| | Mon PC est infecté! | |
| | |
Auteur | Message |
---|
Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Mon PC est infecté! Sam 22 Nov - 14:25:01 | |
| Bonjour,
C'est la 1ere fois que je participe à un quelconque forum mais là j'ai sérieusement besoin d'aide svp.
Si je fais un faux pas dans la façon de le faire, soyez indulgents et dites-moi comment.
Spybot et AVG m'ont tous deux averti hier que mon PC avait été infecté. J'ai eu le temps de noter qu'ils avaient détecté au moins 2 virus: Dropper.Bravix.K et Trojan Horse Agent.AHAS. C'est probablement pas tout mais c'est ce que j'ai vu. Et comme j'ai cru comprendre qu'un Dropper ça se multiplie, je commence sérieusement à décourager.
J'ai cliqué pour effacer les fichiers infectés, scanné mon PC plusieurs fois avec AVG, Spybot et Ad-Aware et re-booté, etc...Rien n'y fait.
Ça a pris le contrôle tant de Firefox, que j'uilise par défaut, que de IE et de la barre de recherche (Google et les autres). Quand j'utilise la barre de recherche, je suis dirigé vers une page qui ressemble beaucoup à une liste de liens sur Google ou Yahoo mais c'est faux. Bien que les sujets soient pertinents, je suis toujours redirigé vers d'autres sites qui veulent me vendre n'importe quoi. Quand j'utilise des mots clé comme Dropper, Kaperski, Spybot, symantec et autres reliés aux virus, ça me renvoi même sur une page vide ou bien d'erreur. Même chose quand je tente d'écrire l'adresse à la mitaine dans la barre d'adresse. C'est impossible d'accéder à un lien de téléchargement de quoi que ce soit qui soit connu et qui ait rapport avec les virus. En plus, maintenant quand je tente d'ouvrir Spybot, ça indique dans mes processus qu'il est bien là mais rien à l'écran et donc impossible de l'utiliser pour unscan complet (ça fonctionne pourtant pour la commande de scan d'un seul fichier???). J'avais réussis à télécharger Malwarebites avant que tout gèle mais il me fait la même chose que Spybot! Ad-Aware, AVG et CCCleaner fonctionnent mais ne trouvent plus rien. Et l'ordi qui se met à ralentir...Je suis littéralement pris en otage!
J'ai réussis à vous joindre en fouillant dans mes favoris de Firefox où j'avais sauvegardé un lien où Geoffrey5 aidait quelqu'un pour un problème similaire.Tous les sites sur lesquels je navique normalement et qui sont dans mes favoris sont accessibles. Et aussi ceux qui n'ont aucun rapport avec cette infection. Je sais pas pourquoi votre site a passé le filet mais me voici et j'ai besoin d'aide.
J'ai vu que vous travaillez avec Hijackthis et d'autres programmes. À moins que vous ayez une solution (je suis loin d'être un expert, je ne peux plus télécharger ces programmes. Mais j'avais sur un disque certains programmes dont je m'étais servi il y a un an quand je courrais après autre chose sur mon ordi. J'ai donc accès à Hijackthis mais dans sa version 2.0.0 (Beta). Il me faisait la même chose que Spybot et Malwarebites au début mais j'ai renommé le .exe et ça fonctionne maintenant. Je joins le rapport. J'espère que ça sera quand même utile.
J'ai aussi des choses qui fonctionnent, mais qui datent également d'au moins un an, comme VundoFix 6.5.0.1, Kaperski 6.0 (mais ça me demande de désinstaller AVG alors j'ai pas osé), Smithfraudfix v2.376 (que j'ai aussi du renommer pour le faire fonctionner). J'ai rien effacé avec ces programmes, seulement avec Spybot, Ad-Aware et AVG.
Alors, voilà le rapport HJT et j'attends des nouvelles:
Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 06:22:49, on 2008-11-22 Platform: Windows XP SP3 (WinNT 5.01.2600) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\FinePixViewerS\QuickDCF2.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Marco\Bureau\hjt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Exif Launcher S.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
-- End of file - 7732 bytes
Dernière édition par Marco2404 le Dim 23 Nov - 23:50:57, édité 1 fois | |
| | | Invité Invité
| Sujet: Re: Mon PC est infecté! Sam 22 Nov - 14:44:20 | |
| Salut, bienvenue sur le forum. Fait ceci car tu as pas la bonne version d'hijackthis. ===================POUR LES UTILISATEURS DE VISTA========================= =>< Désactive le « contrôle des comptes utilisateurs = UAC » (tu le réactiveras après ta désinfection): Ne pas oublier !! Désactiver l'UAC est nécessaire pour pouvoir faire fonctionner certains programmes sous Vista. - Vas dans Démarrer puis panneau de configuration - Double Clique sur l'icône "Comptes d'utilisateurs - Clique ensuite sur désactiver et valide =><><Désactiver la restauration système sous vista Peut tu téléchargé hijackthis enregistre la cible sous .... le bureau Fais un double-clic sur HJTInstall.exe afin de lancer l'installation Clique sur Install ensuite sur I AcceptClique sur Do a scan system and save log file Le bloc-notes s'ouvrira, fais un copier-coller* de tout son contenu ici dans ta prochaine réponse ==>un tuto pour t'aider au cas où tutorial[*]NB:Comment faire un copier-coller:=>appuie sur ctrlA simultanément ensuite sur ctrlc puis sur le foum ctrlvNote : - Avant tout emploi de logiciel, s’assurer que les protections de registres tel que le Tea Timer de spybot sont désactivées (notamment lors de l’emploi d’HijackThis)
- Spybot =>mode avancé=> outils => résident
- Décocher la case résident "tea timer"
- Refermer Spybot.
@+ |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Sam 22 Nov - 14:56:04 | |
| Bonjour Goldorak. Merci de me répondre.
Comme j'expliquais, ça semble impossible pour moi de télécharger quoi que ce soit d'utile. J'ai cliqué sur ton lien pour télécharger HJT et ce qui m'apparait c'est ça,comme pour le reste:
La connexion a échoué
Firefox ne peut établir de connexion avec le serveur à l'adresse www.trendsecure.com.
Bien que le site semble valide, le navigateur n'a pas pu établir de connexion.
* Le site est peut-être temporairement indisponible ? Réessayez plus tard. * D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur. * Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web. * Vous avez toujours des problèmes ? Consultez votre administrateur réseau ou votre fournisseur d'accès à Internet pour obtenir de l'aide.
Pourtant, aucun problème à accéder au tutoriel!
Par ailleurs, je suis sous XP Pro et non Vista, si ça fait une différence. | |
| | | Invité Invité
| Sujet: Re: Mon PC est infecté! Sam 22 Nov - 15:00:34 | |
| Re,
BOn pas grave:
Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
/!\ Déconnectes toi et fermes toutes applications en cours
● Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files ) ● Double clique sur l'icône Ad-removersituée sur ton bureau ● Au menu principal choisi l'option "A" ● Postes le rapport qui apparait à la fin .
( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Sam 22 Nov - 15:46:49 | |
| Pourquoi j'ai réussis à accéder à ce lien quand c'est impossible pour tout le reste? J'en ai aucune idée mais ça a fonctionné.
