Tom's Guide > Forum > Sécurité - Virus > Pb virus - aidez moi svp

Pb virus - aidez moi svp

Forum Sécurité - Virus : Pb virus - aidez moi svp

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
Touckie   12-12-2008 à 19:32:07

Bonjour,

Hier, lorsque j'ai ouvert un fichier zip, avast a détecté la présence de plusieurs logiciels malveillants. Parmi eux, je me souviens de Web32 Tiny II mais il y en avait plusieurs qui commencaient pas win32.

Par la suite, j'ai utilisé plusieurs logiciels antispyware comme Adware, CCleaner, CleanUp, Easycleaner pour essayer de nettoyer mon PC. Lorsque j'ai voulu éteindre mon PC, il est resté gelé. Après l'avoir éteint de manière un peu brutale (débranchement du cordon d'alimentation), j'ai essayé de le rallumer et là, il a gelé à plusieurs reprises.

Par ailleurs, maintenant que j'ai réussi à le rallumer. Il m'ouvre des fenêtres intempestives sur netscape et m'empêche d'ouvrir internet explorer.

Est-ce que quelqu'un aurait la gentillesse de m'aider à résoudre mon problème, svp?

Merci d'avance.

Touckie

PS : je suis debutante en informatique

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
Sham_Rock   12-12-2008 à 21:52:50
- 0 +

bonsoir

Citation :

PS : je suis debutante en informatique


ce n'est pas un problème, suis à la lettre les recommendations que l'on te donnera. :)

1
Télécharger Rooter.exe sur ton bureau
Double clique dessus et poste le rapport ( %Systemdrive%\Rooter.txt )


2
Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   12-12-2008 à 22:17:10
- 0 +

Tout d'abord, merci beaucoup de prendre un peu de temps pour résoudre mon problème.

Voici le rapport de rooter.exe :



C:\ (Local Disk) - NTFS - Total:6 Go (Free:0 Go)
D:\ (Local Disk) - NTFS - Total:31 Go (Free:1 Go)
E:\ (CD or DVD)

12/12/2008|16:13

----------------------\\ Search..


D:\WINDOWS\System32\nvs2.inf

D:\DOCUME~1\mumu\LOCALS~1\APPLIC~1\hqklgpq.dat
D:\DOCUME~1\mumu\LOCALS~1\APPLIC~1\hqklgpq_nav.dat
D:\DOCUME~1\mumu\LOCALS~1\APPLIC~1\hqklgpq_navps.dat
==> NAVIPROMO <==

D:\WINDOWS\system32\tDdMVvut.ini
D:\WINDOWS\system32\tDdMVvut.ini2
D:\WINDOWS\system32\tuvVMdDt.dll
==> VUNDO <==

----------------------\\ ROOTKIT !!

Rootkit TDSS ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]

----------------------\\ Registry

[HKEY_LOCAL_MACHINE\Software\TDSS]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\tdssdata]


----------------------\\ Cracks & Keygens..

D:\DOCUME~1\mumu\Mes documents\Divers\Logiciel\Nero7\Nero7Keygen.exe
D:\DOCUME~1\mumu\Mes documents\Divers\Logiciel\Nero7\Nero7Keygen.zip


1 - "D:\Rooter$\Rooter_1.txt" - 12/12/2008|16:16

----------------------\\ Scan completed at 16:16



Voici le rapport Hijackthis :

Logfile of HijackThis v1.99.1
Scan saved at 16:16:55, on 12/12/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Program Files\Netscape\Netscape\Netscp.exe
D:\DOCUME~1\mumu\LOCALS~1\Temp\csrssc.exe
D:\WINDOWS\System32\LVComsX.exe
D:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\WINDOWS\System32\cmd.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\NOTEPAD.EXE
D:\Documents and Settings\mumu\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
N3 - Netscape 7: user_pref("browser.search.defaultengine", "http://www.google.com/" ); (D:\Documents and Settings\mumu\Application Data\Mozilla\Profiles\default\3o373f8m.slt\prefs.js)
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] D:\DOCUME~1\mumu\LOCALS~1\Temp\csrssc.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - D:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Program Files\Java\jre6\bin\jqs.exe" -service -config "D:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

Répondre à Touckie
Sham_Rock   12-12-2008 à 22:52:23
- 0 +

re
tu es vraiment bien infecté...

1

désactive le module self defense d'avast avant de faire ce qui suit:
http://img501.imageshack.us/img501/7494/avastselfprotectionfu7.png
Clic-droit sur l'icône d'Avast! près de l'horloge >> "Réglages du programme..."

