Tom's Guide > Forum > Sécurité - Virus > trojan cru629

trojan cru629

Forum Sécurité - Virus : trojan cru629

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
sabrina8   23-07-2008 à 20:59:46

bonsoir je fais apelle à vos services car je sais que vous seul pouvez m'aider!! (par expérience)
je n'arrive pas à me démarasser du trojan cru 629 dans system32 qui se trouve sur le pc de mes beaux parents j'ai essayé sd fix mais sans succés
alors à vous de jouer! je précise je ne suis pas une crak en pc

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
sabrina8   23-07-2008 à 21:03:57
- 0 +

voici le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:14, on 23/07/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe
C:\WINDOWS\System32\HotfixQ0306270.exe
C:\WINDOWS\System32\braviax.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\lxcgcoms.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [TSE_PLUtil] C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [zzz_ImInstaller_IncrediMail] C:\Documents and Settings\xp4200\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.securiser.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.fr/Genoogle/ [...] eQuery.dll
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\cru629.dat
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\System32\lxcgcoms.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 5564 bytes

Répondre à sabrina8
XmichouX   24-07-2008 à 15:05:00
- 0 +

Bonjour,

Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.


Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

Aide : Comment utiliser ComboFix.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
sabrina8   24-07-2008 à 19:24:18
- 0 +

merci de m'aider
voila le rapport:
ComboFix 08-07-23.5 - xp4200 2008-07-24 19:12:39.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.93 [GMT 2:00]
Endroit: C:\Documents and Settings\xp4200\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\xp4200\Local Settings\Temporary Internet Files\fega.lib
C:\Documents and Settings\xp4200\Local Settings\Temporary Internet Files\nahymyfy._sy
C:\WINDOWS\braviax.exe
C:\WINDOWS\g32.txt
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\cru629.dat
C:\WINDOWS\system32\DelSelf.bat

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-24 to 2008-07-24 ))))))))))))))))))))))))))))))))))))
.

2008-07-23 21:03 . 2008-07-23 21:03 <REP> d-------- C:\Program Files\Trend Micro
2008-07-23 20:25 . 2008-07-23 20:25 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d--h-c--- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d--h-c--- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-07-23 20:24 . 2005-11-11 19:53 <REP> d--h-c--- C:\Documents and Settings\Administrateur\ModŠles
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d----c--- C:\Documents and Settings\Administrateur\Mes documents
2008-07-23 20:24 . 2005-11-11 19:36 <REP> dr---c--- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-07-23 20:24 . 2008-07-23 20:38 <REP> d----c--- C:\Documents and Settings\Administrateur\Favoris
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d----c--- C:\Documents and Settings\Administrateur\Bureau
2008-07-23 20:24 . 2008-07-23 20:24 <REP> d----c--- C:\Documents and Settings\Administrateur
2008-07-23 19:28 . 2008-07-23 20:51 <REP> d----c--- C:\SDFix
2008-07-23 17:45 . 2008-07-23 17:45 <REP> d-------- C:\Program Files\Avira
2008-07-23 17:45 . 2008-07-23 17:45 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Avira
2008-07-22 05:23 . 2008-07-22 05:23 534 --a--c--- C:\gsq01v.exe
2008-07-18 11:35 . 2008-07-18 12:04 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-07-18 07:18 . 2008-07-18 07:18 19,810 --a------ C:\WINDOWS\system32\ekykimow.scr
2008-07-18 07:18 . 2008-07-18 07:18 19,677 --a------ C:\WINDOWS\system32\okicod.bin
2008-07-18 07:18 . 2008-07-18 07:18 17,480 --a------ C:\WINDOWS\ipakyguc.scr
2008-07-18 07:18 . 2008-07-18 07:18 15,967 --a------ C:\WINDOWS\vutypad.vbs
2008-07-18 07:18 . 2008-07-18 07:18 14,795 --a------ C:\WINDOWS\xihom.dll
2008-07-18 07:18 . 2008-07-18 07:18 14,589 --a------ C:\WINDOWS\system32\myhobuxoc.dll
2008-07-18 07:18 . 2008-07-18 07:18 14,561 --a--c--- C:\Documents and Settings\All Users\Application Data\esen.reg
2008-07-18 07:18 . 2008-07-18 07:18 14,412 --a------ C:\WINDOWS\ypowog.com
2008-07-18 07:18 . 2008-07-18 07:18 14,376 --a--c--- C:\Documents and Settings\All Users\Application Data\ciputyly.pif
2008-07-18 07:18 . 2008-07-18 07:18 14,074 --a--c--- C:\Documents and Settings\All Users\Application Data\raduguv.bin
2008-07-18 07:18 . 2008-07-18 07:18 13,650 --a------ C:\WINDOWS\ycyq._sy
2008-07-18 07:18 . 2008-07-18 07:18 13,183 --a------ C:\Program Files\Fichiers communs\uquxy.sys
2008-07-18 07:18 . 2008-07-18 07:18 11,562 --a------ C:\WINDOWS\belifak.sys
2008-07-18 07:18 . 2008-07-18 07:18 11,439 --a--c--- C:\Documents and Settings\All Users\Application Data\afun.reg