J'ai demandé à un ami de télécharger HJT et de me l'envoyer par mail. Je pourrais tenter la même chose si je suis incapable de télécharger d'autres logiciels utiles. Toutefois, ici il est 07h40 et je ne crois pas que ça sera possible avant quelques heures. Si tu envisages utiliser d'autres logiciels, peut-être serait-ce utile que j'ai tout de suite les liens pour savoir si je peux y accéder moi-même ou bien que je tente de les obtenir de la même manière.
Enfin, ça n'est qu'une suggestion. C'est à toi de voir.
Voici le rapport Ad-Remover:
F --------- Logfile of AD-Remover 1.0.3.7 by C_XX ---------
START at: 7:35:19 | 2008-11-22 ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP ) Internet Explorer: 7.0.5730.11 OPTION: Scan EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat USER: Marco | PC: XPPRO-SP2 BOOT MODE: Normal DRIVE(S): A:\ ~> Systemdrive: C:\ --------- [ PROCESSES ] ---------
\SystemRoot\System32\smss.exe [612] \??\C:\WINDOWS\system32\csrss.exe [688] \??\C:\WINDOWS\system32\winlogon.exe [720] C:\WINDOWS\system32\services.exe [768] C:\WINDOWS\system32\lsass.exe [780] C:\WINDOWS\system32\Ati2evxx.exe [952] C:\WINDOWS\system32\svchost.exe [984] C:\WINDOWS\system32\svchost.exe [1068] C:\WINDOWS\System32\svchost.exe [1116] C:\WINDOWS\system32\svchost.exe [1208] C:\WINDOWS\system32\svchost.exe [1240] C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [1272] C:\WINDOWS\system32\Ati2evxx.exe [1332] C:\WINDOWS\system32\spoolsv.exe [1488] C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe [1604] C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe [1632] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe [1680] C:\WINDOWS\system32\HPZipm12.exe [1776] C:\WINDOWS\system32\svchost.exe [1824] C:\WINDOWS\System32\alg.exe [228] C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe [2240] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe [2260] C:\WINDOWS\RTHDCPL.EXE [2284] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2304] C:\WINDOWS\system32\ctfmon.exe [2312] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe [2332] C:\Program Files\DAEMON Tools Lite\daemon.exe [2360] C:\Program Files\FinePixViewerS\QuickDCF2.exe [2400] C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2416] C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe [2772] C:\WINDOWS\explorer.exe [2888]
---------------------------- [~> 31]
+---------------------------------------------------------------------------+ +------------------------------- SERVICES FOUND +---------------------------------------------------------------------------+
Found ! - "Boonty Games"
+---------------------------------------------------------------------------+ +------------------------------- REGISTRY ELEMENTS FOUND +---------------------------------------------------------------------------+
"HKEY_LOCAL_MACHINE\Software\Boonty" "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Boonty Games" "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Boonty Games" "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Boonty Games"
+---------------------------------------------------------------------------+ +------------------------------- FILES\FOLDERS FOUND +---------------------------------------------------------------------------+
[2008-11-18 18:34|d--------] C:\Program Files\Fichiers communs\BOONTY Shared [2008-11-18 18:34|d--------] C:\Documents and Settings\All Users\Application Data\BOONTY +---------- Scanning prefs.js ... ( # Mozilla User Preferences ) ...\ncgssj6p.default\prefs.js : ~~~~ Mozilla FireFox version 3.0.4 ~~~~ Start Page : "http://www.cyberpresse.ca/" +----------+ +---------------------------------------------------------------------------+
+---------- Added scan ...
+-----[HKLM\...\Run] NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup nwiz REG_SZ nwiz.exe /install NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit RemoteControl REG_SZ "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe AVG7_CC REG_SZ C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP RTHDCPL REG_SZ RTHDCPL.EXE Alcmtr REG_SZ ALCMTR.EXE HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
+-----[HKCU\...\Run]
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe WeatherEye REG_SZ C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
+-----[HKLM\...\Internet Explorer\MAIN]
Start Page : hxxp://go.microsoft.com/fwlink/?LinkId=69157
+-----[HKCU\...\Internet Explorer\MAIN]
Start Page : hxxp://go.microsoft.com/fwlink/?LinkId=69157
+---------------------------------------------------------------------------+ +------------------------------- [ EOF - 96 lines ] +---------------------------------------------------------------------------+
[ END at: 7:37:21 | 2008-11-22 ] - [ Time elapsed: 2 minutes, 1 seconds ] | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Sam 22 Nov - 23:59:00 | |
| Bon, j'ai réussis à obtenir HJT à jour par l'ami dont je te parlais.
Je n'ai plus aucune nouvelle depuis des heures. Que dois-je faire maintenant? S Goldorak ne peux continuer à m'aider,est-ce quelqu'un d'autre peuet prendre la suite svp?
Voici le repport:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:56:47, on 2008-11-22 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\PROGRA~1\Grisoft\AVG7\avgcc.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\FinePixViewerS\QuickDCF2.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HJT\HijackThis.exe C:\Program Files\Mozilla Firefox\firefox.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Exif Launcher S.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
-- End of file - 6224 bytes | |
| | | geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 1:46:37 | |
| Bonsoir Marco ! Déconnectes toi et fermes toutes applications en cours !
- Relances "Ad-remover" : au menu principal choisi l'option "B" .
- Coche à l'écran de sélection :
Suppression Boonty/BoontyGames
- Puis choisi "S" , le programme va travailler,
- Postes le rapport qui apparait à la fin.
( le rapport est sauvegardé aussi sous C:\Ad-report(date).log ) ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) Je vois que tu as déjà Malwarebytes... As-tu déjà fais une analyse ?? Si oui, poste moi un rapport de suppression de fichiers stp | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 2:10:43 | |
| Merci Geoffrey.
Je fais ce que tu dis et je t'envoie le rapport le rapport.
Pour ce qui est de Malwarebytes, je te réfère à mon premier post. Je l'ai, oui, mais quand je clique dessus il s'ouvre (je peux le savoir en le repérant dans mes processus actifs) mais aucune image à l'écran. Comme si cette chose savait et m'empêche de l'utiliser (tout comme avec Spybot qui l'avait repéré en premier). J'ai eu beau renommer le fichier .exe (comme je l'ai fait pour d'autre programmes où ça a fini par fonctionner (HJT par exemple) mais rien n'y fait. Même chose que pour quand j'essaye d'utiliser un lien, la barre d'adresse ou bien Google. Je suis bloqué et je ne peux pas accéder ni télécharger. J'ai pu avoir HJT seulement en demandant à quelqu'un de le télécharger à ma place et de me le faire parvenir par courriel. Malwarebytes, j'avais réussis à le télécharger avant que cette chose ne prenne plus de contrôle sur ma connection internet. Mais je suis incapable de m'en servir! | |
| | | geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 2:16:05 | |
| ok... Fais la suppression avec AD-remover et ensuite fais ceci stp :
- Télécharge et enregistre Combofix (de sUBs) sur ton bureau
(c est le numéro 5 en bas de la page) :
- désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix ensuite envois le rapport stp | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 2:26:26 | |
| J'ai fait comme tu as dit et j'ai supprimé que Boonty/BoontyGames.