- Option "Dépannage" (au bas à gauche)

- Cocher "Désactiver le module self-defense d'avast!" >> "Ok"

2
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
* le nom de la partition peut changer

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   12-12-2008 à 23:00:12
- 0 +

Lorsque j'essaye d'ouvrir ComboFix, une nouvelle fenêtre Netscape s'ouvre. A l'intérieur, j'ai une petite fenêtre d'alerte où il est marqué "La connexion a été refusée lors de la tentative de contact de download.bleepingcomputer.com".

Que dois-je faire puisque je ne peux telecharger ComboFix?

Répondre à Touckie
Touckie   12-12-2008 à 23:30:16
- 0 +

J'ai réussi à le télécharger sur mon bureau. Mais lorsque j'essaie de l'ouvrir (en double-cliquant ou en faisant cli droit+ouvrir), rien ne se passe. Le programme semble ne pas démarrer.

Répondre à Touckie
Sham_Rock   13-12-2008 à 00:32:10
- 0 +

re
supprime ta version, puis reprends le téléchargement, mais en renommant combofix, comme ici:

http://forum.pcastuces.com/sujet.asp?f=25&s=37315

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   13-12-2008 à 02:12:54
- 0 +

Voici le fichier log extrait de Combo Fix :

ComboFix 08-12-12.02 - mumu 2008-12-12 19:56:40.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.479.211 [GMT -5:00]
Lancé depuis: d:\documents and settings\mumu\Bureau\Combo-Fix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\documents and settings\mumu\Local Settings\Application Data\hqklgpq.dat
d:\documents and settings\mumu\Local Settings\Application Data\hqklgpq_nav.dat
d:\documents and settings\mumu\Local Settings\Application Data\hqklgpq_navps.dat
d:\windows\system32\aozjnw.dll
d:\windows\system32\aspjrqka.dll
d:\windows\System32\ayiapeev.dll
d:\windows\system32\gkhsgmqh.dll
d:\windows\system32\jkse73hedfdgf.dll
d:\windows\system32\nvs2.inf
d:\windows\system32\ognkhkde.dll
d:\windows\system32\qhgeopfu.dll
d:\windows\system32\rqRHxuvU.dll
d:\windows\system32\tbezib.dll
d:\windows\system32\tDdMVvut.ini
d:\windows\system32\tDdMVvut.ini2
d:\windows\System32\tuvVMdDt.dll
d:\windows\system32\zwmgek.dll
d:\windows\Tasks\qfacsjbu.job

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-13 au 2008-12-13 ))))))))))))))))))))))))))))))))))))
.

2008-12-12 18:21 . 2008-12-12 19:02 1,644,310 ---hs---- d:\windows\system32\veepaiya.ini
2008-12-12 16:13 . 2008-12-12 16:16 <REP> d-------- D:\Rooter$
2008-12-11 21:54 . 2008-12-11 21:54 <REP> d-------- D:\VundoFix Backups
2008-12-11 21:23 . 2008-12-12 19:59 <REP> d-------- d:\windows\system32\CatRoot2
2008-12-11 18:31 . 2008-12-11 18:31 37,376 --a------ d:\windows\system32\urqQghhg.dll
2008-12-11 18:19 . 2008-12-11 18:19 1,625,965 ---hs---- d:\windows\system32\ufpoeghq.ini
2008-12-11 18:02 . 2008-12-11 18:02 37,376 --a------ d:\windows\system32\mlJBSjiG.dll
2008-12-11 17:55 . 2008-12-11 18:18 1,625,974 ---hs---- d:\windows\system32\dfhyxhca.ini
2008-12-11 17:48 . 2008-12-11 17:48 135,552 --a------ d:\windows\system32\drivers\ethdvzgu.sys
2008-12-11 17:48 . 2008-12-11 17:48 37,376 --a------ d:\windows\system32\qoMfddBQ.dll
2008-12-11 16:52 . 2008-12-11 17:03 20,728 --a------ d:\windows\hpoins01.dat
2008-12-11 16:52 . 2002-12-02 19:11 16,622 --------- d:\windows\hpomdl01.dat
2008-12-09 17:27 . 2008-12-09 17:26 410,984 --a------ d:\windows\system32\deploytk.dll
2008-12-04 13:36 . 2008-12-04 13:36 268 --ah----- D:\sqmdata04.sqm
2008-12-04 13:36 . 2008-12-04 13:36 244 --ah----- D:\sqmnoopt04.sqm
2008-11-30 15:50 . 2008-11-30 15:50 <REP> d-------- d:\program files\Calendrier
2008-11-30 15:50 . 2008-11-30 15:50 <REP> d-------- d:\documents and settings\mumu\Application Data\Calendrier Xtra

