Virus msn
Forum Sécurité - Virus : Virus msn
Inutile de Uper pour ça... nous avons une option suivi des messages 
Tu up si pas de réponse au bout de 48 heures 
On va commencer par ça 
Télécharge BTFix (Bibi26).
Dézippe l'archive sur ton Bureau.
- Ouvre le dossier BTFix.
- Double clique sur BTFix.exe.
- Clique sur Rechercher.
- Un rapport va apparaître, copie/colle-le dans ta prochaine réponse.
Sécurité / Prévention
Répondre à Egwene
Vas dans le menu démarrer -> exécuter et tu tapes : services.msc
Cherche le service suivant : Boonty Games
Double clic dessus : dans le champ "Status du service" mets-le sur "arrêté".
Dans le champ "Type de démarrage" mets-le sur "désactivé" puis "Appliquer" puis "ok".
Quitte les services.
Passe par hijackthis :" Misc Tools Section"=> "Delete an NT service" et tu rentre le nom du service dans la case: Boonty Games et tu cliques sur "ok".
Redémarre le PC et poste-moi un nouveau rapport hijackthis et dis-moi comment va le PC. Toujours des problèmes ?
Sécurité / Prévention
Répondre à Egwene
Re,
On va vérifier 
Télécharge SDFix (créé par AndyManchesta ) et sauvegarde le sur ton Bureau.
Guide d'utilisation : http://mickael.barroux.free.fr/securite/sdfix.php
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.
N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
+ nouveau rapport hijackthis.
Sécurité / Prévention
Répondre à Egwene
Voici le rapport SDFix :
SDFix: Version 1.160
Run by Bastyniz 1 on 24/03/2008 at 18:04
Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\WINDOWS\system32\real.txt - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 18:53:59
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
C:\DOCUME~1\BASTYN~3\LOCALS~1\Temp\Rar$EX00.344\services.exe [1576] 0x86479C18
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 1987
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*
isabled:Internet Explorer"
"C:\\Program Files\\Age of Wonders Shadow Magic\\AoWSM.exe"="C:\\Program Files\\Age of Wonders Shadow Magic\\AoWSM.exe:*:Enabled:Age of Wonders: Shadow Magic"
"C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:Enabled:Microsoft DirectPlay8 Server"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Exécuter une DLL en tant qu'application"
"C:\\DOCUME~1\\BASTYN~3\\LOCALS~1\\Temp\\Rar$EX00.344\\services.exe"="C:\\DOCUME~1\\BASTYN~3\\LOCALS~1\\Temp\\Rar$EX00.344\\services.exe:*:Enabled:Flash Media"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
File Backups: - C:\SDFix\backups\backups.zip
Files with Hidden Attributes :
Wed 9 Jan 2008 6,219,320 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Fri 11 Jan 2008 56 ..SHR --- "C:\WINDOWS\system32\FB9C9D9E45.sys"
Fri 11 Jan 2008 3,350 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Wed 14 Mar 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"
Tue 29 May 2007 139,776 A..H. --- "C:\Documents and Settings\Bastyniz 1\Mes documents\~WRL0767.tmp"
Mon 28 May 2007 74,752 A..H. --- "C:\Documents and Settings\Bastyniz 1\Mes documents\~WRL0925.tmp"
Tue 29 May 2007 128,000 A..H. --- "C:\Documents and Settings\Bastyniz 1\Mes documents\~WRL2099.tmp"
Mon 10 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4633c51c90c17af214c8eeab40b9fcf4\BIT8.tmp"
Thu 24 Jan 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT1.tmp"
Mon 28 May 2007 81,920 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL0186.tmp"
Tue 29 May 2007 131,072 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL0887.tmp"
Tue 29 May 2007 140,800 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL0921.tmp"
Mon 28 May 2007 54,272 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL1145.tmp"
Tue 29 May 2007 146,944 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL1178.tmp"
Mon 28 May 2007 59,904 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL1499.tmp"
Mon 28 May 2007 121,344 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL1931.tmp"
Mon 28 May 2007 128,000 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL2129.tmp"
Mon 28 May 2007 55,296 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL2589.tmp"
Tue 29 May 2007 126,464 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL2725.tmp"
Mon 28 May 2007 115,200 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL3458.tmp"
Tue 29 May 2007 131,584 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL3815.tmp"
Mon 28 May 2007 57,856 A..H. --- "C:\Documents and Settings\Bastyniz 1\Application Data\Microsoft\Word\~WRL4024.tmp"
Tue 15 May 2007 857 A..HR --- "C:\Documents and Settings\Bastyniz 1\Application Data\SecuROM\UserData\securom_v7_01.bak"
Finished!
