: trouvé !
C:\Documents and Settings\Loisirs\Bureau\DiagHelp\DiagHelp: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Bureau\Navilog1.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1\Navilog1.lnk: supprimé !
C:\Documents and Settings\Loisirs\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\Loisirs\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Loisirs\Bureau\DiagHelp.zip: supprimé !
C:\Documents and Settings\Loisirs\Bureau\Clean.zip: supprimé !
C:\Documents and Settings\Loisirs\Bureau\ComboFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navilog1: supprimé !
C:\Documents and Settings\Loisirs\Bureau\DiagHelp: supprimé !
C:\Documents and Settings\Loisirs\Bureau\Clean: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !



___________________________________________________________

Voila!
J'ai bien posté mon infection sur Malware-Complaints et j'ai bien rajouté [Résolu] à ce sujet  

Ensuite dernier truc :

Ma mère à fait un petit calcul :
Si jamais tu ne m'avais pas aidé à viré ce Trojan, on aurais du l'ammener chez quelqu'un qui nous aurais facturé pas mal d'argent car c'est en fonction du temps passé dessus.
Donc voila, pour te "remercier", ma mère veut t'offir une bouteille de vin par exemple (c'est pour cela que je ti demandé ton age   Car si tu avais 12 ans, je te l'aurais pas demandé  )

Mais voila, je comprendrais très bien que tu ne veuille pas divulguer ton adresse privée, d'ailleur, même moi je ne l'aurais pas donné.

Ma mère travaille à la poste et me dis qu'il y à un moyen pour ce genre de chose, c'est le système de : Poste Restante.

Voila une petite description prise sur le site de la poste :

Aucune démarche préalable n’est nécessaire pour recevoir du courrier en Poste Restante.
L’expéditeur écrit sur son enveloppe votre nom et prénom, la mention « Poste Restante », le code postal et la commune de destination. Si il y a plusieurs bureaux de Poste dans votre commune, il faut également mentionner le nom du bureau de Poste.
Pour retirer vos courriers, il suffit de présenter une pièce d’identité en cours de validité et de régler le montant de la prestation.
Vos courriers sont gardés quinze jours à compter de leur arrivée au bureau de poste.


__________________________________________________________
Mais il me faut quand même ton nom donc c'est comme tu veux, si tu as Msn Messenger ou une adresse e-mail, si tu veux me la donner et on s'arrangera comme ça plutot que de tout dire ici  

Bon je ne sais pas si tu as tout compris mais je l'èspere  

@++ Et encore MERCI !!

Bonsoir,

De rien ce fut un plaisir. Je fais de la désinfection informatique en loisir, selon mon envie et mes disponibilités  

Tes remerciements me font vraiment très plaisir, de même que le geste de ta mère.

Ce n'est pas la première fois que l'on me propose une bouteille   , mais je dois dire que ça fait vraiment très plaisir. Tous les internautes ne sont pas aussi sympathiques et surtout respectueux :super:



Tu as bien compris, je ne le fais pas non plus. Donc je me vois contrains de décliner ta proposition, malheureusement  

Mais j'apprécie grandement l'intention. Merci  
Remercie ta mère aussi ^^

Je te souhaite une bonne continuation  

Pense à cliquer sur le lien dans ma signature et fais circuler ce dossier.

 

Bonjour,
Mais de rien voyons  
Et le système de Poste Restante ?

Bonjour,

Je fais ça en loisir et bénévolement, donc je n'attends rien en retour  

J'ai regardé ton truc de poste Restante, mais je dois quand même donner des coordonnées donc je ne le fais pas  

 

Bonjour,
Je viens de lire par hasard toute ton intervention. Je dois reconnaître avoir été bluffé. Félicitations pour les compétences et l'état d'esprit!
Ravenpisuerga