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-12 02:08 --------- d-----w d:\program files\Copernic Agent
2008-12-12 01:35 --------- d-----w d:\program files\eMule
2008-12-12 01:35 --------- d-----w d:\documents and settings\mumu\Application Data\LimeWire
2008-12-11 22:03 82,380 ----a-w d:\windows\system32\drivers\AFS2K.SYS
2008-12-09 22:26 --------- d-----w d:\program files\Java
2008-12-04 18:37 --------- d-----w d:\documents and settings\mumu\Application Data\Skype
2008-12-04 17:45 --------- d-----w d:\documents and settings\mumu\Application Data\skypePM
2008-11-06 17:25 --------- d-----w d:\program files\LimeWire
2008-11-04 22:49 --------- d-----w d:\program files\Alwil Software
2008-10-27 19:47 --------- d-----w d:\program files\Skype
2008-10-27 19:47 --------- d-----w d:\program files\Fichiers communs\Skype
2008-10-27 19:47 --------- d-----w d:\documents and settings\All Users\Application Data\Skype
2008-08-30 21:08 560 ----a-w d:\documents and settings\mumu\Application Data\ViewerApp.dat
2008-05-15 17:18 47,735 ----a-w d:\documents and settings\mumu\Application Data\mdbu.bin
2008-05-04 20:45 30,528 ----a-w d:\documents and settings\mumu\Application Data\GDIPFONTCACHEV1.DAT
2007-02-11 22:42 23,328 --sha-w d:\windows\fidbox.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2008-12-11 17:48 37376 --a------ d:\windows\System32\qoMfddBQ.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="d:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2006-09-01 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\System32\CTFMON.EXE" [2001-10-08 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= "d:\windows\System32\qoMfddBQ.dll" [2008-12-11 37376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfddBQ]
2008-12-11 17:48 37376 d:\windows\system32\qoMfddBQ.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=tbezib.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R1 aswSP;avast! Self Protection;d:\windows\System32\drivers\aswSP.sys [2008-11-04 111184]
S1 ethdvzgu;ethdvzgu;d:\windows\System32\drivers\ethdvzgu.sys [2008-12-11 135552]
S3 S3chipid;S3chipid;\??\d:\windows\TEMP\_ISTMP0.DIR\S3chipid.sys []

*Newly Created Service* - TDSSSERV.SYS
.
Contenu du dossier 'Tâches planifiées'

2008-09-06 d:\windows\Tasks\ErrorSmart Scheduled Scan.job
- d:\program files\ErrorSmart\ErrorSmart.exe []

2008-09-06 d:\windows\Tasks\ErrorSmart Scheduled Scan.job
- d:\program files\ErrorSmart [2007-12-22 11:43]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{143EA168-B889-4189-9C19-AF2C846F2B7A} - d:\windows\System32\tuvVMdDt.dll
BHO-{C5BF49A2-94F3-42BD-F434-3604812C897D} - d:\windows\System32\jkse73hedfdgf.dll
HKLM-Run-NWEReboot - (no file)
SharedTaskScheduler-{C5BF49A2-94F3-42BD-F434-3604812C897D} - d:\windows\System32\jkse73hedfdgf.dll
ShellExecuteHooks-{9C0ADB68-353A-61DD-ED09-1D8003A611CB} - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.yahoo.fr/
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - d:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - d:\progra~1\COPERN~1\COPERN~1.DLL
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-12 20:05:55
Windows 5.1.2600 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys]
"imagepath"="\systemroot\system32\drivers\TDSSrfdt.sys"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1036)
d:\windows\system32\ODBC32.dll
d:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
d:\windows\system32\qoMfddBQ.dll

- - - - - - - > 'lsass.exe'(1096)
d:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
d:\windows\system32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
d:\program files\Alwil Software\Avast4\aswUpdSv.exe
d:\program files\Alwil Software\Avast4\ashServ.exe
d:\program files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
d:\program files\Java\jre6\bin\jqs.exe
d:\windows\system32\wdfmgr.exe
d:\program files\Alwil Software\Avast4\ashMaiSv.exe
d:\program files\Alwil Software\Avast4\ashWebSv.exe
d:\windows\system32\wbem\wmiapsrv.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
.
**************************************************************************
.
Heure de fin: 2008-12-12 20:09:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-13 01:09:35

Avant-CF: 1,200,967,680 octets libres
AprÞs-CF: 1,132,511,232 octets libres

155 --- E O F --- 2008-11-03 19:06:58

Répondre à Touckie
Touckie   13-12-2008 à 22:49:00
- 0 +

Bonjour,

J'ai posté le log hier et depuis je n'ai plus de nouvelles.
Que dois-je faire, svp?