Mais il y avait aussi autre choses que Ad-remover me proposait de supprimer, comme:
- Eorezo - Everest Poker -Funweb Product/MyWay/MyWebsearch -Messenger Skinner -Sweetim
Voici le rapport:
F --------- Logfile of AD-Remover 1.0.3.7 by C_XX ---------
START at: 18:16:57 | 2008-11-22 ON: Microsoft Windows XP [version 5.1.2600] ( Windows XP ) Internet Explorer: 7.0.5730.11 OPTION: Clean
*** Limited to ***
Boonty/BoontyGames
******************
EXECUTED FROM: C:\Program Files\Ad-remover\AD-Remover.bat USER: Marco | PC: XPPRO-SP2 BOOT MODE: Normal DRIVE(S): A:\ ~> Systemdrive: C:\ --------- [ PROCESSES ] ---------
\SystemRoot\System32\smss.exe [612] \??\C:\WINDOWS\system32\csrss.exe [688] \??\C:\WINDOWS\system32\winlogon.exe [720] C:\WINDOWS\system32\services.exe [768] C:\WINDOWS\system32\lsass.exe [780] C:\WINDOWS\system32\Ati2evxx.exe [952] C:\WINDOWS\system32\svchost.exe [984] C:\WINDOWS\system32\svchost.exe [1068] C:\WINDOWS\System32\svchost.exe [1116] C:\WINDOWS\system32\svchost.exe [1208] C:\WINDOWS\system32\svchost.exe [1240] C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [1272] C:\WINDOWS\system32\Ati2evxx.exe [1332] C:\WINDOWS\system32\spoolsv.exe [1488] C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe [1604] C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe [1632] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe [1680] C:\WINDOWS\system32\HPZipm12.exe [1776] C:\WINDOWS\system32\svchost.exe [1824] C:\WINDOWS\System32\alg.exe [228] C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe [2240] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe [2260] C:\WINDOWS\RTHDCPL.EXE [2284] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [2304] C:\WINDOWS\system32\ctfmon.exe [2312] C:\Program Files\DAEMON Tools Lite\daemon.exe [2360] C:\Program Files\FinePixViewerS\QuickDCF2.exe [2400] C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2416] C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe [2772] C:\WINDOWS\explorer.exe [2888] C:\WINDOWS\system32\msiexec.exe [456]
---------------------------- [~> 31]
(!) ---- IE start pages reset
+---------------------------------------------------------------------------+ +------------------------------- SERVICES DELETED +---------------------------------------------------------------------------+
Deleted successfully ! - "Boonty Games"
+---------------------------------------------------------------------------+ +------------------------------- REGISTRY ELEMENTS DELETED +---------------------------------------------------------------------------+
"HKEY_LOCAL_MACHINE\Software\Boonty" "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Boonty Games"
+---------------------------------------------------------------------------+ +------------------------------- FILES\FOLDERS DELETED +---------------------------------------------------------------------------+
[2008-11-18 18:34|d--------] C:\Program Files\Fichiers communs\BOONTY Shared [2008-11-18 18:34|d--------] C:\Documents and Settings\All Users\Application Data\BOONTY
(!) ---- Temp files deleted. (!) ---- Recycle bin emptied in all drives.
+---------- Added scan ...
+-----[HKLM\...\Run] NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup nwiz REG_SZ nwiz.exe /install NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit RemoteControl REG_SZ "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe AVG7_CC REG_SZ C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP RTHDCPL REG_SZ RTHDCPL.EXE Alcmtr REG_SZ ALCMTR.EXE HP Software Update REG_SZ C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
+-----[HKCU\...\Run]
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe WeatherEye REG_SZ C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe DAEMON Tools Lite REG_SZ "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
+-----[HKLM\...\Internet Explorer\MAIN]
Start Page : hxxp://fr.msn.com/
+-----[HKCU\...\Internet Explorer\MAIN]
Start Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
+---------------------------------------------------------------------------+ +------------------------------- [ EOF - 86 lines ] +---------------------------------------------------------------------------+
[ END at: 18:18:25 | 2008-11-22 ] - [ Time elapsed: 87.6 seconds ] | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 2:28:08 | |
| On dirait que cette chose sait très que je lui courre après et presque partout où elle doit me bloquer pour pas que j'y arrive... | |
| | | geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| | | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 2:56:02 | |
| J'ai réessayé de lancer Malwarebytes et c'est toujours la même chose. Le curseur qui flique un temps et puis plus rien...
Je vérifie dans mes processus actifs et j'y vois bien mbam.exe mais rien à l'écran...
Quant à Combofix, impossible d'utiliser soit le liende téléchargement ou même celui du tutoriel. Toujours la même fenêtre qui s'ouvre avec le message suivant:
La connexion a échoué
Firefox ne peut établir de connexion avec le serveur à l'adresse download.bleepingcomputer.com.
Bien que le site semble valide, le navigateur n'a pas pu établir de connexion.
* Le site est peut-être temporairement indisponible ? Réessayez plus tard. * D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur. * Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web. * Vous avez toujours des problèmes ? Consultez votre administrateur réseau ou votre fournisseur d'accès à Internet pour obtenir de l'aide.
J'ai demandé à mon ami de télécharger Combofix et le tutoriel et de me faire parvenir le tout par courriel. Ça avait donctionné pour HJT alors j'espère que ça sera pareil pour Combofix. Vu les circonstances, est-ce que cet ami devrait seulement m'envoyer le fichier d'installation ou biende l'ouvrir sur son propre PC, mettre à jour et m'envoyer le tout ensuite? Je suis pas certain de pouvoir faire la mise à jour moi-même le cas échéant. | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 2:57:21 | |
| Après quelques minutes, mbam.exe disparait tout seul,de lui-même, de la liste de mes processus actifs... | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 3:13:55 | |
| J'attends pour Combofix. Y a-t-il autre chose d'utile à faire entretemps?
Et si je peux pas utiliser Combofix, comme pour Malwarebytes?
Devrais-je essayer de renommer le ficher .exe comme ça avait fonctionné pour HTJ? | |
| | | geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 3:27:58 | |
| Télécharge le à partir de cette adresse et renomme le C-fix http://www.mediafire.com/?sharekey=424caed9c295f93dab1eab3e9fa335caa6e1b15c2cf8802a Désactive ton antivirus avant de le lancer.. Poste le rapport ainsi qu un nouveau rapport hijackthis. Je reviendrai demain pour continuer Bonne fin de soirée @+ | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 3:34:46 | |
| Merci Geoffrey.
Il fait quoi, par curiosité, comme température à Liège en passant?
Ici, au Québec, c'est le début de la froidure...On en a pour 6 mois au moins et le pire est encore à venir... | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 5:05:43 | |
| Salut Geoffrey,
J'ai réussis, en demandant à des amis de télécharger pour moi et de m'envoyer ensuite via courriel, à obtenir tout ce qu'il me faut pour utiliser ComboFix et t'envoyer ensuite le rapport.
À demain. | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 9:10:58 | |
| J'ai tenté de t'envoyer le tout mais on me dit que c'est trop volumineux.
La 1ère fois j'ai posté les 2 rapports et on m'a dit que ça dépasse la limite. La 2e fois j'ai envoyé que la moitié de ComboFix seulement et ça a fait la même chose. Est-ce normal?
Ça sera donc en plusieurs morceaux.
Voici la première partie de ComboFix:
ComboFix 08-11-22.02 - Marco 2008-11-23 0:49:51.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1630 [GMT -5:00] Commutateurs utilisés :: c:\documents and settings\Marco\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe .
(((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) .
c:\windows\system32\TDSSoeqh.dll
. ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) .
-------\Service_TDSSSERV.SYS -------\Legacy_TDSSSERV.SYS
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-23 au 2008-11-23 )))))))))))))))))))))))))))))))))))) .