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-24 05:51 --------- d-----w C:\Program Files\Lx_cats
2008-07-23 17:25 54,784 --sha-w C:\Program Files\Thumbs.db
2008-07-23 15:40 --------- d-----w C:\Program Files\a-squared Free
2008-07-18 05:18 19,720 ----a-w C:\Program Files\Fichiers communs\jydikifuzu.ban
2008-06-06 18:42 --------- dc----w C:\Documents and Settings\xp4200\Application Data\MSN6
2007-11-19 21:02 23,056 -c--a-w C:\Documents and Settings\xp4200\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 13:55 5674352]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-07 07:01 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"lxcgmon.exe"="C:\Program Files\Lexmark 2300 Series\lxcgmon.exe" [2005-05-05 01:24 200704]
"EzPrint"="C:\Program Files\Lexmark 2300 Series\ezprint.exe" [2005-06-08 18:19 94208]
"FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2005-05-03 20:20 299008]
"TSE_PLUtil"="C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe" [2004-09-15 17:30 94208]
"PLFFAP"="C:\WINDOWS\System32\HotfixQ0306270.exe" [2003-08-05 11:43 45056]
"LXCGCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-04-27 16:21 69632]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PLFF;USB Flash Disk Driver;C:\WINDOWS\System32\Drivers\PLFF.sys [2003-10-06 12:29]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-09 13:15]
S3 PL2515;USB SECURITY DEVICE;C:\WINDOWS\System32\DRIVERS\PL2515.sys [2003-10-06 12:29]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-zzz_ImInstaller_IncrediMail - C:\Documents and Settings\xp4200\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
C:\WINDOWS\Downloaded Program Files\oscan8.inf
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\Downloaded Program Files\live.ini
C:\WINDOWS\Downloaded Program Files\scanoptions.tsi
C:\WINDOWS\Downloaded Program Files\lang.ini
C:\WINDOWS\Downloaded Program Files\ipsupd.dll
C:\WINDOWS\Downloaded Program Files\bdupd.dll
C:\WINDOWS\Downloaded Program Files\libfn.dll
C:\WINDOWS\Downloaded Program Files\bdcore.dll
C:\WINDOWS\Downloaded Program Files\oscan8.ocx

O16 -: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} - hxxp://www.myheritage.fr/Genoogle/Components/ActiveX/SearchEngineQuery.dll
C:\WINDOWS\Downloaded Program Files\SearchEngineQuery.dll

O16 -: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.com/activex/zylomgamesplayer.cab
C:\WINDOWS\Downloaded Program Files\ZylomGamesPlayer.inf
C:\WINDOWS\Downloaded Program Files\zylomgamesplayer.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 19:17:19
Windows 5.1.2600 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\MSN Messenger\usnsvc.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-24 19:19:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-24 17:19:12