Merci,

Touckie

Répondre à Touckie
Touckie   15-12-2008 à 16:28:29
- 0 +

Bonjour,

Je n'ai toujours pas résolu mon problème et je n'ai plus de réponses depuis 3 jours.

Merci de m'aider.

Touckie

Répondre à Touckie
Sham_Rock   15-12-2008 à 23:07:52
- 0 +

Bonsoir
désolé, j'étais absent tout le week end...

Copie (Ctrl+C) le texte ci-dessous :

Driver::
ethdvzgu
S3chipid

File::
d:\windows\system32\veepaiya.ini
d:\windows\system32\urqQghhg.dll
d:\windows\system32\ufpoeghq.ini
d:\windows\system32\mlJBSjiG.dll
d:\windows\system32\dfhyxhca.ini
d:\windows\system32\drivers\ethdvzgu.sys
d:\windows\system32\qoMfddBQ.dll
d:\windows\system32\deploytk.dll
d:\windows\Tasks\ErrorSmart Scheduled Scan.job

Folder::
D:\Rooter$
D:\VundoFix Backup
d:\program files\ErrorSmart

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfddBQ]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\TDSSserv.sys]




Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i263.photobucket.com/albums/ii126/Sham_Rock1/CFScript-1.gif

  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt



------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   16-12-2008 à 15:39:42
- 0 +

Bonjour,

Durant le week-end, j'ai désintallé Avast pour le remplacer par Antivir. Lors du scan complet de l'ordinateur, il a mis environ 70 fichiers en quarantaine.

Voici le log de Combo Fix.

ComboFix 08-12-12.02 - mumu 2008-12-16 9:26:15.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.479.220 [GMT -5:00]
Lancé depuis: d:\documents and settings\mumu\Bureau\Combo-Fix.exe
Commutateurs utilisés :: d:\documents and settings\mumu\Bureau\CFScript.txt

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
d:\windows\system32\deploytk.dll
d:\windows\system32\dfhyxhca.ini
d:\windows\system32\drivers\ethdvzgu.sys
d:\windows\system32\mlJBSjiG.dll
d:\windows\system32\qoMfddBQ.dll
d:\windows\system32\ufpoeghq.ini
d:\windows\system32\urqQghhg.dll
d:\windows\system32\veepaiya.ini
d:\windows\Tasks\ErrorSmart Scheduled Scan.job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\program files\ErrorSmart
D:\Rooter$
d:\rooter$\Crack.txt
d:\rooter$\egd1.egd
d:\rooter$\egd2.egd
d:\rooter$\iNv.exe
d:\rooter$\kill.reg
d:\rooter$\KillF.txt
d:\rooter$\lsTasks.exe
d:\rooter$\Orph.egd
d:\rooter$\OsV.exe
d:\rooter$\paths.bat
d:\rooter$\RegI.txt
d:\rooter$\RK.txt
d:\rooter$\Rkeys.txt
d:\rooter$\RKit.lsd
d:\rooter$\RoGUeS.lsd
d:\rooter$\Rooter.txt
d:\rooter$\Rooter_1.txt
d:\rooter$\RooterT.cmd
d:\rooter$\RunTool.txt
d:\rooter$\sed.exe
d:\rooter$\setpath.exe
d:\rooter$\VUN.txt
d:\windows\system32\agyalhif.dll
d:\windows\system32\avdiya.dll
d:\windows\system32\deploytk.dll
d:\windows\system32\dfhyxhca.ini
d:\windows\system32\drivers\TDSSrfdt.sys
d:\windows\system32\ewljcryr.dll
d:\windows\system32\hcmcylob.dll
d:\windows\system32\hfyrmyei.dll
d:\windows\system32\mlJBSjiG.dll
d:\windows\system32\mljjxsss.dll
d:\windows\system32\ngacow.dll
d:\windows\system32\pilylfwt.dll
d:\windows\system32\qntmmrvu.dll
d:\windows\system32\qoMfddBQ.dll
d:\windows\System32\rqRLbyxy.dll
d:\windows\system32\seqwkj.dll
d:\windows\system32\TDSSckvg.dll
d:\windows\system32\TDSSedwv.dll
d:\windows\system32\TDSSeuaq.dll
d:\windows\system32\TDSSfdvv.log
d:\windows\system32\TDSShfdc.dll
d:\windows\system32\TDSSiero.dat
d:\windows\system32\TDSSnhvw.dll
d:\windows\system32\TDSSnmxh.log
d:\windows\system32\TDSSurgi.dll
d:\windows\system32\TDSSuyka.log
d:\windows\system32\ufpoeghq.ini
d:\windows\system32\umyyge.dll
d:\windows\system32\urqQghhg.dll
d:\windows\system32\veepaiya.ini
d:\windows\system32\vysctx.dll
d:\windows\system32\xsmidaqp.dll
d:\windows\system32\yxybLRqr.ini
d:\windows\system32\yxybLRqr.ini2
d:\windows\Tasks\ErrorSmart Scheduled Scan.job