2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-22 18:21 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-22 18:21 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-22 15:52 . 2008-11-22 15:52 <REP> d-------- c:\program files\Trend Micro 2008-11-22 08:27 . 2008-11-22 08:27 <REP> d-------- c:\documents and settings\Marco\Application Data\Malwarebytes 2008-11-22 07:34 . 2008-11-22 18:18 <REP> d-------- c:\program files\Ad-remover 2008-11-22 04:41 . 2008-11-22 08:34 <REP> d-------- c:\program files\MWB 2008-11-22 04:22 . 2007-09-05 22:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-11-22 04:22 . 2008-10-01 13:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-11-22 04:22 . 2008-05-18 19:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-11-22 04:22 . 2008-08-18 10:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-11-22 04:22 . 2007-10-03 22:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-11-22 04:22 . 2008-11-22 06:45 2,132 --a------ c:\windows\system32\tmp.reg 2008-11-22 04:14 . 2006-04-27 17:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-11-22 04:14 . 2004-07-31 18:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-11-22 02:13 . 2008-11-22 02:17 <REP> d-------- c:\program files\RegCleaner 2008-11-22 02:09 . 2008-11-22 02:09 <REP> d-------- C:\VundoFix Backups 2008-11-22 02:08 . 2008-11-22 16:49 <REP> d-------- c:\program files\Navilog1 2008-11-21 21:34 . 2008-11-21 23:23 <REP> dr-h----- C:\$VAULT$.AVG 2008-11-21 21:34 . 2008-11-21 22:17 73,728 --a------ c:\windows\system32\TDSScfub.dll 2008-11-21 21:34 . 2008-11-21 22:17 60,416 --a------ c:\windows\system32\drivers\TDSSpaxt.sys 2008-11-21 21:34 . 2008-11-21 22:17 31,232 --a------ c:\windows\system32\TDSSriqp.dll 2008-11-21 21:34 . 2008-11-21 22:17 29,696 --a------ c:\windows\system32\TDSSnrsr.dll 2008-11-21 21:34 . 2008-11-22 03:05 2,351 --a------ c:\windows\system32\TDSSfpmp.dll 2008-11-21 21:34 . 2008-11-21 22:17 527 --a------ c:\windows\system32\TDSSosvd.dat 2008-11-21 21:25 . 2008-11-21 21:25 73,728 --a------ c:\windows\system32\TDSSxfum.dll 2008-11-21 21:25 . 2008-11-21 21:25 60,416 --a------ c:\windows\system32\drivers\TDSSpqlt.sys 2008-11-21 21:25 . 2008-11-21 21:25 35,840 --a------ c:\windows\system32\TDSSoiqt.dll 2008-11-21 21:25 . 2008-11-21 21:25 29,696 --a------ c:\windows\system32\TDSShrxr.dll 2008-11-21 21:25 . 2008-11-21 21:25 2,351 --a------ c:\windows\system32\TDSSlxwp.dll 2008-11-21 21:25 . 2008-11-21 21:25 527 --a------ c:\windows\system32\TDSSlrvd.dat 2008-11-21 13:18 . 2008-04-13 19:33 159,232 --a------ c:\windows\system32\ptpusd.dll 2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys 2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys 2008-11-21 13:18 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll 2008-11-20 01:25 . 2008-11-20 01:25 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2008-11-20 00:12 . 2008-11-20 00:12 <REP> d-------- c:\program files\7-Zip 2008-11-19 23:48 . 2008-11-19 23:52 <REP> d-------- c:\documents and settings\All Users\Application Data\NCH Swift Sound 2008-11-19 22:23 . 2008-11-21 22:15 <REP> d-------- c:\program files\NCH Swift Sound 2008-11-19 21:39 . 2008-11-22 00:51 69 --a------ c:\windows\NeroDigital.ini 2008-11-18 19:43 . 2008-11-18 19:43 <REP> d-------- c:\program files\DAEMON Tools Lite 2008-11-18 19:41 . 2008-11-18 19:41 <REP> d-------- c:\documents and settings\Marco\Application Data\DAEMON Tools 2008-11-18 19:41 . 2008-11-18 19:41 717,296 --a------ c:\windows\system32\drivers\sptd.sys 2008-11-17 18:38 . 2008-11-17 18:38 <REP> d-------- c:\documents and settings\Marco\Application Data\Participatory Culture Foundation 2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- c:\program files\Participatory Culture Foundation 2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- C:\OpenCandy 2008-11-17 16:01 . 2008-11-17 16:01 271,360 --a------ c:\windows\system32\drivers\atksgt.sys 2008-11-17 16:01 . 2008-11-17 16:01 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys 2008-11-16 21:21 . 2008-11-18 20:00 <REP> d-------- c:\program files\Nobilis 2008-11-14 01:33 . 2008-11-14 01:33 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant 2008-11-13 00:15 . 2008-11-13 00:15 <REP> d-------- c:\documents and settings\Marco\Application Data\Leadertech 2008-11-12 22:32 . 2008-11-12 22:32 <REP> d-------- c:\program files\UbiSoft 2008-11-12 22:30 . 2008-11-12 22:30 0 --a------ c:\windows\PowerReg.dat 2008-11-12 22:26 . 2008-11-19 18:51 <REP> d-------- c:\program files\NovaLogic 2008-11-12 22:22 . 2008-11-12 22:22 <REP> d-------- c:\documents and settings\Marco\WINDOWS 2008-11-12 20:09 . 2008-11-12 20:09 <REP> d-------- c:\program files\MSXML 4.0 2008-11-12 20:08 . 2008-11-12 20:08 <REP> d-------- c:\windows\system32\color 2008-11-12 20:07 . 2008-11-12 20:07 <REP> d-------- c:\windows\system\color 2008-11-12 20:07 . 2000-06-29 09:00 36,864 --a------ c:\windows\system32\agusbsti.dll 2008-11-12 20:07 . 2001-03-08 15:22 32,768 --a------ c:\windows\system32\snape20.bin 2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Fichiers communs\Agfa 2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Agfa 2008-11-12 20:06 . 2001-09-06 15:55 90,112 --a------ c:\windows\system32\adomps.dll 2008-11-12 20:05 . 1998-11-13 13:16 308,224 --a------ c:\windows\IsUn040c.exe 2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\program files\FinePixViewerS 2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\documents and settings\Marco\Application Data\InstallShield 2008-11-12 16:34 . 2008-11-21 13:19 <REP> d-------- c:\documents and settings\Marco\Application Data\FUJIFILM 2008-11-12 16:32 . 2008-11-12 16:32 <REP> d-------- c:\documents and settings\All Users\Application Data\HP 2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\program files\Fichiers communs\Sonic Shared 2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Sonic 2008-11-12 16:29 . 2008-11-12 16:29 <REP> d-------- c:\program files\Hewlett-Packard 2008-11-12 16:29 . 2008-11-12 16:30 <REP> d-------- c:\program files\Fichiers communs\HP 2008-11-12 16:04 . 2006-04-05 04:17 77,824 -ra------ c:\windows\system32\HPZIDS01.dll 2008-11-12 16:04 . 2006-03-29 07:20 49,664 -ra------ c:\windows\system32\drivers\HPZid412.sys 2008-11-12 16:04 . 2006-03-22 21:10 38,400 --a------ c:\windows\system32\hpz3l463.dll 2008-11-12 16:04 . 2006-03-29 07:20 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys 2008-11-12 16:01 . 1998-10-29 16:45 306,688 --a------ c:\windows\IsUninst.exe 2008-11-12 16:01 . 2005-03-15 01:33 278,584 --a------ c:\windows\system32\HPZidr12.dll 2008-11-12 16:01 . 2005-03-15 01:35 204,800 --a------ c:\windows\system32\HPZipr12.dll 2008-11-12 16:01 . 2005-03-09 01:25 94,208 --a------ c:\windows\system32\HPZipt12.dll 2008-11-12 16:01 . 2007-08-09 02:27 73,728 --a------ c:\windows\system32\HPZipm12.exe 2008-11-12 16:01 . 2005-03-15 03:09 65,536 --a------ c:\windows\system32\HPZinw12.exe 2008-11-12 16:01 . 