Re,
Télécharge OAD (de !aur3n7)
http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton Bureau
- Double clique sur le OAD pour le lancer
- Nom de fichier à rechercher tape ou fais un copier coller de : services.exe
- Type de recherche : sélectionne l’option 6 puis valide [entrée]
- OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ait terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.
Fais un copier / coller de ce rapport dans ton prochain post.
Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient.
Sécurité / Prévention
Répondre à Egwene
1) Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche ---> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».
2) Désactive toute protection résidente ( antivirus…) !
Télécharge Combofix de sUBs :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com [...] ges-1.html
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\
Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt
3) Copie/colle un nouveau rapport HiJackThis avec.
Bonne soirée
Sécurité / Prévention
Répondre à Egwene
Bon combofix ne m'a posé aucune question :s
Mais j'ai eu son rapport quand même :
ComboFix 08-03-24.1 - Bastyniz 1 2008-03-24 22:28:27.2 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.809 [GMT 1:00]
Endroit: C:\Documents and Settings\Bastyniz 1\Bureau\ComboFix.exe
[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.
TimedOut: progfile.dat
-- Script messages for sUBs --
VFind -td "C:\WINDOWS\system32\baiso*"
CF9786.exe /c " VFind.exe -ltf -s-1300000 -d+2007-12-24 C:\WINDOWS\* >Windir.dat"
VFind.exe -ltf -s-1300000 -d+2007-12-24 C:\WINDOWS\*
CF9786.exe /c " VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Program Files\*" >progfile.dat"
VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Program Files\*"
CF9786.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot"
CF9786.exe /c " VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Program Files\*" >progfile.dat"
VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Program Files\*"
CF9786.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot"
Findstr -MIF
"\\TTC\.pdb InsertAdvertisement"
GREP -i "C:\\Program Files\\[^\\]*\\[^\\]*$"
VFind -tf -s282624 "C:\Program Files\????????*[0-9].dll"
CF9786.exe /c " VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Program Files\*" >progfile.dat"
VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Program Files\*"
CF9786.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot"
((((((((((((((((((((((((((((( Fichiers créés 2008-02-24 to 2008-03-24 ))))))))))))))))))))))))))))))))))))
.
2008-03-24 17:57 . 2008-03-24 17:57 244 --ah----- C:\sqmnoopt14.sqm
2008-03-24 17:57 . 2008-03-24 17:57 232 --ah----- C:\sqmdata14.sqm
2008-03-20 08:04 . 2008-03-20 08:04 244 --ah----- C:\sqmnoopt13.sqm
2008-03-20 08:04 . 2008-03-20 08:04 232 --ah----- C:\sqmdata13.sqm
2008-03-20 01:45 . 2008-03-20 01:45 244 --ah----- C:\sqmnoopt12.sqm
2008-03-20 01:45 . 2008-03-20 01:45 232 --ah----- C:\sqmdata12.sqm
2008-03-19 21:48 . 2008-03-19 21:48 <REP> d-------- C:\kav
2008-03-19 20:50 . 2008-03-19 20:50 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-19 20:25 . 2008-03-19 20:25 244 --ah----- C:\sqmnoopt11.sqm
2008-03-19 20:25 . 2008-03-19 20:25 232 --ah----- C:\sqmdata11.sqm
2008-03-19 19:56 . 2008-03-19 19:56 244 --ah----- C:\sqmnoopt10.sqm
2008-03-19 19:56 . 2008-03-19 19:56 232 --ah----- C:\sqmdata10.sqm
2008-03-19 19:28 . 2008-03-19 19:28 244 --ah----- C:\sqmnoopt09.sqm
2008-03-19 19:28 . 2008-03-19 19:28 232 --ah----- C:\sqmdata09.sqm
2008-03-19 19:14 . 2008-03-19 19:14 244 --ah----- C:\sqmnoopt08.sqm
2008-03-19 19:14 . 2008-03-19 19:14 232 --ah----- C:\sqmdata08.sqm
2008-03-19 19:08 . 2008-03-19 19:08 <REP> d-------- C:\Program Files\Trend Micro
2008-03-19 08:40 . 2008-03-19 08:40 244 --ah----- C:\sqmnoopt07.sqm