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS
-------\Legacy_S3CHIPID
-------\Service_S3chipid


((((((((((((((((((((((((((((( Fichiers créés du 2008-11-16 au 2008-12-16 ))))))))))))))))))))))))))))))))))))
.

2008-12-16 09:05 . 2008-12-16 09:05 1,648,352 ---hs---- d:\windows\system32\ieymryfh.ini
2008-12-15 10:40 . 2008-12-15 10:40 <REP> d-------- d:\program files\Avira
2008-12-15 10:40 . 2008-12-15 10:40 <REP> d-------- d:\documents and settings\All Users\Application Data\Avira
2008-12-15 09:02 . 2008-12-15 09:02 1,649,595 ---hs---- d:\windows\system32\sssxjjlm.ini
2008-12-14 09:00 . 2008-12-15 09:01 1,649,595 ---hs---- d:\windows\system32\wqqnftpo.ini
2008-12-13 20:22 . 2008-12-13 20:24 1,649,808 ---hs---- d:\windows\system32\fihlayga.ini
2008-12-13 20:09 . 2008-12-13 20:09 54,156 --ah----- d:\windows\QTFont.qfn
2008-12-13 20:09 . 2008-12-13 20:09 1,409 --a------ d:\windows\QTFont.for
2008-12-12 20:21 . 2008-12-13 20:22 1,649,808 ---hs---- d:\windows\system32\pankmayp.ini
2008-12-11 21:54 . 2008-12-11 21:54 <REP> d-------- D:\VundoFix Backups
2008-12-11 21:23 . 2008-12-16 09:29 <REP> d-------- d:\windows\system32\CatRoot2
2008-12-11 16:52 . 2008-12-11 17:03 20,728 --a------ d:\windows\hpoins01.dat
2008-12-11 16:52 . 2002-12-02 19:11 16,622 --------- d:\windows\hpomdl01.dat
2008-12-04 13:36 . 2008-12-04 13:36 268 --ah----- D:\sqmdata04.sqm
2008-12-04 13:36 . 2008-12-04 13:36 244 --ah----- D:\sqmnoopt04.sqm
2008-11-30 15:50 . 2008-11-30 15:50 <REP> d-------- d:\program files\Calendrier
2008-11-30 15:50 . 2008-11-30 15:50 <REP> d-------- d:\documents and settings\mumu\Application Data\Calendrier Xtra

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-14 15:46 --------- d-----w d:\documents and settings\mumu\Application Data\Skype
2008-12-14 14:48 --------- d-----w d:\documents and settings\mumu\Application Data\skypePM
2008-12-12 02:08 --------- d-----w d:\program files\Copernic Agent
2008-12-12 01:35 --------- d-----w d:\program files\eMule
2008-12-12 01:35 --------- d-----w d:\documents and settings\mumu\Application Data\LimeWire
2008-12-11 22:03 82,380 ----a-w d:\windows\system32\drivers\AFS2K.SYS
2008-12-09 22:26 --------- d-----w d:\program files\Java
2008-11-06 17:25 --------- d-----w d:\program files\LimeWire
2008-11-04 22:49 --------- d-----w d:\program files\Alwil Software
2008-10-27 19:47 --------- d-----w d:\program files\Skype
2008-10-27 19:47 --------- d-----w d:\program files\Fichiers communs\Skype
2008-10-27 19:47 --------- d-----w d:\documents and settings\All Users\Application Data\Skype
2008-08-30 21:08 560 ----a-w d:\documents and settings\mumu\Application Data\ViewerApp.dat
2008-05-15 17:18 47,735 ----a-w d:\documents and settings\mumu\Application Data\mdbu.bin
2008-05-04 20:45 30,528 ----a-w d:\documents and settings\mumu\Application Data\GDIPFONTCACHEV1.DAT
2007-02-11 22:42 23,328 --sha-w d:\windows\fidbox.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"avgnt"="d:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\System32\CTFMON.EXE" [2001-10-08 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R0 avgntmgr;avgntmgr;d:\windows\System32\DRIVERS\avgntmgr.sys [2008-12-15 22336]
R1 avgntdd;avgntdd;d:\windows\System32\DRIVERS\avgntdd.sys [2008-12-15 45376]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{A99D327E-12CD-42A3-9F2E-F4FCACA9BF8B} - d:\windows\System32\rqRLbyxy.dll
BHO-{b5132f07-1aba-44b5-9d12-68ec603befbb} - d:\windows\System32\vysctx.dll