2005-03-09 01:25 57,344 --a------ c:\windows\system32\HPZisn12.dll 2008-11-12 16:00 . 2008-11-14 01:33 <REP> d-------- c:\program files\HP 2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys 2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys 2008-11-12 15:59 . 2008-11-12 16:32 135,520 --a------ c:\windows\HPHins11.dat 2008-11-12 15:59 . 2006-04-25 04:41 13,767 --------- c:\windows\hphmdl11.dat 2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys 2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys 2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\program files\Snapshot Viewer 2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\documents and settings\All Users\Application Data\SBT 2008-11-12 15:16 . 2008-11-13 19:39 379 --a------ c:\windows\ODBC.INI 2008-11-12 15:14 . 2008-11-12 15:14 <REP> d-------- c:\windows\ShellNew 2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\windows\Twain32 2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\documents and settings\Marco\Application Data\Microsoft Web Folders 2008-11-12 15:00 . 2008-11-12 15:00 <REP> d-------- c:\program files\MétéoMédia 2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage réseau 2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage d'impression 2008-11-12 14:53 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Marco\Modèles 2008-11-12 14:53 . 2008-11-20 00:19 <REP> dr------- c:\documents and settings\Marco\Mes documents 2008-11-12 14:53 . 2008-11-12 15:37 <REP> dr------- c:\documents and settings\Marco\Menu Démarrer 2008-11-12 14:53 . 2008-11-19 23:52 <REP> dr------- c:\documents and settings\Marco\Favoris 2008-11-12 14:53 . 2008-11-22 20:45 <REP> d-------- c:\documents and settings\Marco\Bureau 2008-11-12 14:53 . 2008-11-21 21:27 <REP> d-------- c:\documents and settings\Marco\Application Data\AVG7 2008-11-12 14:53 . 2008-11-21 22:14 <REP> d-------- c:\documents and settings\Marco 2008-11-12 14:53 . 2008-11-12 14:53 <REP> d-------- c:\documents and settings\Camille\Application Data\AVG7 2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage réseau 2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage d'impression 2008-11-12 14:52 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Camille\Modèles 2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Mes documents 2008-11-12 14:52 . 2007-08-22 18:50 <REP> dr------- c:\documents and settings\Camille\Menu Démarrer 2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Favoris 2008-11-12 14:52 . 2008-11-12 15:30 <REP> d-------- c:\documents and settings\Camille\Bureau 2008-11-12 14:52 . 2008-11-12 14:52 <REP> d-------- c:\documents and settings\Camille 2008-11-12 14:47 . 2008-11-12 14:47 0 --a------ c:\windows\nsreg.dat 2008-11-12 10:27 . 2008-11-12 10:27 0 --a------ c:\windows\ativpsrm.bin 2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- c:\program files\ATI Technologies 2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- C:\ATI 2008-11-12 09:56 . 2008-09-23 21:05 593,920 --------- c:\windows\system32\ati2sgag.exe 2008-11-12 09:52 . 2008-11-12 09:52 <REP> d-------- c:\windows\ServicePackFiles 2008-11-12 09:51 . 2006-12-28 12:01 19,569 --a------ c:\windows\003183_.tmp | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 9:11:42 | |
| 2e partie de ComboFix:
. (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-22 13:00 --------- d-----w c:\documents and settings\All Users\Application Data\avg7 2008-11-22 09:44 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-11-22 07:52 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-22 05:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\AVG7 2008-11-20 06:26 --------- d-----w c:\program files\Lavasoft 2008-11-20 06:25 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft 2008-11-18 00:39 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-12 20:37 --------- d-----w c:\program files\microsoft frontpage 2008-11-12 14:27 --------- d-----w c:\program files\Realtek 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-09-30 21:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-09-24 03:09 3,331,072 ----a-w c:\windows\system32\drivers\ati2mtag.sys 2008-09-24 02:18 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll 2008-09-24 02:17 311,296 ----a-w c:\windows\system32\ati2dvag.dll 2008-09-24 02:09 10,772,480 ----a-w c:\windows\system32\atioglxx.dll 2008-09-24 02:07 188,416 ----a-w c:\windows\system32\atipdlxx.dll 2008-09-24 02:06 43,520 ----a-w c:\windows\system32\ati2edxx.dll 2008-09-24 02:06 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe 2008-09-24 02:06 143,360 ----a-w c:\windows\system32\Oemdspif.dll 2008-09-24 02:06 143,360 ----a-w c:\windows\system32\ati2evxx.dll 2008-09-24 02:04 581,632 ----a-w c:\windows\system32\ati2evxx.exe 2008-09-24 02:03 53,248 ----a-w c:\windows\system32\ATIDDC.DLL 2008-09-24 01:56 307,200 ----a-w c:\windows\system32\atiiiexx.dll 2008-09-24 01:54 4,008,864 ----a-w c:\windows\system32\ati3duag.dll 2008-09-24 01:38 2,399,744 ----a-w c:\windows\system32\ativvaxx.dll 2008-09-24 01:24 48,640 ----a-w c:\windows\system32\amdpcom32.dll 2008-09-24 01:20 380,928 ----a-w c:\windows\system32\atikvmag.dll 2008-09-24 01:19 39,424 ----a-w c:\windows\system32\atiadlxx.dll 2008-09-24 01:18 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll 2008-09-24 01:18 253,952 ----a-w c:\windows\system32\atiok3x2.dll 2008-09-24 01:18 17,408 ----a-w c:\windows\system32\atitvo32.dll 2008-09-24 01:12 573,440 ----a-w c:\windows\system32\ati2cqag.dll 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll 2005-04-01 02:17 40,960 ----a-w c:\program files\Uninstall_CDS.exe 2001-03-28 17:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe .
((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360] "WeatherEye"="c:\program files\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2008-09-04 4501912] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016] "RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-11-12 590848] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] "AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-04-11 219136]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728] Exif Launcher S.lnk - c:\program files\FinePixViewerS\QuickDCF2.exe [2008-11-12 303104] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472] Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Participatory Culture Foundation\\Miro\\xulrunner\\python\\Miro_Downloader.exe"= "c:\\Program Files\\NovaLogic\\Delta Force Xtreme\\dfx.exe"= "c:\\Documents and Settings\\Marco\\Mes documents\\Joint Operations Typhoon Rising\\Jointops.exe"= "c:\\Documents and Settings\\Marco\\Bureau\\SMFF.exe"=
R0 nvgts;nvgts;c:\windows\system32\DRIVERS\nvgts.sys [2008-11-12 132096]
*Newly Created Service* - CATCHME *Newly Created Service* - PROCEXP90 . . ------- Examen supplémentaire ------- . FireFox -: Profile - c:\documents and settings\Marco\Application Data\Mozilla\Firefox\Profiles\ncgssj6p.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.cyberpresse.ca/ .