2008-03-19 08:40 . 2008-03-19 08:40 232 --ah----- C:\sqmdata07.sqm
2008-03-18 18:36 . 2008-03-24 12:32 <REP> d-------- C:\Documents and Settings\Bastyniz 1\Application Data\skypePM
2008-03-18 18:36 . 2008-03-18 18:36 32 --a------ C:\Documents and Settings\All Users.WINDOWS\Application Data\ezsid.dat
2008-03-18 17:54 . 2008-03-18 17:54 <REP> d-------- C:\Program Files\Skype
2008-03-18 17:54 . 2008-03-18 17:54 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-03-18 17:54 . 2008-03-24 22:01 <REP> d-------- C:\Documents and Settings\Bastyniz 1\Application Data\Skype
2008-03-18 17:54 . 2008-03-18 17:54 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Skype
2008-03-17 21:15 . 2008-03-17 21:15 244 --ah----- C:\sqmnoopt06.sqm
2008-03-17 21:15 . 2008-03-17 21:15 232 --ah----- C:\sqmdata06.sqm
2008-03-16 23:07 . 2008-03-16 23:07 0 --a------ C:\WINDOWS\system32\real.MSNFix
2008-03-16 02:07 . 2008-03-16 02:07 244 --ah----- C:\sqmnoopt05.sqm
2008-03-16 02:07 . 2008-03-16 02:07 232 --ah----- C:\sqmdata05.sqm
2008-03-15 21:40 . 2008-03-15 21:40 244 --ah----- C:\sqmnoopt04.sqm
2008-03-15 21:40 . 2008-03-15 21:40 232 --ah----- C:\sqmdata04.sqm
2008-03-15 18:52 . 2008-03-15 18:52 <REP> d-------- C:\Program Files\Avira
2008-03-15 13:43 . 2008-03-21 00:07 <REP> d-------- C:\Program Files\Project64 1.6
2008-03-11 22:33 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-03-11 22:33 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-03-09 22:59 . 2008-03-09 22:59 <REP> d-------- C:\Program Files\MSECache
2008-03-08 18:08 . 2008-03-08 18:08 <REP> d-------- C:\Documents and Settings\Bastyniz 1\Application Data\GeoVid
2008-03-08 18:07 . 2008-03-08 18:07 <REP> d-------- C:\Program Files\Fichiers communs\GeoVid
2008-03-08 18:07 . 2004-08-18 15:00 1,712,128 --a------ C:\WINDOWS\system32\gdiplus.dll
2008-03-08 18:07 . 2005-06-07 15:11 60,416 --a------ C:\WINDOWS\system32\dsetup.dll
2008-03-08 17:59 . 2008-03-08 17:59 <REP> d-------- C:\Program Files\IVCsoft
2008-03-04 20:30 . 2008-03-04 20:30 <REP> d-------- C:\WINDOWS\ERUNT
2008-03-04 20:26 . 2008-03-24 19:01 <REP> d-------- C:\SDFix
2008-03-04 07:51 . 2008-03-04 07:51 244 --ah----- C:\sqmnoopt03.sqm
2008-03-04 07:51 . 2008-03-04 07:51 232 --ah----- C:\sqmdata03.sqm
2008-03-04 07:47 . 2008-03-15 18:52 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2008-03-04 07:31 . 2008-03-04 07:31 244 --ah----- C:\sqmnoopt02.sqm
2008-03-04 07:31 . 2008-03-04 07:31 232 --ah----- C:\sqmdata02.sqm
2008-03-04 07:23 . 2008-03-04 07:23 244 --ah----- C:\sqmnoopt01.sqm
2008-03-04 07:23 . 2008-03-04 07:23 232 --ah----- C:\sqmdata01.sqm
2008-03-04 00:36 . 2008-03-04 00:36 244 --ah----- C:\sqmnoopt00.sqm
2008-03-04 00:36 . 2008-03-04 00:36 232 --ah----- C:\sqmdata00.sqm
2008-03-03 20:26 . 2008-03-19 19:19 <REP> d-------- C:\MSNFix
2008-02-26 18:15 . 2008-02-26 18:15 63 --a------ C:\WINDOWS\mdm.ini
2008-02-24 16:13 . 2004-03-09 00:00 609,824 --a------ C:\WINDOWS\system32\COMCTL32.ocx
2008-02-24 16:12 . 2008-03-15 15:49 <REP> d-------- C:\Program Files\MessengerDiscovery
2008-02-24 00:43 . 2008-02-24 00:50 41 --a------ C:\WINDOWS\config.ini
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 10:29 --------- d-----w C:\Program Files\eMule
2008-03-15 19:52 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WLInstaller
2008-03-15 19:45 --------- d-----w C:\Program Files\MSN Messenger
2008-03-15 14:49 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-03-15 10:10 --------- d-----w C:\Program Files\Java
2008-02-23 22:50 --------- d-----w C:\Program Files\Windows Live Safety Center
2008-02-18 12:04 --------- d-----w C:\Program Files\Singles2
2008-02-17 16:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-11 13:30 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-09-12 14:55 47,360 ----a-w C:\Documents and Settings\Bastyniz 1\Application Data\pcouffin.sys
.
((((((((((((((((((((((((((((( snapshot@2008-03-19_19.14.57,78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-03-04 00:35:14 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-03-24 04:23:44 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
- 2008-03-16 08:47:11 10,362,880 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-03-24 17:00:45 10,395,648 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
- 2008-03-16 08:47:11 163,840 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-03-24 17:00:45 184,320 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
- 2008-03-19 07:40:06 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-24 16:57:05 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-19 07:40:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-03-24 16:57:05 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-03-19 07:40:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-24 16:57:05 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2007-08-09 12:04:11 40,768 ----a-w C:\WINDOWS\system32\drivers\avgntdd.sys
+ 2007-07-18 13:22:19 21,312 ----a-w C:\WINDOWS\system32\drivers\avgntmgr.sys
+ 2008-03-19 20:59:04 61,632 ----a-w C:\WINDOWS\system32\drivers\avipbb.sys
+ 2007-03-01 09:34:36 28,352 ----a-w C:\WINDOWS\system32\drivers\ssmdrv.sys
+ 2005-05-16 18:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2006-03-20 12:17:24 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2006-03-20 12:17:20 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-03-30 11:23 68856]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 17:22 21898024]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-02-21 14:27 7405568]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 15:00 155648]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"nwiz"="nwiz.exe" [2006-02-21 14:27 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-02-21 14:27 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-10-08 11:52 221184]
"Cmaudio"="cmicnfg.cpl" []
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 09:06 88363 C:\WINDOWS\AGRSMMSG.exe]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-19 21:59 249896]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09 15360]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"C:\\Program Files\\Age of Wonders Shadow Magic\\AoWSM.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\DOCUME~1\\BASTYN~3\\LOCALS~1\\Temp\\Rar$EX00.344\\services.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-09-07 12:53]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 22:32:46
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
? [728]
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
Temps d'accomplissement: 2008-03-24 22:33:46
ComboFix-quarantined-files.txt 2008-03-24 21:33:31
ComboFix2.txt 2008-03-19 18:15:14
.
2008-03-12 23:13:47 --- E O F ---
Moi qui pensait que c'était un truc pas grave ça commence à me faire peur :s
En tout cas merci de m'aider
Re,
Ne t'inquiète pas, je vais te nettoyer tout ça
Bon je vais me coucher
Bonne nuit et à demain pour la suite
Fais un up du sujet en cours de journée.
Sécurité / Prévention
Répondre à Egwene
Ne t'inquiète pas je sais ce qui ne va pas Aurais-tu les chemins d'accès ( = emplacement ) des virus détectés par Antivir ?
- Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas où le pc ne redémarrerait plus suite à la désinfection.
- Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation et enregistre ce fichier sur le bureau. Ne modifie pas le nom du fichier surtout!
Windows XP sans Service Pack >
Microsoft Windows XP Édition familiale
Microsoft Windows XP Professionnel
Windows XP Service Pack 1 (SP1) >
Microsoft Windows XP Édition familiale SP1
Microsoft Windows XP Professionnel SP1
Windows XP Service Pack 2 (SP2) >
Microsoft Windows XP Édition familiale SP2
Microsoft Windows XP Professionnel SP2
- Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
- Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
- Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.
- Note > à présent lorsque tu démarreras ton pc, tu auras un choix à faire: soit démarrer Windows normalement, ou utiliser la Console de Récupération.
Sécurité / Prévention
Répondre à Egwene
Re,
Non ce n'est pas une sauvegarde, mais c'est un outil très utile, donc bon à avoir en cas de problèmes
On va vérifier quelque chose avant de supprimer le fichier infecté
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Tuto sur le scan en ligne
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Sécurité / Prévention
Répondre à Egwene
Oui toujours sauvegarder ses données
Je vais faire une dernière vérification avant de passer à la phase éradication :
Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/
-Coche uniquement cette case, décoche tout le reste :
-Recent Files, 30 days
Puis clic sur scan now, soit patient.
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages.
Et poste-moi un nouveau rapport hijackthis
Sécurité / Prévention
Répondre à Egwene
Re,
Pourquoi tout sauvegarder ? Sauvegarde juste l'irremplaçable, type documents de travail
Normalement tout se passera bien
Sécurité / Prévention
Répondre à Egwene
ON continue, donc reprends là où l'on en était.
Sécurité / Prévention
Répondre à Egwene
Re,
Oui refais-le stp
Sécurité / Prévention
Répondre à Egwene
Re,
Je te réponds demain, fais un up du sujet demain
Bonne nuit
Sécurité / Prévention
Répondre à Egwene
Coucou,
voila j'ai fais un up tardif
A demain j'espère.
Re,
Oki, je vais me coucher là, donc je te réponds demain, sans faute cette fois-ci ( tu seras le(la) premier(ère) à qui je répondrai.
Bonne nuit, à demain
Sécurité / Prévention
Répondre à Egwene