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.yahoo.fr/
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - d:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - d:\progra~1\COPERN~1\COPERN~1.DLL
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 09:33:10
Windows 5.1.2600 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


d:\windows\TEMP\OLD7.tmp 71448 bytes executable
d:\windows\system32\wuauclt.exe.wusetup.211734.bak 115480 bytes executable
d:\windows\system32\wuaucpl.cpl.wusetup.213787.bak 169240 bytes executable
d:\windows\system32\wuaueng.dll.wusetup.217642.bak 1081112 bytes executable

Scan terminé avec succès
Fichiers cachés: 4

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(816)
d:\windows\system32\ODBC32.dll
d:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(872)
d:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
d:\windows\system32\dssenh.dll
.
------------------------ Autres processus actifs ------------------------
.
d:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
d:\program files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
d:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
d:\program files\Java\jre6\bin\jqs.exe
d:\windows\system32\wdfmgr.exe
d:\windows\system32\wbem\wmiapsrv.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
d:\program files\Hewlett-Packard\Digital Imaging\bin\hposts08.exe
d:\program files\Netscape\Netscape\Netscp.exe
.
**************************************************************************
.
Heure de fin: 2008-12-16 9:37:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-16 14:37:15
ComboFix2.txt 2008-12-13 01:09:43

Avant-CF: 936,640,512 octets libres
AprÞs-CF: 884,219,904 octets libres

192 --- E O F --- 2008-11-03 19:06:58

Répondre à Touckie
Sham_Rock   16-12-2008 à 21:03:23
- 0 +

bonsoir

1

Copie (Ctrl+C) le texte ci-dessous :

File::
d:\windows\system32\ieymryfh.ini
d:\windows\system32\sssxjjlm.ini
d:\windows\system32\wqqnftpo.ini
d:\windows\system32\fihlayga.ini
d:\windows\system32\pankmayp.ini
d:\windows\TEMP\OLD7.tmp
Folder::
D:\VundoFix Backups




Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i263.photobucket.com/albums/ii126/Sham_Rock1/CFScript-1.gif

  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


2
~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://www.kaspersky.com/kos/eng/p [...] bscan.html

* Clique sur Accept
* Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
* clique une nouvelle fois sur "Accept"
* Les bases de mises à jour vont s'installer, patiente un moment
* Clique sur Next.
* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
* Poste le rapport de scan.


------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   16-12-2008 à 23:51:33
- 0 +

Bonsoir,

voici le log de ComboFix :

ComboFix 08-12-12.02 - mumu 2008-12-16 15:19:19.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.479.150 [GMT -5:00]
Running from: d:\documents and settings\mumu\Bureau\Combo-Fix.exe
Command switches used :: d:\documents and settings\mumu\Bureau\CFScript.txt
* Created a new restore point

[COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR]

FILE ::
d:\windows\system32\fihlayga.ini
d:\windows\system32\ieymryfh.ini
d:\windows\system32\pankmayp.ini
d:\windows\system32\sssxjjlm.ini
d:\windows\system32\wqqnftpo.ini
d:\windows\TEMP\OLD7.tmp
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\VundoFix Backups
d:\windows\system32\fihlayga.ini
d:\windows\system32\ieymryfh.ini
d:\windows\system32\pankmayp.ini
d:\windows\system32\sssxjjlm.ini
d:\windows\system32\wqqnftpo.ini

.
((((((((((((((((((((((((( Files Created from 2008-11-16 to 2008-12-16 )))))))))))))))))))))))))))))))
.