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-23 00:51:17 Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv.sys] "imagepath"="\systemroot\system32\drivers\TDSSpaxt.sys" . --------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(740) c:\windows\system32\Ati2evxx.dll c:\windows\system32\WgaLogon.dll . Heure de fin: 2008-11-23 0:51:49 ComboFix-quarantined-files.txt 2008-11-23 05:51:40
Avant-CF: 136,356,114,432 octets libres Après-CF: 136,500,785,152 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /usepmtimer
267 --- E O F --- 2008-11-14 06:39:17 | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 9:12:21 | |
| Et, finalement, HJT:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:55:23, on 2008-11-23 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HJT\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Exif Launcher S.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
-- End of file - 5058 bytes | |
| | | Invité Invité
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 9:36:44 | |
| Salut, Toujours avec toutes les protections désactivées, fais ceci : Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- Driver:: -------\Service_TDSSSERV.SYS -------\Legacy_TDSSSERV.SYS ------------------------------------------------------------------ - Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt - Quitte le Bloc Notes · Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme =>> : * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt Aussitôt après, sans redémarrer ton ordinateur, fais ceci : Télécharge et installe Malwarebytes' Anti-Malware |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 10:53:51 | |
| Salut Goldorak,
J'ai déjà Malwarebytes. Je l'ai utilisé avec Geoffrey.
Dis-moi quoi faire avec.
Je fais aussi ce qui précède et je te reviens. | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 11:13:42 | |
| Ce n'est pas Malwarebytes que j'ai utilisé avec Geoffrey mais ComboFix.
Désolé.
Oui, j'ai Malwarebytes.
Avant la cure de ComboFix, je le voyais s'ouvrir dans mes processus actifs mais rien à l'écran. Comme pour Spybot.
Depuis le dernier scan de ComboFix, mon pc se porte déjà beaucoup mieux. La vitesse de l'ordi et de la connexion internet se sont améliorés. En fait, presque normal.
Après avoir lancé ComboFix et m'être aperçu que je reprenais le dessus, j'ai lancé SpyBot (qui fonctionne normalement maintenant, comme Malwarebytes), Ad-Aware et Avg. J'ai capturé des choses qui s'appellent, tous des Trojan horse:
Agent.AHAH AGENT.AKYE BackDoor.Generic10.XPT BHO.GGA
Je les ai en quarantaine dans AVG. Je fais quoi avec? Je les zappe définitivement? J'ai plus de détails sur ces choses si c'est utile.
Je reviens avec combofix. | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 11:21:05 | |
| Voici la 1ère partie du rapport Combofix:
ComboFix 08-11-22.02 - Marco 2008-11-23 3:16:14.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.1575 [GMT -5:00] Lancé depuis: c:\documents and settings\Marco\Bureau\C-fix.exe Commutateurs utilisés :: c:\documents and settings\Marco\Bureau\CFScript.txt * Un nouveau point de restauration a été créé .
((((((((((((((((((((((((((((( Fichiers créés du 2008-10-23 au 2008-11-23 )))))))))))))))))))))))))))))))))))) .
2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-11-22 18:21 . 2008-11-22 18:21 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-22 18:21 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-22 18:21 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-22 15:52 . 2008-11-22 15:52 <REP> d-------- c:\program files\Trend Micro 2008-11-22 08:27 . 2008-11-22 08:27 <REP> d-------- c:\documents and settings\Marco\Application Data\Malwarebytes 2008-11-22 07:34 . 2008-11-22 18:18 <REP> d-------- c:\program files\Ad-remover 2008-11-22 04:41 . 2008-11-22 08:34 <REP> d-------- c:\program files\MWB 2008-11-22 04:22 . 2007-09-05 22:22 289,144 --a------ c:\windows\system32\VCCLSID.exe 2008-11-22 04:22 . 2008-10-01 13:51 87,552 --a------ c:\windows\system32\VACFix.exe 2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\o4Patch.exe 2008-11-22 04:22 . 2008-05-18 19:40 82,944 --a------ c:\windows\system32\IEDFix.exe 2008-11-22 04:22 . 2008-10-10 06:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe 2008-11-22 04:22 . 2008-08-18 10:19 82,432 --a------ c:\windows\system32\404Fix.exe 2008-11-22 04:22 . 2007-10-03 22:36 25,600 --a------ c:\windows\system32\WS2Fix.exe 2008-11-22 04:22 . 2008-11-22 06:45 2,132 --a------ c:\windows\system32\tmp.reg 2008-11-22 04:14 . 2006-04-27 17:49 288,417 --a------ c:\windows\system32\SrchSTS.exe 2008-11-22 04:14 . 2004-07-31 18:50 51,200 --a------ c:\windows\system32\dumphive.exe 2008-11-22 02:13 . 2008-11-22 02:17 <REP> d-------- c:\program files\RegCleaner 2008-11-22 02:09 . 2008-11-22 02:09 <REP> d-------- C:\VundoFix Backups 2008-11-22 02:08 . 2008-11-22 16:49 <REP> d-------- c:\program files\Navilog1 2008-11-21 21:34 . 2008-11-23 02:06 <REP> dr-h----- C:\$VAULT$.AVG 2008-11-21 21:34 . 2008-11-21 22:17 73,728 --a------ c:\windows\system32\TDSScfub.dll 2008-11-21 21:34 . 2008-11-22 03:05 2,351 --a------ c:\windows\system32\TDSSfpmp.dll 2008-11-21 21:34 . 2008-11-21 22:17 527 --a------ c:\windows\system32\TDSSosvd.dat 2008-11-21 21:25 . 2008-11-21 21:25 73,728 --a------ c:\windows\system32\TDSSxfum.dll 2008-11-21 21:25 . 2008-11-21 21:25 2,351 --a------ c:\windows\system32\TDSSlxwp.dll 2008-11-21 21:25 . 2008-11-21 21:25 527 --a------ c:\windows\system32\TDSSlrvd.dat 2008-11-21 13:18 . 2008-04-13 19:33 159,232 --a------ c:\windows\system32\ptpusd.dll 2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys 2008-11-21 13:18 . 2008-04-13 11:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys 2008-11-21 13:18 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll 2008-11-20 01:25 . 2008-11-20 01:25 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2008-11-20 00:12 . 2008-11-20 00:12 <REP> d-------- c:\program files\7-Zip 2008-11-19 23:48 . 2008-11-19 23:52 <REP> d-------- c:\documents and settings\All Users\Application Data\NCH Swift Sound 2008-11-19 22:23 . 2008-11-21 22:15 <REP> d-------- c:\program files\NCH Swift Sound 2008-11-19 21:39 . 2008-11-22 00:51 69 --a------ c:\windows\NeroDigital.ini 2008-11-18 19:43 . 2008-11-18 19:43 <REP> d-------- c:\program files\DAEMON Tools Lite 2008-11-18 19:41 . 2008-11-18 19:41 <REP> d-------- c:\documents and settings\Marco\Application Data\DAEMON Tools 2008-11-18 19:41 . 2008-11-18 19:41 717,296 --a------ c:\windows\system32\drivers\sptd.sys 2008-11-17 18:38 . 2008-11-17 18:38 <REP> d-------- c:\documents and settings\Marco\Application Data\Participatory Culture Foundation 2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- c:\program files\Participatory Culture Foundation 2008-11-17 18:12 . 2008-11-17 18:12 <REP> d-------- C:\OpenCandy 2008-11-17 16:01 . 2008-11-17 16:01 271,360 --a------ c:\windows\system32\drivers\atksgt.sys 2008-11-17 16:01 . 2008-11-17 16:01 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys 2008-11-16 21:21 . 2008-11-18 20:00 <REP> d-------- c:\program files\Nobilis 2008-11-14 01:33 . 2008-11-14 01:33 <REP> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant 2008-11-13 00:15 . 2008-11-13 00:15 <REP> d-------- c:\documents and settings\Marco\Application Data\Leadertech 2008-11-12 22:32 . 2008-11-12 22:32 <REP> d-------- c:\program files\UbiSoft 2008-11-12 22:30 . 2008-11-12 22:30 0 --a------ c:\windows\PowerReg.dat 2008-11-12 22:26 . 2008-11-19 18:51 <REP> d-------- c:\program files\NovaLogic 2008-11-12 22:22 . 2008-11-12 22:22 <REP> d-------- c:\documents and settings\Marco\WINDOWS 2008-11-12 20:09 . 2008-11-12 20:09 <REP> d-------- c:\program files\MSXML 4.0 2008-11-12 20:08 . 2008-11-12 20:08 <REP> d-------- c:\windows\system32\color 2008-11-12 20:07 . 2008-11-12 20:07 <REP> d-------- c:\windows\system\color 2008-11-12 20:07 . 2000-06-29 09:00 36,864 --a------ c:\windows\system32\agusbsti.dll 2008-11-12 20:07 . 2001-03-08 15:22 32,768 --a------ c:\windows\system32\snape20.bin 2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Fichiers communs\Agfa 2008-11-12 20:06 . 2008-11-12 20:06 <REP> d-------- c:\program files\Agfa 2008-11-12 20:06 . 2001-09-06 15:55 90,112 --a------ c:\windows\system32\adomps.dll 2008-11-12 20:05 . 1998-11-13 13:16 308,224 --a------ c:\windows\IsUn040c.exe 2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\program files\FinePixViewerS 2008-11-12 16:34 . 2008-11-12 16:34 <REP> d-------- c:\documents and settings\Marco\Application Data\InstallShield 2008-11-12 16:34 . 2008-11-21 13:19 <REP> d-------- c:\documents and settings\Marco\Application Data\FUJIFILM 2008-11-12 16:32 . 2008-11-12 16:32 <REP> d-------- c:\documents and settings\All Users\Application Data\HP 2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\program files\Fichiers communs\Sonic Shared 2008-11-12 16:31 . 2008-11-12 16:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Sonic 2008-11-12 16:29 . 2008-11-12 16:29 <REP> d-------- c:\program files\Hewlett-Packard 2008-11-12 16:29 . 2008-11-12 16:30 <REP> d-------- c:\program files\Fichiers communs\HP 2008-11-12 16:04 . 2006-04-05 04:17 77,824 -ra------ c:\windows\system32\HPZIDS01.dll 2008-11-12 16:04 . 2006-03-29 07:20 49,664 -ra------ c:\windows\system32\drivers\HPZid412.sys 2008-11-12 16:04 . 2006-03-22 21:10 38,400 --a------ c:\windows\system32\hpz3l463.dll 2008-11-12 16:04 . 2006-03-29 07:20 16,496 -ra------ c:\windows\system32\drivers\HPZipr12.sys 2008-11-12 16:01 . 1998-10-29 16:45 306,688 --a------ c:\windows\IsUninst.exe 2008-11-12 16:01 . 2005-03-15 01:33 278,584 --a------ c:\windows\system32\HPZidr12.dll 2008-11-12 16:01 . 2005-03-15 01:35 204,800 --a------ c:\windows\system32\HPZipr12.dll 2008-11-12 16:01 . 2005-03-09 01:25 94,208 --a------ c:\windows\system32\HPZipt12.dll 2008-11-12 16:01 . 2007-08-09 02:27 73,728 --a------ c:\windows\system32\HPZipm12.exe 2008-11-12 16:01 . 2005-03-15 03:09 65,536 --a------ c:\windows\system32\HPZinw12.exe 2008-11-12 16:01 . 2005-03-09 01:25 57,344 --a------ c:\windows\system32\HPZisn12.dll 2008-11-12 16:00 . 2008-11-14 01:33 <REP> d-------- c:\program files\HP 2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys 2008-11-12 16:00 . 2008-04-13 11:45 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys 2008-11-12 15:59 . 2008-11-12 16:32 135,520 --a------ c:\windows\HPHins11.dat 2008-11-12 15:59 . 2006-04-25 04:41 13,767 --------- c:\windows\hphmdl11.dat 2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys 2008-11-12 15:57 . 2008-04-13 11:47 25,856 --a--c--- c:\windows\system32\dllcache\usbprint.sys 2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\program files\Snapshot Viewer 2008-11-12 15:38 . 2008-11-12 15:38 <REP> d-------- c:\documents and settings\All Users\Application Data\SBT 2008-11-12 15:16 . 2008-11-13 19:39 379 --a------ c:\windows\ODBC.INI 2008-11-12 15:14 . 2008-11-12 15:14 <REP> d-------- c:\windows\ShellNew 2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\windows\Twain32 2008-11-12 15:13 . 2008-11-12 15:13 <REP> d-------- c:\documents and settings\Marco\Application Data\Microsoft Web Folders 2008-11-12 15:00 . 2008-11-12 15:00 <REP> d-------- c:\program files\MétéoMédia 2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage réseau 2008-11-12 14:53 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Marco\Voisinage d'impression 2008-11-12 14:53 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Marco\Modèles 2008-11-12 14:53 . 2008-11-20 00:19 <REP> dr------- c:\documents and settings\Marco\Mes documents 2008-11-12 14:53 . 2008-11-12 15:37 <REP> dr------- c:\documents and settings\Marco\Menu Démarrer 2008-11-12 14:53 . 2008-11-19 23:52 <REP> dr------- c:\documents and settings\Marco\Favoris 2008-11-12 14:53 . 2008-11-23 03:16 <REP> d-------- c:\documents and settings\Marco\Bureau 2008-11-12 14:53 . 2008-11-21 21:27 <REP> d-------- c:\documents and settings\Marco\Application Data\AVG7 2008-11-12 14:53 . 2008-11-23 01:42 <REP> d-------- c:\documents and settings\Marco 2008-11-12 14:53 . 2008-11-12 14:53 <REP> d-------- c:\documents and settings\Camille\Application Data\AVG7 2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage réseau 2008-11-12 14:52 . 2007-08-22 18:50 <REP> d--h----- c:\documents and settings\Camille\Voisinage d'impression 2008-11-12 14:52 . 2007-08-22 22:54 <REP> d--h----- c:\documents and settings\Camille\Modèles 2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Mes documents 2008-11-12 14:52 . 2007-08-22 18:50 <REP> dr------- c:\documents and settings\Camille\Menu Démarrer 2008-11-12 14:52 . 2008-11-12 14:53 <REP> dr------- c:\documents and settings\Camille\Favoris 2008-11-12 14:52 . 2008-11-12 15:30 <REP> d-------- c:\documents and settings\Camille\Bureau 2008-11-12 14:52 . 2008-11-12 14:52 <REP> d-------- c:\documents and settings\Camille 2008-11-12 14:47 . 2008-11-12 14:47 0 --a------ c:\windows\nsreg.dat 2008-11-12 10:27 . 2008-11-12 10:27 0 --a------ c:\windows\ativpsrm.bin 2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- c:\program files\ATI Technologies 2008-11-12 09:56 . 2008-11-12 09:56 <REP> d-------- C:\ATI 2008-11-12 09:56 . 2008-09-23 21:05 593,920 --------- c:\windows\system32\ati2sgag.exe 2008-11-12 09:52 . 2008-11-12 09:52 <REP> d-------- c:\windows\ServicePackFiles 2008-11-12 09:51 . 2006-12-28 12:01 19,569 --a------ c:\windows\003183_.tmp 2008-11-12 09:35 . 2008-01-29 12:37 950,272 -ra------ c:\windows\system32\drivers\nvnrm.sys 2008-11-12 09:35 . 2008-03-06 17:23 442,368 --a------ c:\windows\system32\nvunrm.exe 2008-11-12 09:35 . 2008-02-19 18:13 199,168 -ra------ c:\windows\system32\fdco1.dll 2008-11-12 09:35 . 2008-01-29 12:37 54,016 -ra------ c:\windows\system32\drivers\NVENETFD.sys 2008-11-12 09:35 . 2008-01-29 12:13 35,840 -ra------ c:\windows\system32\nvconrm.dll 2008-11-12 09:35 . 2008-01-29 12:37 22,016 -ra------ c:\windows\system32\drivers\nvnetbus.sys
. | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 11:21:58 | |
| Et la suite:
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-23 07:15 --------- d-----w c:\documents and settings\All Users\Application Data\avg7 2008-11-23 06:19 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-22 09:44 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-11-22 05:23 --------- d-----w c:\documents and settings\Administrateur\Application Data\AVG7 2008-11-20 06:26 --------- d-----w c:\program files\Lavasoft 2008-11-20 06:25 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft 2008-11-18 00:39 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-12 20:37 --------- d-----w c:\program files\microsoft frontpage 2008-11-12 14:27 --------- d-----w c:\program files\Realtek 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-16 19:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 19:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 19:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 19:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 19:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 19:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 19:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 19:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-09-30 21:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll 2008-09-24 03:09 3,331,072 ----a-w c:\windows\system32\drivers\ati2mtag.sys 2008-09-24 02:18 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll 2008-09-24 02:17 311,296 ----a-w c:\windows\system32\ati2dvag.dll 2008-09-24 02:09 10,772,480 ----a-w c:\windows\system32\atioglxx.dll 2008-09-24 02:07 188,416 ----a-w c:\windows\system32\atipdlxx.dll 2008-09-24 02:06 43,520 ----a-w c:\windows\system32\ati2edxx.dll 2008-09-24 02:06 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe 2008-09-24 02:06 143,360 ----a-w c:\windows\system32\Oemdspif.dll 2008-09-24 02:06 143,360 ----a-w c:\windows\system32\ati2evxx.dll 2008-09-24 02:04 581,632 ----a-w c:\windows\system32\ati2evxx.exe 2008-09-24 02:03 53,248 ----a-w c:\windows\system32\ATIDDC.DLL 2008-09-24 01:56 307,200 ----a-w c:\windows\system32\atiiiexx.dll 2008-09-24 01:54 4,008,864 ----a-w c:\windows\system32\ati3duag.dll 2008-09-24 01:38 2,399,744 ----a-w c:\windows\system32\ativvaxx.dll 2008-09-24 01:24 48,640 ----a-w c:\windows\system32\amdpcom32.dll 2008-09-24 01:20 380,928 ----a-w c:\windows\system32\atikvmag.dll 2008-09-24 01:19 39,424 ----a-w c:\windows\system32\atiadlxx.dll 2008-09-24 01:18 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll 2008-09-24 01:18 253,952 ----a-w c:\windows\system32\atiok3x2.dll 2008-09-24 01:18 17,408 ----a-w c:\windows\system32\atitvo32.dll 2008-09-24 01:12 573,440 ----a-w c:\windows\system32\ati2cqag.dll 2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys 2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll 2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll 2008-08-26 08:11 826,368 ----a-w c:\windows\system32\wininet.dll 2005-04-01 02:17 40,960 ----a-w c:\program files\Uninstall_CDS.exe 2001-03-28 17:02 122,880 ----a-w c:\windows\inf\Agfa\message.exe .
((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360] "WeatherEye"="c:\program files\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2008-09-04 4501912] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016] "RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-11-12 590848] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840] "nwiz"="nwiz.exe" [2006-08-16 c:\windows\system32\nwiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360] "AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2008-04-11 219136]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ D‚marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 73728] Exif Launcher S.lnk - c:\program files\FinePixViewerS\QuickDCF2.exe [2008-11-12 303104] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472] Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avginet.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"= "c:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Participatory Culture Foundation\\Miro\\xulrunner\\python\\Miro_Downloader.exe"= "c:\\Program Files\\NovaLogic\\Delta Force Xtreme\\dfx.exe"= "c:\\Documents and Settings\\Marco\\Mes documents\\Joint Operations Typhoon Rising\\Jointops.exe"= "c:\\Documents and Settings\\Marco\\Bureau\\SMFF.exe"=
R0 nvgts;nvgts;c:\windows\system32\DRIVERS\nvgts.sys [2008-11-12 132096] .
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-23 03:17:26 Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès Fichiers cachés: 0
************************************************************************** . --------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(708) c:\windows\system32\Ati2evxx.dll c:\windows\system32\WgaLogon.dll . Heure de fin: 2008-11-23 3:17:58 ComboFix-quarantined-files.txt 2008-11-23 08:17:47 ComboFix2.txt 2008-11-23 05:51:50
Avant-CF: 136 492 793 856 octets libres Après-CF: 136,480,268,288 octets libres
245 --- E O F --- 2008-11-14 06:39:17 | |
| | | Invité Invité
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 11:36:43 | |
| Re,
Fait un nouvelle hijackthis et lance un scan malwarebyte en mode sans échec.
merci.
@+ |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 11:42:56 | |
| Les 2 en mode sans échec ou seulement Malwarebyte? | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 11:44:23 | |
| J'ai jamais utilisé Malwarebite.
J'imagine que c'Est le scan complet que je lance? | |
| | | Marco2404 Membre
Nombre de messages : 71 Age : 61 Localisation : Chambly (Québec) Système d\'exploitation * : XP pro Date d'inscription : 22/11/2008
| Sujet: Re: Mon PC est infecté! Dim 23 Nov - 12:30:23 | |
| Alors, Voici le rapport HJT, en mode normal: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:57:16, on 2008-11-23 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe C:\PROGRA~1\Grisoft\AVG7\avgemc.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\FinePixViewerS\QuickDCF2.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\WINDOWS\explorer.exe C:\Program Files\Grisoft\AVG7\avgcc.exe C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Trend Micro\HJT\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Exif Launcher S.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187888806093 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
-- End of file - 5416 bytes | |
| | | Contenu sponsorisé
| Sujet: Re: Mon PC est infecté! | |
| |
| | | | Mon PC est infecté! | |
|
Sujets similaires | |
|
Sujets similaires | |
| |
| Permission de ce forum: | Vous ne pouvez pas répondre aux sujets dans ce forum
| |
| |
| |