Pre-Run: 44,614,914,048 octets libres
Post-Run: 45,847,429,120 octets libres

144

Répondre à sabrina8
XmichouX   24-07-2008 à 19:30:19
- 0 +

Re,

Sélectionne l'intégralité du cadre ci-dessous :

Collect::
C:\gsq01v.exe
C:\WINDOWS\system32\ekykimow.scr
C:\WINDOWS\system32\okicod.bin
C:\WINDOWS\ipakyguc.scr
C:\WINDOWS\vutypad.vbs
C:\WINDOWS\xihom.dll
C:\WINDOWS\system32\myhobuxoc.dll
C:\Documents and Settings\All Users\Application Data\esen.reg
C:\WINDOWS\ypowog.com
C:\Documents and Settings\All Users\Application Data\ciputyly.pif
C:\Documents and Settings\All Users\Application Data\raduguv.bin
C:\WINDOWS\ycyq._sy
C:\Program Files\Fichiers communs\uquxy.sys
C:\WINDOWS\belifak.sys
C:\Documents and Settings\All Users\Application Data\afun.reg



  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

http://i266.photobucket.com/albums/ii277/sUBs_/CFScript.gif

  • Cela va relancer Combofix.
  • ComboFix créera ces fichiers sur ton Bureau :

- Un fichier zippé nommé Submit [Date Time].zip
- Un second fichier nommé - CF-Submit.htm

  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  • Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :

- Clique sur le bouton "Browse"("Parcourir" ) et navigue vers le fichier
Submit [Date Time].zip qui est sur ton Bureau.
- Clique sur le fichier afin de le sélectionner.

  • Soumets le fichier en cliquant "OK"
  • Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.

Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
sabrina8   24-07-2008 à 19:42:53
- 0 +

ComboFix 08-07-23.5 - xp4200 2008-07-24 19:36:18.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.123 [GMT 2:00]
Endroit: C:\Documents and Settings\xp4200\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\xp4200\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\afun.reg
C:\Documents and Settings\All Users\Application Data\ciputyly.pif
C:\Documents and Settings\All Users\Application Data\esen.reg
C:\Documents and Settings\All Users\Application Data\raduguv.bin
C:\gsq01v.exe
C:\Program Files\Fichiers communs\uquxy.sys
C:\WINDOWS\belifak.sys
C:\WINDOWS\ipakyguc.scr
C:\WINDOWS\system32\ekykimow.scr
C:\WINDOWS\system32\myhobuxoc.dll
C:\WINDOWS\system32\okicod.bin
C:\WINDOWS\vutypad.vbs
C:\WINDOWS\xihom.dll
C:\WINDOWS\ycyq._sy
C:\WINDOWS\ypowog.com

.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-24 to 2008-07-24 ))))))))))))))))))))))))))))))))))))
.