2008-12-15 10:40 . 2008-12-15 10:40 <REP> d-------- d:\program files\Avira
2008-12-15 10:40 . 2008-12-15 10:40 <REP> d-------- d:\documents and settings\All Users\Application Data\Avira
2008-12-13 20:09 . 2008-12-13 20:09 54,156 --ah----- d:\windows\QTFont.qfn
2008-12-13 20:09 . 2008-12-13 20:09 1,409 --a------ d:\windows\QTFont.for
2008-12-11 21:23 . 2008-12-16 09:39 <REP> d-------- d:\windows\system32\CatRoot2
2008-12-11 16:52 . 2008-12-11 17:03 20,728 --a------ d:\windows\hpoins01.dat
2008-12-11 16:52 . 2002-12-02 19:11 16,622 --------- d:\windows\hpomdl01.dat
2008-12-04 13:36 . 2008-12-04 13:36 268 --ah----- D:\sqmdata04.sqm
2008-12-04 13:36 . 2008-12-04 13:36 244 --ah----- D:\sqmnoopt04.sqm
2008-11-30 15:50 . 2008-11-30 15:50 <REP> d-------- d:\program files\Calendrier
2008-11-30 15:50 . 2008-11-30 15:50 <REP> d-------- d:\documents and settings\mumu\Application Data\Calendrier Xtra

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-14 15:46 --------- d-----w d:\documents and settings\mumu\Application Data\Skype
2008-12-14 14:48 --------- d-----w d:\documents and settings\mumu\Application Data\skypePM
2008-12-12 02:08 --------- d-----w d:\program files\Copernic Agent
2008-12-12 01:35 --------- d-----w d:\program files\eMule
2008-12-12 01:35 --------- d-----w d:\documents and settings\mumu\Application Data\LimeWire
2008-12-11 22:03 82,380 ----a-w d:\windows\system32\drivers\AFS2K.SYS
2008-12-09 22:26 --------- d-----w d:\program files\Java
2008-11-06 17:25 --------- d-----w d:\program files\LimeWire
2008-11-04 22:49 --------- d-----w d:\program files\Alwil Software
2008-10-27 19:47 --------- d-----w d:\program files\Skype
2008-10-27 19:47 --------- d-----w d:\program files\Fichiers communs\Skype
2008-10-27 19:47 --------- d-----w d:\documents and settings\All Users\Application Data\Skype
2008-10-16 19:13 202,776 ----a-w d:\windows\system32\wuweb.dll
2008-10-16 19:13 1,809,944 ----a-w d:\windows\system32\wuaueng.dll
2008-10-16 19:12 561,688 ----a-w d:\windows\system32\wuapi.dll
2008-10-16 19:12 323,608 ----a-w d:\windows\system32\wucltui.dll
2008-10-16 19:09 92,696 ----a-w d:\windows\system32\cdm.dll
2008-10-16 19:09 51,224 ----a-w d:\windows\system32\wuauclt.exe
2008-10-16 19:09 43,544 ----a-w d:\windows\system32\wups2.dll
2008-10-16 19:08 34,328 ----a-w d:\windows\system32\wups.dll
2008-08-30 21:08 560 ----a-w d:\documents and settings\mumu\Application Data\ViewerApp.dat
2008-05-15 17:18 47,735 ----a-w d:\documents and settings\mumu\Application Data\mdbu.bin
2008-05-04 20:45 30,528 ----a-w d:\documents and settings\mumu\Application Data\GDIPFONTCACHEV1.DAT
2007-02-11 22:42 23,328 --sha-w d:\windows\fidbox.dat
.

((((((((((((((((((((((((((((( snapshot@2008-12-16_ 9.36.33.45 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-16 14:32:32 16,384 ----a-w d:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2008-12-16 15:22:19 16,384 ----a-w d:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-12-16 14:32:32 16,384 ----a-w d:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-12-16 15:22:19 16,384 ----a-w d:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
- 2008-12-16 14:32:32 32,768 ----a-w d:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-16 15:22:19 32,768 ----a-w d:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-12-16 15:22:31 16,384 ----atw d:\windows\Temp\Perflib_Perfdata_7a0.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"avgnt"="d:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\System32\CTFMON.EXE" [2001-10-08 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R0 avgntmgr;avgntmgr;d:\windows\System32\DRIVERS\avgntmgr.sys [2008-12-15 22336]
R1 avgntdd;avgntdd;d:\windows\System32\DRIVERS\avgntdd.sys [2008-12-15 45376]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.yahoo.fr/
Handler: copernicagent - {A979B6BD-E40B-4A07-ABDD-A62C64A4EBF6} - d:\progra~1\COPERN~1\COPERN~1.DLL
Handler: copernicagentcache - {AAC34CFD-274D-4A9D-B0DC-C74C05A67E1D} - d:\progra~1\COPERN~1\COPERN~1.DLL
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 15:31:39
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(816)
d:\windows\system32\ODBC32.dll
d:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll

- - - - - - - > 'lsass.exe'(872)
d:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
d:\windows\system32\dssenh.dll
.
Completion time: 2008-12-16 15:32:46
ComboFix-quarantined-files.txt 2008-12-16 20:32:34
ComboFix2.txt 2008-12-16 14:37:21
ComboFix3.txt 2008-12-13 01:09:43

Pre-Run: 770ÿ154ÿ496 octets libres
Post-Run: 750,755,840 octets libres

121 --- E O F --- 2008-11-03 19:06:58


Puis celui de Kaspersky :

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Tuesday, December 16, 2008
Operating System: Microsoft Windows XP Professional (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, December 16, 2008 17:52:49
Records in database: 1466314
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\

Scan statistics:
Files scanned: 47735
Threat name: 7
Infected objects: 8
Suspicious objects: 0
Duration of the scan: 01:53:02


File name / Threat name / Threats count
D:\Program Files\IncrediMail\bin\IncrediMail_Install.exe Infected: not-a-virus:Downloader.Win32.ImLoader.e 1
D:\Qoobox\Quarantine\D\WINDOWS\system32\agyalhif.dll.vir Infected: Packed.Win32.PolyCrypt.d 1
D:\Qoobox\Quarantine\D\WINDOWS\system32\ayiapeev.dll.vir Infected: Packed.Win32.PolyCrypt.d 1
D:\Qoobox\Quarantine\D\WINDOWS\system32\drivers\TDSSrfdt.sys.vir Infected: Backdoor.Win32.TDSS.bkw 1
D:\Qoobox\Quarantine\D\WINDOWS\system32\TDSSckvg.dll.vir Infected: Backdoor.Win32.TDSS.atb 1
D:\Qoobox\Quarantine\D\WINDOWS\system32\TDSSedwv.dll.vir Infected: Backdoor.Win32.TDSS.blh 1
D:\Qoobox\Quarantine\D\WINDOWS\system32\TDSSeuaq.dll.vir Infected: Trojan.Win32.Agent.arvz 1
D:\Qoobox\Quarantine\D\WINDOWS\system32\TDSSurgi.dll.vir Infected: Backdoor.Win32.TDSS.asz 1

The selected area was scanned.

Répondre à Touckie
Sham_Rock   17-12-2008 à 20:53:14
- 0 +

bonsoir


Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.

http://i189.photobucket.com/albums/z176/EPL47/CF_Cleanup.png

d'autres soucis?

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   17-12-2008 à 21:39:29
- 0 +

Bonsoir

Depuis ce problème de virus, lorsque j'ouvre internet explorer, je n'arrive plus à afficher les images. Je me retrouve avec le cadre de la photo avec le nom à l'intérieur mais aucune image.

Comment faire pour retrouver mon internet comme auparavant.

A part ça, l'ordinateur a l'air de fonctionner un peu plus vite que ces derniers jours. Merci beaucoup pour votre aide.

Touckie

Répondre à Touckie
Sham_Rock   18-12-2008 à 21:52:33
- 0 +

bonsoir
Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   18-12-2008 à 22:13:59
- 0 +

Bonsoir,

Voici le log

Logfile of HijackThis v1.99.1
Scan saved at 16:13:38, on 18/12/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\D-Link\Wireless G WUA-1340\AirGCFG.exe
D:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
D:\Program Files\Netscape\Netscape\Netscp.exe
D:\Documents and Settings\mumu\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
N3 - Netscape 7: user_pref("browser.search.defaultengine", "http://www.google.com/" ); (D:\Documents and Settings\mumu\Application Data\Mozilla\Profiles\default\3o373f8m.slt\prefs.js)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [D-Link Wireless G WUA-1340] D:\Program Files\D-Link\Wireless G WUA-1340\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] D:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - D:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Program Files\Java\jre6\bin\jqs.exe" -service -config "D:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

Répondre à Touckie
Sham_Rock   18-12-2008 à 22:40:46
- 0 +

re
mets à jours windows.
règle n°1: Sécuriser son PC

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Touckie   21-12-2008 à 20:20:06
- 0 +

Bonsoir,

J'ai remis à jour Windows puis j'ai remis toutes les options par défaut dans internet explorer et tout semble marcher correctement.

Merci beaucoup pour votre aide et chapeau bas car pour moi tous ces codes, ça reste un mystère.

Bonne continuation,

Touckie

Répondre à Touckie
Sham_Rock   21-12-2008 à 21:03:41
- 0 +

re
Supprime tous les programmes installés pour la désinfection.


Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.

http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif

Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

:hello:

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Pb virus - aidez moi svp
Aller à :

Il y a 2829 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,652 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens