× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Après nouvelle installation plein de virus sous XPSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
rolandin
  Posté le 27/10/2007 @ 13:41 
Aller en bas de la page 
Astucien

Bonjour

Après un ennuis avec ma carte mére, j'en ai installé une nouvelle. Mon sytéme étant différent Windows XP n'a pas voulu démarrer. Je viens de formater ma partition C:\ pour une nouvelle installation que j'ai fait avec le CD de sauvegarde de XP (l'original ayant des rayures)

Cette installation c'est bien passé, jusqu'au moment ou j'ai installé mon antivirus "Kaspersky" qui m' trouvé tous Trojans, virus et adwares de la liste ci-dessous.

Vous trouverez également à la suite une analyse de "Hitjacthis".

Merci pour votre aide à tous

Listes des virus trouvés par Kaspersky

supprimé : cheval de Troie Trojan-Proxy.Win32.Agent.mf Le fichier: C:\WINDOWS\system32\epdz.exe/Expressor
supprimé : cheval de Troie Trojan.Win32.BHO.pr Le fichier: C:\WINDOWS\system32\awtqnkh.dll
supprimé : virus Packed.Win32.Klone.k Le fichier: C:\WINDOWS\System32\vtursro.dll
supprimé : cheval de Troie Trojan.Win32.BHO.pr Le fichier: C:\WINDOWS\System32\wvusqpq.dll
supprimé : cheval de Troie Trojan.Win32.BHO.pr Le fichier: C:\WINDOWS\System32\awtuvsr.dll
supprimé : cheval de Troie Backdoor.Win32.Rbot.ebe Le fichier: c:\windows\system32\firewall.exe
supprimé : cheval de Troie Trojan-Proxy.Win32.Agent.mf Le fichier: c:\windows\system32\dtqx.exe/Expressor
supprimé : cheval de Troie Backdoor.Win32.Agent.bxz Le fichier: c:\windows\system32\isass.exe
supprimé : cheval de Troie Trojan-Proxy.Win32.Agent.mf Le fichier: C:\WINDOWS\system32\acwf.exe/Expressor
supprimé : adware not-a-virus:AdWare.Win32.Virtumonde.ke Le fichier: C:\WINDOWS\system32\cdfrov.dll
supprimé : cheval de Troie Backdoor.Win32.VB.bco Le fichier: C:\WINDOWS\system32\cdov.exe/PE_Patch.UPX/UPX
supprimé : virus Packed.Win32.Klone.k Le fichier: C:\WINDOWS\system32\ddabaaw.dll
supprimé : virus Packed.Win32.Klone.k Le fichier: C:\WINDOWS\system32\ddccyyv.dll
supprimé : virus Packed.Win32.Klone.k Le fichier: C:\WINDOWS\system32\ddcyaaw.dll
supprimé : cheval de Troie Backdoor.Win32.VB.bco Le fichier: C:\WINDOWS\system32\exbpec.exe/PE_Patch.UPX/UPX
supprimé : virus Packed.Win32.Klone.k Le fichier: C:\WINDOWS\system32\jkkjggd.dll
supprimé : adware not-a-virus:AdWare.Win32.Virtumonde.af Le fichier: C:\WINDOWS\system32\mlljk.exe
supprimé : cheval de Troie Backdoor.Win32.VB.bco Le fichier: C:\WINDOWS\system32\mygidd.exe/PE_Patch.UPX/UPX
supprimé : cheval de Troie Backdoor.Win32.VB.bco Le fichier: C:\WINDOWS\system32\pskkh.exe/PE_Patch.UPX/UPX
supprimé : cheval de Troie Trojan-Proxy.Win32.Agent.mf Le fichier: C:\WINDOWS\system32\qdowbw.exe/Expressor
supprimé : virus Packed.Win32.Klone.k Le fichier: C:\WINDOWS\system32\vturppm.dll
supprimé : cheval de Troie Trojan.Win32.BHO.pr Le fichier: C:\WINDOWS\system32\yayyxuv.dll
découvert : cheval de Troie Trojan.Win32.Agent.bck URL: http://82.98.235.78/netob/vasya.exe?uid=5156423683FB11DCA5D8F67604EFFFFF&guid=8E3817F484324B7EBCD43BC82D252073
supprimé : cheval de Troie Backdoor.Win32.Rbot.ebe Le fichier: C:\System Volume Information\\_restore{ECCEB9DA-4CCA-4FEB-A8F4-A048209AF5FE}\RP3\A0000025.exe

Analyse de Hitjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:53:16, on 27/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\System32\LVComS.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [6c38948e] rundll32.exe "C:\WINDOWS\System32\sdukktbb.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: C:\WINDOWS\System32\\__c00FA032.dat
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

--
End of file - 3458 bytes

Publicité
philae
 Posté le 27/10/2007 à 14:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

Bonjour,

Télécharge VundoFix (par Atribune) sur ton Bureau :
http://www.atribune.org/ccount/click.php?id=4

  • Double-clique VundoFix.exe afin de le lancer
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

rolandin
 Posté le 27/10/2007 à 14:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
philae a écrit :

Bonjour,

  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse


Merci de ta participation "philae" je ne trouve pas cet endroit ou je dois poster cesnouveaux rapport

Après l'analyse de "vundofix" au redémarrage de mon PC j'ai eu ce message de Kaspersky

découvert : cheval de Troie Trojan.Win32.Agent.bck URL: http://82.98.235.78/netob/vasya.exe?uid=5156423683FB11DCA5D8F67604EFFFFF&guid=8E3817F484324B7EBCD43BC82D252073



Modifié par rolandin le 27/10/2007 14:41
philae
 Posté le 27/10/2007 à 14:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

Merci de ta participation "philae" je ne trouve pas cet endroit ou je dois poster cesnouveaux rapport

ici

rolandin
 Posté le 27/10/2007 à 14:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
rolandin a écrit :

philae a écrit :

re

Merci de ta participation "philae" je ne trouve pas cet endroit ou je dois poster cesnouveaux rapport

ici


Désolé si je clic sur ICI rien ne se passe

De plus bien qu'ayant coché la case, je n'ai pas de message m'informant de ta réponse


boule de poils
 Posté le 27/10/2007 à 15:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucienne

Bonjour,

rolandin tu ajoutes les rapports demandés à la suite de ces messages comme tu as fait jusqu'à présent !

rolandin
 Posté le 27/10/2007 à 15:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
boule de poils a écrit :

Bonjour,

rolandin tu ajoutes les rapports demandés à la suite de ces messages comme tu as fait jusqu'à présent !


Ok j'ai cru à un nouvel endroit je poste "merci"

Rapport de "vundofix"


VundoFix V6.5.10

Checking Java version...

Sun Java not detected
Scan started at 14:22:45 27/10/2007

Listing files found while scanning....

C:\WINDOWS\System32\trexookc.dll

Beginning removal...

Attempting to delete C:\WINDOWS\System32\trexookc.dll
C:\WINDOWS\System32\trexookc.dll Has been deleted!

Performing Repairs to the registry.
Done!

Analyse de Hitjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:54, on 27/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [6c38948e] rundll32.exe "C:\WINDOWS\System32\sdukktbb.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: C:\WINDOWS\System32\\__c00FA032.dat
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

--
End of file - 3198 bytes

philae
 Posté le 27/10/2007 à 15:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

* Télécharge combofix.exe (par sUBs) sur ton Bureau
ou ICI

* Double clique combofix.exe.

* Tape sur la touche Y (Yes) pour démarrer le scan.

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

rolandin
 Posté le 27/10/2007 à 16:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Désolé j'étais en trtain d'installer le Pack SP2

Un message de Kaspersky me dit :

Continuer de bloquer "backWeb-8876480" j'ai blpqué c'est bon ou pas

Encore des virus trouvé par Kaspersky l'enfer

supprimé : cheval de Troie Backdoor.Win32.Rbot.ebe Le fichier: C:\System Volume Information\\_restore{ECCEB9DA-4CCA-4FEB-A8F4-A048209AF5FE}\RP3\A0000025.exe
supprimé : cheval de Troie Backdoor.Win32.Agent.bxz Le fichier: C:\System Volume Information\\_restore{ECCEB9DA-4CCA-4FEB-A8F4-A048209AF5FE}\RP3\A0000026.exe

Rapport Combofix

ComboFix 07-10-23.2 - Roland 2007-10-27 16:30:56.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.256 [GMT 2:00]
Running from: C:\Documents and Settings\Roland\Bureau\ComboFix.exe
* Created a new restore point
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\\\__c003F100.dat
C:\WINDOWS\system32\\\__c00907.dat
C:\WINDOWS\system32\\\__c00FA032.dat
C:\WINDOWS\system32\ghcufpnc.dll
C:\WINDOWS\system32\ghkmp.bak1
C:\WINDOWS\system32\ghkmp.bak2
C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\ghkmp.ini2
C:\WINDOWS\system32\ghkmp.tmp
C:\WINDOWS\System32\pmkhg.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2007-09-27 to 2007-10-27 ))))))))))))))))))))))))))))))))))))
.

2007-10-27 16:29 83,520 --a------ C:\WINDOWS\system32\gkpececr.dll
2007-10-27 16:29 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 16:26 10,816 --a------ C:\WINDOWS\system32\pdhorxub.dll
2007-10-27 16:23 d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2007-10-27 15:42 d-------- C:\WINDOWS\ServicePackFiles
2007-10-27 15:35 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-27 15:31 d-------- C:\WINDOWS\EHome
2007-10-27 15:11 d-------- C:\WINDOWS\pss
2007-10-27 14:26 10,816 --a------ C:\WINDOWS\system32\qafvurxi.dll
2007-10-27 14:22 d-------- C:\VundoFix Backups
2007-10-27 12:53 d-------- C:\Program Files\Trend Micro
2007-10-27 09:47 10,816 --a------ C:\WINDOWS\system32\ywiklrdy.dll
2007-10-27 09:44 10,816 --a------ C:\WINDOWS\system32\rlewvvyk.dll
2007-10-27 00:38 d-------- C:\WINDOWS\Profiles
2007-10-27 00:38 d-------- C:\Program Files\Fichiers communs\Adobe
2007-10-27 00:38 d-------- C:\Documents and Settings\Roland\Application Data\InterTrust
2007-10-27 00:32 d-------- C:\Program Files\Pinnacle
2007-10-27 00:30 10,816 --a------ C:\WINDOWS\system32\wljqrmcw.dll
2007-10-27 00:25 59,264 --a------ C:\WINDOWS\system32\drivers\usbaudio.sys
2007-10-27 00:25 54,784 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-10-27 00:25 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-10-27 00:20 d-------- C:\Program Files\Fichiers communs\FotoWire
2007-10-27 00:20 d-------- C:\Program Files\directx
2007-10-27 00:20 d-------- C:\Documents and Settings\Roland\Application Data\FotoWire
2007-10-27 00:19 695,296 --a------ C:\WINDOWS\system32\drmv2clt.dll
2007-10-27 00:19 299,520 --a------ C:\WINDOWS\system32\drmclien.dll
2007-10-27 00:19 286,208 --a------ C:\WINDOWS\system32\blackbox.dll
2007-10-27 00:19 259,072 --a------ C:\WINDOWS\system32\msnetobj.dll
2007-10-27 00:19 87,040 --a------ C:\WINDOWS\system32\drmstor.dll
2007-10-27 00:18 d-------- C:\Program Files\Fichiers communs\Logitech
2007-10-27 00:18 472,332 --a------ C:\WINDOWS\system32\drivers\lvcm.sys
2007-10-27 00:18 327,680 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2007-10-27 00:18 172,032 --a------ C:\WINDOWS\system32\lvcodec2.dll
2007-10-27 00:18 135,214 --a------ C:\WINDOWS\system32\LVComS.exe
2007-10-27 00:18 122,880 --a------ C:\WINDOWS\system32\LVUI2.dll
2007-10-27 00:18 77,824 --a------ C:\WINDOWS\system32\lvcoinst.dll
2007-10-27 00:18 57,344 --a------ C:\WINDOWS\system32\LVComC.dll
2007-10-27 00:18 12,112 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2007-10-27 00:17 d-------- C:\Program Files\Logitech
2007-10-27 00:17 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-10-27 00:17 81,920 -r------- C:\WINDOWS\bwUnin-6.1.4.36-8876480L.exe
2007-10-27 00:07 d-------- C:\Program Files\ATI Multimedia
2007-10-27 00:06 d-------- C:\Program Files\ATI Technologies
2007-10-27 00:05 d--h----- C:\Program Files\InstallShield Installation Information
2007-10-27 00:05 d-------- C:\Program Files\Fichiers communs\InstallShield
2007-10-27 00:05 110,677 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-10-26 22:19 d-------- C:\Program Files\Fichiers communs\SpeechEngines
2007-10-26 22:19 d-------- C:\Program Files\Fichiers communs\ODBC
2007-10-26 22:19 dr------- C:\Program Files
2007-10-26 22:18 d-------- C:\WINDOWS\system32\CatRoot2
2007-10-26 22:18 d-------- C:\WINDOWS\system32\CatRoot
2007-10-26 22:18 d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
2007-10-26 22:18 d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2007-10-26 22:18 d--h----- C:\Documents and Settings\Default User\ModŠles
2007-10-26 22:18 d-------- C:\Documents and Settings\Default User\Mes documents
2007-10-26 22:18 dr------- C:\Documents and Settings\Default User\Menu D‚marrer
2007-10-26 22:18 d-------- C:\Documents and Settings\Default User\Favoris
2007-10-26 22:18 d-------- C:\Documents and Settings\Default User\Bureau
2007-10-26 22:18 d--h----- C:\Documents and Settings\All Users\ModŠles
2007-10-26 22:18 dr------- C:\Documents and Settings\All Users\Menu D‚marrer
2007-10-26 22:18 d-------- C:\Documents and Settings\All Users\Favoris
2007-10-26 22:18 dr------- C:\Documents and Settings\All Users\Documents
2007-10-26 22:18 d-------- C:\Documents and Settings\All Users\Bureau
2007-10-26 22:18 76,800 --a------ C:\WINDOWS\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-27 14:36 95,264 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-27 14:34 74,300 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-27 14:34 5,160,992 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-27 14:34 10,976 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-26 22:38 --------- d-----w C:\Program Files\Mozilla Thunderbird
2007-10-26 21:48 --------- d-----w C:\Documents and Settings\Roland\Application Data\Thunderbird
2007-10-26 19:44 --------- d-----w C:\Program Files\Kaspersky Lab
2007-10-26 19:36 41,984 ---ha-w C:\WINDOWS\system32\gofdyr.exe
2007-10-26 19:32 7,016 ---ha-w C:\WINDOWS\system32\qhjqxo.exe
2007-10-26 19:32 17,616 ---ha-w C:\WINDOWS\system32\czjyqggj.exe
2007-10-26 19:30 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-26 19:29 --------- d-----w C:\Program Files\Services en ligne
2007-10-26 19:28 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-10-12 21:00]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2003-12-16 22:37]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 22:39]
"6c38948e"="C:\WINDOWS\system32\gkpececr.dll" [2007-10-27 16:29]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]
"ATI Launchpad"="" []
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe" [2007-10-27 00:17]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh]
awtqnkh.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\System32\pmkhg.dll

R3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-27 16:36:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\LastGood.Tmp

scan completed successfully
hidden files: 1

**************************************************************************
.
Completion time: 2007-10-27 16:37:13 - machine was rebooted
.
--- E O F ---



Modifié par rolandin le 27/10/2007 16:48
Publicité
philae
 Posté le 27/10/2007 à 16:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

Désolé j'étais en trtain d'installer le Pack SP2

Ce n'était pas le moment choisi. On évite de faire des mises à jour de ce style lorsqu'on est infecté. Pourquoi ne pas avoir demandé....

je regarde ton rapport, reposte également un rapport hijackthis stp

rolandin
 Posté le 27/10/2007 à 17:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Ok je ne le ferais plus

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:38, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [6c38948e] rundll32.exe "C:\WINDOWS\system32\gkpececr.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F95CB6D-AA42-4188-A103-96AD0829CEA7}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F95CB6D-AA42-4188-A103-96AD0829CEA7}: NameServer = 212.27.54.252,212.27.53.252
O20 - Winlogon Notify: awtqnkh - awtqnkh.dll (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

--
End of file - 3561 bytes

philae
 Posté le 27/10/2007 à 17:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.

puis redémarre en mode sans échec

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924

puis

* lance hijackthis "do a system scan only" puis coche ces lignes :

O4 - HKLM\..\Run: [6c38948e] rundll32.exe "C:\WINDOWS\system32\gkpececr.dll",b

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O20 - Winlogon Notify: awtqnkh - awtqnkh.dll (file missing)

* toutes applications fermées et HORS CONNEXION, clique sur "fix checked"

puis

double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

C:\WINDOWS\system32\gkpececr.dll
C:\WINDOWS\system32\pdhorxub.dll
C:\WINDOWS\system32\qafvurxi.dll
C:\WINDOWS\system32\ywiklrdy.dll
C:\WINDOWS\system32\rlewvvyk.dll
C:\WINDOWS\system32\wljqrmcw.dll
C:\WINDOWS\system32\vfwwdm32.dll
C:\WINDOWS\system32\gofdyr.exe
C:\WINDOWS\system32\qhjqxo.exe
C:\WINDOWS\system32\czjyqggj.exe
C:\WINDOWS\system32\gkpececr.dll
C:\WINDOWS\System32\pmkhg.dll
C:\WINDOWS\System32\awtqnkh.dll
C:\WINDOWS\LastGood.Tmp

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
Si c'est le cas, accepte par Yes.

* relance combofix poste le rapport

reposte un nouveau rapport hijackthis

rolandin
 Posté le 27/10/2007 à 17:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Rapport combofix

((((((((((((((((((((((((((((( Fichiers créés 2007-09-27 to 2007-10-27 ))))))))))))))))))))))))))))))))))))
.

2007-10-27 16:29 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 16:23 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2007-10-27 15:42 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-10-27 15:35 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-27 15:31 <REP> d-------- C:\WINDOWS\EHome
2007-10-27 15:11 <REP> d-------- C:\WINDOWS\pss
2007-10-27 14:22 <REP> d-------- C:\VundoFix Backups
2007-10-27 12:53 <REP> d-------- C:\Program Files\Trend Micro
2007-10-27 00:38 <REP> d-------- C:\WINDOWS\Profiles
2007-10-27 00:38 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-10-27 00:38 <REP> d-------- C:\Documents and Settings\Roland\Application Data\InterTrust
2007-10-27 00:32 <REP> d-------- C:\Program Files\Pinnacle
2007-10-27 00:25 59,264 --a------ C:\WINDOWS\system32\drivers\usbaudio.sys
2007-10-27 00:25 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-10-27 00:20 <REP> d-------- C:\Program Files\Fichiers communs\FotoWire
2007-10-27 00:20 <REP> d-------- C:\Program Files\directx
2007-10-27 00:20 <REP> d-------- C:\Documents and Settings\Roland\Application Data\FotoWire
2007-10-27 00:19 695,296 --a------ C:\WINDOWS\system32\drmv2clt.dll
2007-10-27 00:19 299,520 --a------ C:\WINDOWS\system32\drmclien.dll
2007-10-27 00:19 286,208 --a------ C:\WINDOWS\system32\blackbox.dll
2007-10-27 00:19 259,072 --a------ C:\WINDOWS\system32\msnetobj.dll
2007-10-27 00:19 87,040 --a------ C:\WINDOWS\system32\drmstor.dll
2007-10-27 00:18 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2007-10-27 00:18 472,332 --a------ C:\WINDOWS\system32\drivers\lvcm.sys
2007-10-27 00:18 327,680 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2007-10-27 00:18 172,032 --a------ C:\WINDOWS\system32\lvcodec2.dll
2007-10-27 00:18 135,214 --a------ C:\WINDOWS\system32\LVComS.exe
2007-10-27 00:18 122,880 --a------ C:\WINDOWS\system32\LVUI2.dll
2007-10-27 00:18 77,824 --a------ C:\WINDOWS\system32\lvcoinst.dll
2007-10-27 00:18 57,344 --a------ C:\WINDOWS\system32\LVComC.dll
2007-10-27 00:18 12,112 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2007-10-27 00:17 <REP> d-------- C:\Program Files\Logitech
2007-10-27 00:17 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-10-27 00:17 81,920 -r------- C:\WINDOWS\bwUnin-6.1.4.36-8876480L.exe
2007-10-27 00:07 <REP> d-------- C:\Program Files\ATI Multimedia
2007-10-27 00:06 <REP> d-------- C:\Program Files\ATI Technologies
2007-10-27 00:05 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2007-10-27 00:05 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2007-10-27 00:05 110,677 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-10-26 22:19 <REP> d-------- C:\Program Files\Fichiers communs\SpeechEngines
2007-10-26 22:19 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-10-26 22:19 <REP> dr------- C:\Program Files
2007-10-26 22:18 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2007-10-26 22:18 <REP> d-------- C:\WINDOWS\system32\CatRoot
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2007-10-26 22:18 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
2007-10-26 22:18 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2007-10-26 22:18 <REP> dr------- C:\Documents and Settings\All Users\Documents
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\All Users\Bureau
2007-10-26 22:18 76,800 --a------ C:\WINDOWS\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-27 15:48 98,080 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-27 15:48 5,189,664 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-27 15:47 --------- d-----w C:\Program Files\Kaspersky Lab
2007-10-27 15:37 74,636 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-27 15:37 12,236 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-26 22:38 --------- d-----w C:\Program Files\Mozilla Thunderbird
2007-10-26 21:48 --------- d-----w C:\Documents and Settings\Roland\Application Data\Thunderbird
2007-10-26 19:30 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-26 19:29 --------- d-----w C:\Program Files\Services en ligne
2007-10-26 19:28 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-10-12 21:00]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2003-12-16 22:37]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 22:39]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]
"ATI Launchpad"="" []

R3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-27 17:48:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-27 17:49:34
C:\ComboFix2.txt ... 2007-10-27 16:37
.
--- E O F ---

Rapport Hitjackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:31, on 27/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\System32\LVComS.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O9 - Extra button: Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F95CB6D-AA42-4188-A103-96AD0829CEA7}: NameServer = 212.27.54.252,212.27.53.252
O17 - HKLM\System\CS1\Services\Tcpip\..\{4F95CB6D-AA42-4188-A103-96AD0829CEA7}: NameServer = 212.27.54.252,212.27.53.252
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

--
End of file - 3029 bytes

philae
 Posté le 27/10/2007 à 18:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

suis pas certaine que le rapport de combofix soit entier....manque le début

ensuite je n'ai pas eu le rapport d'OTMoveIt

rolandin
 Posté le 27/10/2007 à 18:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
philae a écrit :

re

suis pas certaine que le rapport de combofix soit entier....manque le début

ensuite je n'ai pas eu le rapport d'OTMoveIt


Re,

Celui de combofix complet avec les 3 lignes manquantes :

ComboFix 07-10-23.2 - Roland 2007-10-27 17:47:37.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.356 [GMT 2:00]
Running from: C:\Documents and Settings\Roland\Bureau\ComboFix.exe
.

((((((((((((((((((((((((((((( Fichiers créés 2007-09-27 to 2007-10-27 ))))))))))))))))))))))))))))))))))))
.

2007-10-27 16:29 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 16:23 <REP> d-------- C:\Documents and Settings\LocalService\Menu D‚marrer
2007-10-27 15:42 <REP> d-------- C:\WINDOWS\ServicePackFiles
2007-10-27 15:35 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-27 15:31 <REP> d-------- C:\WINDOWS\EHome
2007-10-27 15:11 <REP> d-------- C:\WINDOWS\pss
2007-10-27 14:22 <REP> d-------- C:\VundoFix Backups
2007-10-27 12:53 <REP> d-------- C:\Program Files\Trend Micro
2007-10-27 00:38 <REP> d-------- C:\WINDOWS\Profiles
2007-10-27 00:38 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
2007-10-27 00:38 <REP> d-------- C:\Documents and Settings\Roland\Application Data\InterTrust
2007-10-27 00:32 <REP> d-------- C:\Program Files\Pinnacle
2007-10-27 00:25 59,264 --a------ C:\WINDOWS\system32\drivers\usbaudio.sys
2007-10-27 00:25 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-10-27 00:20 <REP> d-------- C:\Program Files\Fichiers communs\FotoWire
2007-10-27 00:20 <REP> d-------- C:\Program Files\directx
2007-10-27 00:20 <REP> d-------- C:\Documents and Settings\Roland\Application Data\FotoWire
2007-10-27 00:19 695,296 --a------ C:\WINDOWS\system32\drmv2clt.dll
2007-10-27 00:19 299,520 --a------ C:\WINDOWS\system32\drmclien.dll
2007-10-27 00:19 286,208 --a------ C:\WINDOWS\system32\blackbox.dll
2007-10-27 00:19 259,072 --a------ C:\WINDOWS\system32\msnetobj.dll
2007-10-27 00:19 87,040 --a------ C:\WINDOWS\system32\drmstor.dll
2007-10-27 00:18 <REP> d-------- C:\Program Files\Fichiers communs\Logitech
2007-10-27 00:18 472,332 --a------ C:\WINDOWS\system32\drivers\lvcm.sys
2007-10-27 00:18 327,680 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2007-10-27 00:18 172,032 --a------ C:\WINDOWS\system32\lvcodec2.dll
2007-10-27 00:18 135,214 --a------ C:\WINDOWS\system32\LVComS.exe
2007-10-27 00:18 122,880 --a------ C:\WINDOWS\system32\LVUI2.dll
2007-10-27 00:18 77,824 --a------ C:\WINDOWS\system32\lvcoinst.dll
2007-10-27 00:18 57,344 --a------ C:\WINDOWS\system32\LVComC.dll
2007-10-27 00:18 12,112 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2007-10-27 00:17 <REP> d-------- C:\Program Files\Logitech
2007-10-27 00:17 308,224 --a------ C:\WINDOWS\IsUn040c.exe
2007-10-27 00:17 81,920 -r------- C:\WINDOWS\bwUnin-6.1.4.36-8876480L.exe
2007-10-27 00:07 <REP> d-------- C:\Program Files\ATI Multimedia
2007-10-27 00:06 <REP> d-------- C:\Program Files\ATI Technologies
2007-10-27 00:05 <REP> d--h----- C:\Program Files\InstallShield Installation Information
2007-10-27 00:05 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield
2007-10-27 00:05 110,677 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-10-26 22:19 <REP> d-------- C:\Program Files\Fichiers communs\SpeechEngines
2007-10-26 22:19 <REP> d-------- C:\Program Files\Fichiers communs\ODBC
2007-10-26 22:19 <REP> dr------- C:\Program Files
2007-10-26 22:18 <REP> d-------- C:\WINDOWS\system32\CatRoot2
2007-10-26 22:18 <REP> d-------- C:\WINDOWS\system32\CatRoot
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage r‚seau
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\Default User\Voisinage d'impression
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\Default User\ModŠles
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\Default User\Mes documents
2007-10-26 22:18 <REP> dr------- C:\Documents and Settings\Default User\Menu D‚marrer
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\Default User\Favoris
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\Default User\Bureau
2007-10-26 22:18 <REP> d--h----- C:\Documents and Settings\All Users\ModŠles
2007-10-26 22:18 <REP> dr------- C:\Documents and Settings\All Users\Menu D‚marrer
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\All Users\Favoris
2007-10-26 22:18 <REP> dr------- C:\Documents and Settings\All Users\Documents
2007-10-26 22:18 <REP> d-------- C:\Documents and Settings\All Users\Bureau
2007-10-26 22:18 76,800 --a------ C:\WINDOWS\system32\storprop.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-27 15:48 98,080 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2007-10-27 15:48 5,189,664 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-27 15:47 --------- d-----w C:\Program Files\Kaspersky Lab
2007-10-27 15:37 74,636 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-27 15:37 12,236 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-26 22:38 --------- d-----w C:\Program Files\Mozilla Thunderbird
2007-10-26 21:48 --------- d-----w C:\Documents and Settings\Roland\Application Data\Thunderbird
2007-10-26 19:30 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-26 19:29 --------- d-----w C:\Program Files\Services en ligne
2007-10-26 19:28 --------- d-----w C:\Program Files\Fichiers communs\MSSoap
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-10-12 21:00]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2003-12-16 22:37]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2003-12-16 22:39]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09]
"ATI Launchpad"="" []

R3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-27 17:48:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-27 17:49:34
C:\ComboFix2.txt ... 2007-10-27 16:37
.
--- E O F ---

Celui de "OTMovelt"

DllUnregisterServer procedure not found in C:\WINDOWS\system32\gkpececr.dll
C:\WINDOWS\system32\gkpececr.dll NOT unregistered.
C:\WINDOWS\system32\gkpececr.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\pdhorxub.dll
C:\WINDOWS\system32\pdhorxub.dll NOT unregistered.
C:\WINDOWS\system32\pdhorxub.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\qafvurxi.dll
C:\WINDOWS\system32\qafvurxi.dll NOT unregistered.
C:\WINDOWS\system32\qafvurxi.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ywiklrdy.dll
C:\WINDOWS\system32\ywiklrdy.dll NOT unregistered.
C:\WINDOWS\system32\ywiklrdy.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\rlewvvyk.dll
C:\WINDOWS\system32\rlewvvyk.dll NOT unregistered.
C:\WINDOWS\system32\rlewvvyk.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\wljqrmcw.dll
C:\WINDOWS\system32\wljqrmcw.dll NOT unregistered.
C:\WINDOWS\system32\wljqrmcw.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\vfwwdm32.dll
C:\WINDOWS\system32\vfwwdm32.dll NOT unregistered.
C:\WINDOWS\system32\vfwwdm32.dll moved successfully.
C:\WINDOWS\system32\gofdyr.exe moved successfully.
C:\WINDOWS\system32\qhjqxo.exe moved successfully.
C:\WINDOWS\system32\czjyqggj.exe moved successfully.
File/Folder C:\WINDOWS\system32\gkpececr.dll not found.
File/Folder C:\WINDOWS\System32\pmkhg.dll not found.
File/Folder C:\WINDOWS\System32\awtqnkh.dll not found.
File/Folder C:\WINDOWS\LastGood.Tmp not found.

Created on 10/27/2007 17:42:38

philae
 Posté le 27/10/2007 à 18:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

ok pas mal

* Fait un scan antivirus en ligne avec Internet Explorer
http://www.bitdefender.fr/

et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
*
Dans la nouvelle fenêtre, clique sur I agree
*
La fenêtre change encore, clique sur Click here to scan
*
Les signatures se chargent, etc.

tuto en image

http://pageperso.aol.fr/rginformatique/mapage/defender.htm

rolandin
 Posté le 27/10/2007 à 20:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Bitdefender semble avoir terminé son analyse, la dernière partition du DD de 160 Go est terminé, plus rien avance dans le compteur à part celui du temps écoulé, qu'est-ce que je fais

Merci de ton aide et de ta patience

Publicité
philae
 Posté le 27/10/2007 à 20:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

t'a t il trouvé quelque chose ?

rolandin
 Posté le 27/10/2007 à 20:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Oui un tas de choses

De plus Kaspersky n'a pas arrêté d'hurler dans les HP

La ligne "cliquez ici pour exporter" est grisée je clic sur "Arrêter"



Modifié par rolandin le 27/10/2007 21:01
philae
 Posté le 27/10/2007 à 21:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

je pense qu'elle est grisée car il n'est pas terminé.

si tu fais une capture d'écran, on voit les actions qu'ils a faite ou pas ?

il me faudrait un rapport pour pouvoir avancer

rolandin
 Posté le 27/10/2007 à 21:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Dans les "Problèmes détectés" il y a la grande liste des fichiers analysés, donc capture d'écran impossible.

Dan "Statistique" = Résultats il y a

Virus identifiés = 1

Fichiers infectés = 4 (je croyais qu'il y en avait plus)

Fichiers suspects = 0

Alertes = 0

Fichiers désinfectés = 0

Fichiers supprimés = 4

J'aurais bien fait une capture, mais je ne sais plus comment faire, je sais que c'est expliqué sur le site

philae
 Posté le 27/10/2007 à 21:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

visiblement d'après ce que tu me dis, il a supprimé les 4 infectés, donc ce devrait être bon

par contre si tu peux me dire lesquels fichiers étaient infectés, je veux bien

rolandin
 Posté le 27/10/2007 à 21:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Pas facile la fenêtre est trés petite et les lignes sont longues, je peux lire que 3 fichiers supprimés (dont 2 idem) et pour les 2 lignes qui précédent cette suppression il a :

1ere ligne = "détecté avec Adware. Virtumonde.GHB"

2° ligne "Echec de la désinfection"

3° ligne le fichier supprimé

C:\qoobox\Quarantaine\C\WINDOWS\System 32\pmkhg.dll.vir (1 fois)

C:\qoobox\Quarantaine\catcheme2007-10-27_163545.18.zip=>pmkh.dll.1 (2 fois)

Le troisième fichier est dur à trouver dans cette longue liste

philae
 Posté le 27/10/2007 à 21:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

cela correspond à la quarantaine de combo, donc rien d'anormal

rolandin
 Posté le 27/10/2007 à 22:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
philae a écrit :

cela correspond à la quarantaine de combo, donc rien d'anormal


J'ai trouvé 2 autres fichiers supprimés (identiques)

dans C:_Sytem Volume in formation .........A0004297.dll

Je ne sais si ça avance beaucoup, qu'est-ce que tu me conseils de faire maintenant

Questions :

Comment mon Cd de XP a été infecté ?

Si je fais une copie de ce Cd sur un Cd réinscriptible, est-ce que mon Antivirus supprimera ces virus ?

Et est-ce qu'ensuite je pourrais faire une image de ce Cd réinscriptible ?

Si ces infections continues (47 détectés par Kaspersky depuis cette aprés midi, et il continu encore) je pense que je vais formater, et installer XP Home version officiel qui était vendu avec mon PC, qu'en penses-tu ?

Voilà beaucoup de réponses auxquelles je ne peux répondre étant un petit amateur en ce domaine

Merci pour ton aide

philae
 Posté le 27/10/2007 à 22:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grande Maîtresse astucienne

re

pour système volume information = à ta restauration système

donc ok pour le rapport de scan en ligne

je ne suis pas pour les formatage, mais en l'état actuel des choses, je te conseillerais vivement de remettre ta version officielle de windows

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
93,49 €Kit de démarrage Ordinateur Raspberry Pi 4 Type B 4 Go à 93,49 €
Valable jusqu'au 04 Juin

Amazon fait une vente flash sur un kit de démarrage Raspberry Pi 4 Type B 4 Go qui passe à 93,49 € . On le trouve ailleurs à partir de 120 €. Pour rappel, la nouvelle version de ce mini ordinateur dispose d'un processeur ARM Quad Core à 1.5 GHz, de 4 Go  de mémoire, d'un lecteur de carte microSD, de 4 ports USB (dont 2 USB 3.0), Ethernet et HDMI. Il intègre le WiFi et le Bluetooth. Il permet l'exécution de Windows 10, Linux, le décodage de flux Blu-Ray en 1080p ainsi que l'émulation d'anciennes consoles de jeux. Si vous voulez bidouiller et explorer la programmation informatique, le Raspberry Pi est une excellente base ! C'est aussi une bonne solution pour se créer un système domotique avec Domoticz et Jeedom, Media Center avec OpenElec et Kodi ou un système de jeux retro avec Recallbox ou RetroPie. Ce kit de démarrage officiel comporte en plus du Raspberry Pi 4 : une alimentation française 3 A avec interrupteurun boîtier et une carte mémoire 32 Go préchargée avec la distribution NOOBS, un lecteur de carte mémoire, des dissipateurs thermiques, un ventilateur et un câble HDMI. La livraison est gratuite. 


> Voir l'offre
91,99 €Enceinte connectée Amazon Echo avec Alexa + 2 ampoules connectées Philips Hue White à 91,99 €
Valable jusqu'au 05 Juin

Amazon propose l'enceinte Echo de 3ème génération accompagnée de 2 ampoules Philips Hue White E27 à 91,99 € (au lieu de 129,99 €). L'appareil piloté par la voix fonctionne avec Alexa, l’intelligence artificielle développée par Amazon. Vous pourrez avec elle écouter de la musique, interagir avec vos appareils domotiques dont les 2 ampoules fournies (pour allumer et éteindre la lumière à la voix), écouter les infos, la radio, connaître la météo et d’accéder à des milliers d’autres possibilités grâce aux Skills : recettes de cuisine, petits jeux, etc. Par rapport à la génération précédente, le son est amélioré et l'enceinte arbore un nouveau design. L'enceinte est équipée du son Dolby qui remplira la pièce d'un son immersif et omnidirectionnel, avec des voix nettes, des basses profondes et des aigus clairs à volume élevé. Grâce à ses sept microphones, ses technologies de beamforming et de réduction du bruit, Amazon Echo vous entend où que vous soyez dans la pièce, même lorsqu'il y a de la musique. 


> Voir l'offre
26,71 €Carte mémoire SDXC UHS-I U3 SanDisk Extreme Plus 128 Go (jusqu'à 170 Mo/s) à 26,71 € livrée
Valable jusqu'au 04 Juin

Amazon Allemagne fait une promotion sur la carte mémoire SDXC UHS-I U3 SanDisk Extreme Plus d'une capacité de 128 Go qui passe à 22,19 € (avec la TVA ajustée). Comptez 4,52 € pour la livraison en France soit un total de 26,71 € livrée alors qu'on trouve la carte ailleurs à partir de 60 €. Cette carte mémoire offre des vitesses jusqu'à 170 Mo/s en lecture et 90 Mo/s en écriture et intègre des mécanismes afin de gérer l'usure des cellules de la carte et augmenter ainsi sa durée de vie. Une valeur sûre pour les plus exigeants. Elle résiste aux températures extrêmes, à l'eau, aux chocs et aux rayons X. La carte est fournie avec le logiciel de récupération de données RescuePRO Deluxe qui facilite la récupération des fichiers qui ont été effacés accidentellement.

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douanes. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


> Voir l'offre

Sujets relatifs
après installation d'une astuce sous windows7, ça
nettoyage d'ordi après infection par virus "Bubble dock" / Nosibay
Installation Avira apres Formatage DD
Après analyse Avast anti virus présence Win: 32 et 64-gen [ADW]
Nouvelle installation S.E verifiaction de la cave au grenier
Probleme carte reseau apres virus .
pb installation nouvelle version mbam
Ecran bleu sous XP + virus?
Installation anti-virus impossible
Blocage installation de Programme Anti Virus
Plus de sujets relatifs à Après nouvelle installation plein de virus sous XP
 > Tous les forums > Forum Sécurité