2008-07-23 21:03 . 2008-07-23 21:03 <REP> d-------- C:\Program Files\Trend Micro
2008-07-23 20:25 . 2008-07-23 20:25 <REP> d-------- C:\WINDOWS\ERUNT
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d--h-c--- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d--h-c--- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-07-23 20:24 . 2005-11-11 19:53 <REP> d--h-c--- C:\Documents and Settings\Administrateur\Modèles
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d----c--- C:\Documents and Settings\Administrateur\Mes documents
2008-07-23 20:24 . 2005-11-11 19:36 <REP> dr---c--- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-07-23 20:24 . 2008-07-23 20:38 <REP> d----c--- C:\Documents and Settings\Administrateur\Favoris
2008-07-23 20:24 . 2005-11-11 19:36 <REP> d----c--- C:\Documents and Settings\Administrateur\Bureau
2008-07-23 20:24 . 2008-07-23 20:24 <REP> d----c--- C:\Documents and Settings\Administrateur
2008-07-23 19:28 . 2008-07-23 20:51 <REP> d----c--- C:\SDFix
2008-07-23 17:45 . 2008-07-23 17:45 <REP> d-------- C:\Program Files\Avira
2008-07-23 17:45 . 2008-07-23 17:45 <REP> d----c--- C:\Documents and Settings\All Users\Application Data\Avira
2008-07-18 11:35 . 2008-07-18 12:04 <REP> d-------- C:\WINDOWS\BDOSCAN8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-24 17:35 --------- d-----w C:\Program Files\Lx_cats
2008-07-23 17:25 54,784 --sha-w C:\Program Files\Thumbs.db
2008-07-23 15:40 --------- d-----w C:\Program Files\a-squared Free
2008-07-18 05:18 19,720 ----a-w C:\Program Files\Fichiers communs\jydikifuzu.ban
2008-06-06 18:42 --------- dc----w C:\Documents and Settings\xp4200\Application Data\MSN6
2007-11-19 21:02 23,056 -c--a-w C:\Documents and Settings\xp4200\Application Data\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-07-24_19.18.49.01 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-24 17:09:40 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-24 17:19:11 16,384 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-24 17:09:40 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-07-24 17:19:11 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-07-24 17:09:40 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-24 17:19:11 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 13:55 5674352]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-07 07:01 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"lxcgmon.exe"="C:\Program Files\Lexmark 2300 Series\lxcgmon.exe" [2005-05-05 01:24 200704]
"EzPrint"="C:\Program Files\Lexmark 2300 Series\ezprint.exe" [2005-06-08 18:19 94208]
"FaxCenterServer"="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" [2005-05-03 20:20 299008]
"TSE_PLUtil"="C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe" [2004-09-15 17:30 94208]
"PLFFAP"="C:\WINDOWS\System32\HotfixQ0306270.exe" [2003-08-05 11:43 45056]
"LXCGCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll" [2005-04-27 16:21 69632]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-28 14:00 13312]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
hpoddt01.exe.lnk - C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 02:06:58 28672]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
Rappels du Calendrier Microsoft Works.lnk - C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [1999-08-06 09:53:00 53317]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PLFF;USB Flash Disk Driver;C:\WINDOWS\System32\Drivers\PLFF.sys [2003-10-06 12:29]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-05-09 13:15]
S3 PL2515;USB SECURITY DEVICE;C:\WINDOWS\System32\DRIVERS\PL2515.sys [2003-10-06 12:29]
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-24 19:37:25
Windows 5.1.2600 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-24 19:38:04
ComboFix-quarantined-files.txt 2008-07-24 17:38:00
ComboFix2.txt 2008-07-24 17:19:20

Pre-Run: 45,806,391,296 octets libres
Post-Run: 45,801,771,008 octets libres

104

Répondre à sabrina8
sabrina8   24-07-2008 à 19:44:13
- 0 +

au fait je n'ai eu qu'un seul fichier de créer le fichier.htm ne sait pas créer, est ce normal!

Répondre à sabrina8
XmichouX   25-07-2008 à 13:28:44
- 0 +

Pas grave;

 

Télécharge MalwareByte's Anti-Malware sur ton Bureau.

 
  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées :

  • Fais redémarrer ton ordinateur en mode sans échec

- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :


~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
~~~~ Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.

 

REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.

Aide :


Message édité par XmichouX le 29-07-2008 à 13:02:34
------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
sabrina8   29-07-2008 à 12:54:45
- 0 +

Que veux dire /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ?
si c'est ce que je pense : j'ai redemarrer en mode sans échec via MSCONFIG c'est parce que je n'arrive pas à redemarrer en mode sans échec avec f8

Répondre à sabrina8
XmichouX   29-07-2008 à 13:02:18
- 0 +

Re,

J'ai édité la procédure ya quelques jours.
Si tu n'as jamais de problèmes, fais le via MSConfig alors ...

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
sabrina8   03-08-2008 à 15:36:09
- 0 +

bonjour,
j'ai mis un peu de temps car je n'ai pas le pc chez moi
bon j'ai fais tout ca seulement je me suis trompée et j'ai excecuter mbam en mode sans echec mais sur la session administrateur donc impossible de copier coller ou de trouver le rapport donc je vais le taper à la main:
malwarebytes anti-malware 1.24
database version: 1018
windows 5.1.2600
14:22:21 03/08/2008
mbam-log-8-3-2008 (14-22-21).txt
scan type: full scan(c:\ f:)
objects scanned:76048
time elapsed: 32 minutes, 16 seconds

memory processes infected: 0
memory modules infected: 0
registry keys infected :0
registry values infected:0
registry data items infected:0
folders infected:0
files infected:7

memory processes infected:
(no malicious items infected)

memory modules infected:
(no malicious items infected)

registry keys infected:
(no malicious items infected)

registry values infected:
(no malicious items infected)

registry data items detected:
(no malicious items infected)

folders infected:
(no malicious items infected)

files infected:
c:\QooBox\quarantine\C\WINDOWS\system32\cru629.dat.vir (trojan FakeALert) -> quarantined and deleted successfully.
C:\System Volume Information\_restore{E76C86B6-8EC8-4F77-BF0A-06E65898AB0F}\RP354\A0049648.exe (Rogue.Installer) -> quarantined and deleted successfully.
C:\System Volume Information\_restore{E76C86B6-8EC8-4F77-BF0A-06E65898AB0F}\RP354\A0051680.exe(Rogue.Installer) -> quarantined and deleted successfully.
C:\System Volume Information\_restore{E76C86B6-8EC8-4F77-BF0A-06E65898AB0F}\RP354\A0051693.exe(Rogue.Installer) -> quarantined and deleted successfully.
C:\System Volume Information\_restore{E76C86B6-8EC8-4F77-BF0A-06E65898AB0F}\RP354\A0051754.exe(Rogue.Installer) -> quarantined and deleted successfully.
C:\System Volume Information\_restore{E76C86B6-8EC8-4F77-BF0A-06E65898AB0F}\RP354\A0051767.exe(Rogue.Installer) -> quarantined and deleted successfully.
C:\System Volume Information\_restore{E76C86B6-8EC8-4F77-BF0A-06E65898AB0F}\RP354\A0051772.exe(Rogue.Installer) -> quarantined and deleted successfully.




voila j'attend les nouvelles instructions merci

Répondre à sabrina8
sabrina8   03-08-2008 à 15:42:06
- 0 +

voici nouveau rapport hijackThis au cas où !:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:07, on 03/08/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe
C:\WINDOWS\System32\HotfixQ0306270.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\EoRezo\EoEngine.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\lxcgcoms.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [TSE_PLUtil] C:\Program Files\USB 2.0 Flash Drive Utility\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\ItsLabel\ItsTV.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: www.securiser.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.fr/Genoogle/ [...] eQuery.dll
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\System32\lxcgcoms.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 6249 bytes

Répondre à sabrina8
XmichouX   04-08-2008 à 18:51:36
- 0 +

Re,

Toujours des problèmes ?

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
sabrina8   10-08-2008 à 14:34:48
- 0 +

merci pour tout, apparemment plus de problèmes
@tantot peut-etre

Répondre à sabrina8
XmichouX   18-08-2008 à 20:10:26
- 0 +

Ah une belge, n'est-ce pas ? ;)

Relance Hijackthis (clique droit -> lancer en tant qu'adminstrateur sous Vista), do a system scan only, coche ces lignes (si toujours présentes) :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EoEngine] "C:\Program Files\EoRezo\EoEngine.exe"
O4 - HKLM\..\Run: [ItsTV] "C:\Program Files\ItsLabel\ItsTV.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot


Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
Puis Fix Checked !


*********************

Prévention :

- Nettoyage des fichiers temporaires :

Télécharge Ccleaner sur ton Bureau.

  • Clique sur "download the latest version"
  • Installe-le en laissant seulement les options suivantes cochées :

- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner

  • Lance le Nettoyage
  • Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.


Aide : Comment utiliser CCleaner.


Telecharge ATFcleaner sur ton Bureau.

  • Double-clique sur l'exécutable téléchargé.
  • Dans l'onglet Main, coche simplement la case Select All (toutes les cases vont se cocher) puis sur le bouton Empty Selected.
  • Si tu possèdes Firefox ou Opera comme navigateur, pense à choisir ton navigateur en haut a gauche avant de sélectionner Select All puis Empty Selected.
  • Puis réponds Non au message qui s'affiche, si tu ne souhaites pas perdre tes mots de passe.


Aide : Comment utiliser AFTCleaner.

-- Restauration Système :

Désactive-Réactive la restauration système.

Méthode XP :
Clique sur Démarrer, fais un clique droit sur le Poste de travail puis clique sur Propiétés. Sélectionne l'onglet Restauration du Système.
Dans cet onglet, coche la case Désactiver la Restauration du système sur tous les lecteurs.
Un message de confirmation va apparaître. Clique sur Oui, puis OK. Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).

Méthode Vista :
Clique sur Démarrer, fais un clique droit sur Ordinateur, puis clique sur Propriétés. Clique à gauche sur Paramètres système avancés. Sélectionne l'onglet Protection du Système.
Dans cet onglet, décoche (une par une) tes partitions, un message de confirmation va apparaître, clique sur Désactiver la protection du système, Clique sur Appliquer, puis OK.
Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).

Aide : Comment Désactiver-Réactiver la Restauration Système.

--- Affichage normal des fichiers :

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
- Décoche Afficher les fichiers et dossiers cachés
- Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

---- Suppression des outils installés :

Télécharge ToolsCleaner2 (de A.Rothstein)

  • Installe le sur ton Bureau.
  • Clique sur Recherche pour lancer le scan.
  • Clique sur Supprimer pour nettoyer les outils utilisés.
  • Clique sur Quitter.
  • Supprime maintenant ToolsCleaner.


----- Remise en place des protections, protection du système avec les Mises à Jour ! :

Je t'invite maintenant à (ré)activer toutes tes protections résidentes (Antivirus, Antispyware, Firewall..).
Tu dois avoir accès à tes protections dans la zone systray à côté de la barre des tâches. Si tu as des difficultés, n'hésite pas à me questionner !
Si ce n'est pas fait, assure-toi que les Mises à jour Automatiques Windows soient activées !
Mets tes Softwares correctement à jour (Java, Adobe, Flash ..) grâce à Sotware Inspector (chez Secunia)

Un petit mot à propos de Java :

Une fois la nouvelle version téléchargée, installe-la et fais redémarrer ton ordinateur.
Hélas, les anciennes version de Java (qui contiennent des failles, donc dangereuses !) sont toujours présentes !
C'est donc très important que tu désinstalles les anciennes versions de Java.

  • Va dans Démarrer, Panneau de Configuration, Ajout/Suppression de Programmes
  • Déinstalles toutes les versions de Java exceptée la plus récente.


Aide : Comment utiliser Secunia Software Inspector.

------ Ton infection, tu la dénonces ? :

Tu n'es pas obligé mais ce serait bien que tu rapportes ton infection sur Malware Complaints

  • Ton(tes) infection(s) : Variante de WinAvX.exe/bolenja.exe/mustafx.
  • Si tu ne la trouves pas dans la liste, poste dans Autres infections.


Aide : Comment dénoncer mon infection sur Malware Complaints.

Je t'invite maintenant à regarder ces dossiers très instructifs en terme de prévention !

- Sécurité/Prévention
- Conséquences de la multi-protection
- Toolbars : Inutilité et ralentissements

Bonne journée/soirée :)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > trojan cru629
Aller à :

Il y a 2082 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,917 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens