Virus inconnu ?
Bonjour,
mon antivirus vient de m'avertir d'un virus qui se nomme :
STEALTH.CRYPT.TSR.DRIVER
le connaissez vous ? par doute je l'ai mis en quarantaine.
merci d'avance.
Salut,
- Télécharge Hijackthis V 2.02
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation
- Clique sur Install ensuite sur I Accept
- Clique sur Do a scan system and save log file
- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:43:29, on 27/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jkibyrjrgoomecsiemjpb.com/yoJ_a0IhmmugNheelOdD1FQ195a/7G_fcXnHolTr2bQtbqyhyStUqTENa9O/dZDV.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wvxcckgutcipme.us/yoJ_a0Ihmmt2xMIVY4n77P8iIcg0nvJMR3LBV7P4ejw.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/wdgt3/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/wdgt3/*http://www.yahoo.com
R1 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Int
ernet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [else tool title ping] C:\Documents and Settings\All Users\Application Data\Loud spam else tool\Body Dart.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9
CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop
Messenger\8876480\Program\LogitechDesktopMessenger
.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Axis Wma]
C:\DOCUME~1\Mehdi\APPLIC~1\32MULT~1\infoprogramlie
s.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\MSNMES~1\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySpotter] C:\Program Files\SpySpotter3\SpySpotter.exe -startup
O4 - HKCU\..\Run: [SpySpotter System Defender] C:\Program Files\SpySpotter3\Defender.exe -startup
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5
O4 - HKCU\..\Run: [VoipDiscount] "C:\Program
Files\VoipDiscount.com\VoipDiscount\VoipDiscount.e
xe" -nosplash -minimized
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Program Files\Octoshape Streaming Services\Mehdi\OctoshapeClient.exe" -inv:bootrun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Client Default.lnk = C:\Program Files\Samurize\Client.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop
Messenger\8876480\Program\LogitechDesktopMessenger
.exe
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop
Messenger\8876480\Program\GAPlugProtocol-8876480.d
ll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe
--
End of file - 10292 bytes
Salut,
T'es infecté.
Commence par désinstaller SpySpotter qui est un rogue c'est-à-dire un faux logiciel de sécurité.
Infecter par quoi ?
Sinon comment désinstaller SpySpotter ? je ne le trouve pas :s
Infecté par un rogue, par Lop, par des spywares.
d'accord... parcontre comment enlever spyspotter ? je ne le trouve pas :/
- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://siri.geekstogo.com/SmitfraudFix.exe
- Enregistre-le sur le bureau
- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée
- Un rapport sera généré, poste-le dans ta prochaine réponse.
[*]process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]
- Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Inventel\Gateway\wlancfg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\windows\system32\aynffn.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mehdi
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Mehdi\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Mehdi\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wbsys.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: 802.11g USB 2.0 adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
Description: 802.11g USB 2.0 adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
Description: 802.11g USB 2.0 adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{349D135C-07AE-4
0BD-8725-D321D5845DF4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{517E439C-95FA-4
44B-B736-8ACFC81A3B2F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7A3742C7-627E-4
0BB-A614-6C0BAF7A4327}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{349D135C-07AE-4
0BD-8725-D321D5845DF4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{517E439C-95FA-4
44B-B736-8ACFC81A3B2F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7A3742C7-627E-4
0BB-A614-6C0BAF7A4327}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{349D135C-07AE-4
0BD-8725-D321D5845DF4}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{517E439C-95FA-4
44B-B736-8ACFC81A3B2F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7A3742C7-627E-4
0BB-A614-6C0BAF7A4327}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Télécharge combofix.exe (de sUBs)
http://download.bleepingccomputer.com/sUBs/ComboFix.exe
- Enregistre ce fichier sur le bureau
- Double-clique sur combofix.exe tape 1 valide par Entrée pour lancer le scan
- Lorsque le scan sera complété, un rapport apparaîtra. Copie / Colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
- Combofix est détecté par certains antivirus comme une infection, il s'agit d'un "faux positif"
- N'en tiens pas compte, continue la procédure.
Par contre, fais ceci en mode sans échec.
Pour démarrer en mode sans échec, il faut tapoter sur F8 au démarrage du PC avant le chargement de Windows puis choisir Mode sans échec.
Ce n'est pas tout à fait ça la procédure :
Télécharge Combofix (sUBs) sur le bureau :
http://download.bleepingccomputer.com/sUBs/ComboFix.exe
- Redémarre en mode sans échec :
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_securite/redemarrer_en_mode_sans_echec_pourquoi_et_comment-387297/messages-1.html
- Double clique sur combofix.exe.
- Appuie sur Y (Yes) pour lancer le scan.
- Quand le scan sera terminé, enregistre le rapport et redémarre en mode normal.
- Copie/Colle le rapport sur le forum situé ici C:\Combofix.txt.
Désactive ton Antivirus durant la procédure.
omboFix 08-02-25.3 - Mehdi 2008-02-27 21:38:54.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.131 [GMT 1:00]
Endroit: C:\Documents and Settings\Mehdi\Bureau\ComboFix.exe
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\pack.epk
c:\WINDOWS\system32\aynffn.dat
C:\WINDOWS\system32\aynffn.exe
C:\WINDOWS\system32\aynffn_nav.dat
C:\WINDOWS\system32\aynffn_navps.dat
C:\WINDOWS\system32\nvs2.inf
D:\Autorun.inf
.
((((((((((((((((((((((((((((( Fichiers créés 2008-01-27 to 2008-02-27 ))))))))))))))))))))))))))))))))))))
.
2008-02-27 21:02 . 2008-02-27
21:02 3,178 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-27 21:01 . 2007-09-05
23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSI
D.exe
2008-02-27 21:01 . 2006-04-27
16:49 288,417 --a------ C:\WINDOWS\system32\SrchST
S.exe
2008-02-27 21:01 . 2008-02-22
18:44 86,016 --a------ C:\WINDOWS\system32\VACFix.
exe
2008-02-27 21:01 . 2008-02-08
10:37 82,432 --a------ C:\WINDOWS\system32\IEDFix.
exe
2008-02-27 21:01 . 2003-06-05
20:13 53,248 --a------ C:\WINDOWS\system32\Process
.exe
2008-02-27 21:01 . 2004-07-31
17:50 51,200 --a------ C:\WINDOWS\system32\dumphiv
e.exe
2008-02-27 21:01 . 2007-10-03
23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.
exe
2008-02-27 20:43 . 2008-02-27 20:43 <REP> d-------- C:\Program Files\Trend Micro
2008-02-25 10:25 . 2008-02-25 10:25 <REP> d-------- C:\VundoFix Backups
2008-02-23 21:47 . 2008-02-23 21:47 <REP> d-------- C:\Documents and Settings\Mehdi\Application Data\SystemRequirementsLab
2008-02-23 17:11 . 2008-02-23 18:23 <REP> d-------- C:\Program Files\Dofus
2008-02-23 15:38 . 2008-02-23 15:38 <REP> d-------- C:\Program Files\Lavasoft
2008-02-23 15:38 . 2008-02-23 15:40 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-02-23 15:37 . 2008-02-23 15:37 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-02-14 18:01 . 2008-02-14 18:01 <REP> d-------- C:\Program Files\Microsoft Games
2008-02-14 14:55 . 2008-02-14 14:55 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-02-14 14:55 . 2008-02-14 14:55 1,409 --a------ C:\WINDOWS\QTFont.for
2008-02-09 16:30 . 2008-02-09 16:34 <REP> d-------- C:\Program Files\mIRC
2008-02-09 16:30 . 2008-02-09 16:40 <REP> d-------- C:\Documents and Settings\Mehdi\Application Data\mIRC
2008-02-08 18:18 . 2008-02-08 18:18 <REP> d-------- C:\Program Files\Notepad++
2008-02-08 18:18 . 2008-02-08 18:30 <REP> d-------- C:\Documents and Settings\Mehdi\Application Data\Notepad++
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-22 20:02 --------- d-----w C:\Program Files\Opera
2008-02-15 12:00 --------- d-----w C:\Program Files\Mozilla Firefox 2 Beta 1
2008-01-20 16:42 --------- d-----w C:\Program Files\Jwpce
2008-01-17 15:47 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-01-17 15:38 --------- d-----w C:\Program Files\Video mp3 Extractor
2008-01-17 15:35 --------- d-----w C:\Program Files\WinMPG VideoConvert
2008-01-17 15:34 --------- d-----w C:\Program Files\Konvertor
2008-01-11 19:24 --------- d-----w C:\Documents and Settings\Mehdi\Application Data\Smart Panel
2008-01-04 19:47 --------- d-----w C:\Program Files\Easy CD-DA Extractor 11
2008-01-04 19:39 --------- d-----w C:\Program Files\winLAME
2008-01-04 19:13 --------- d-----w C:\Program Files\Illustrate
2008-01-04 19:13 --------- d-----w C:\Documents and Settings\Mehdi\Application Data\AccurateRip
2008-01-04
19:12 4,230,520 ----a-w C:\WINDOWS\system32\SpoonU
ninstall.exe
2007-12-28 16:36 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-28 16:36 --------- d-----w C:\Program Files\epson
2007-12-28 16:34 --------- d-----w C:\Documents and Settings\All Users\Application Data\UDL
2007-12-28 16:32 --------- d-----w C:\Program Files\ArcSoft
2007-12-28 16:31 --------- d-----w C:\Program Files\Smart Panel
2007-12-14
10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.
exe
2007-12-07
00:47 670,208 ----a-w C:\WINDOWS\system32\wininet.
dll
2007-12-04
18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32
.dll
2007-11-13 15:37 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-10-23 19:57 75,776 ---ha-w C:\Documents and Settings\Mehdi\Application Data\rbqt450.DLL
2006-10-23 19:57 64,512 ---ha-w C:\Documents and Settings\Mehdi\Application Data\rbap450.dll
2006-10-23 19:57 61,440 ---ha-w C:\Documents and Settings\Mehdi\Application Data\Y_Strings170b3.dll
2006-10-23 19:57 57,344 ---ha-w C:\Documents and Settings\Mehdi\Application Data\Y_NthFields170b3.dll
2006-10-23 19:57 57,344 ---ha-w C:\Documents and Settings\Mehdi\Application Data\rbmysql450.DLL
2006-10-23 19:57 3,982,336 ---ha-w C:\Documents and Settings\Mehdi\Application Data\MePLUG.DLL
2004-02-15 18:59 1,110,016 ----a-w C:\Program Files\mplayerc.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg
)))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
- Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run]
"LDM"="C:\Program Files\Logitech\Desktop
Messenger\8876480\Program\LogitechDesktopMessenger
.exe" [2007-02-18 00:18 67128]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2004-10-08 11:06 196608]
"Axis
Wma"="C:\DOCUME~1\Mehdi\APPLIC~1\32MULT~1\infoprog
ramlies.exe" [2007-11-12 19:07 546304]
"msnmsgr"="C:\PROGRA~1\MSNMES~1\msnmsgr.exe" [2007-01-19 11:55 5674352]
"SpySpotter"="C:\Program Files\SpySpotter3\SpySpotter.exe" [ ]
"SpySpotter System Defender"="C:\Program Files\SpySpotter3\Defender.exe" [ ]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-08-18 10:49 307200]
"VoipDiscount"="C:\Program
Files\VoipDiscount.com\VoipDiscount\VoipDiscount.e
xe" [ ]
"RocketDock"="C:\Program Files\RocketDock\RocketDock.exe" [2007-03-18 23:05 630784]
"Octoshape Streaming Services"="C:\Program Files\Octoshape Streaming Services\Mehdi\OctoshapeClient.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-05-14 12:20 55296 C:\WINDOWS\SOUNDMAN.EXE]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 10:52 221184]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-10-08 11:31 458752]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-10-08 11:24 217088]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e
xe" [2001-07-09 10:50 155648]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2005-09-17 09:39 917504]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-30 08:41 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41 45056]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-11-11 19:11 185896]
"else tool title ping"="C:\Documents and Settings\All Users\Application Data\Loud spam else tool\Body Dart.exe" [2008-01-25 18:04 1699328]
"EPSON Stylus Photo RX420
Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\
3\E_FATI9CE.exe" [2004-04-09 04:00 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cu
rrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]
C:\Documents and Settings\Mehdi\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop
Messenger\8876480\Program\LogitechDesktopMessenger
.exe [2007-02-18 00:18:57 67128]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dl
l 2001-12-20 23:34 24576
C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dl
l
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll
[HKLM\~\services\sharedaccess\parameters\firewallp
olicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Logitech\\Desktop
Messenger\\8876480\\Program\\LogitechDesktopMessen
ger.exe"=
"C:\\Program Files\\BitComet\\BitComet.exe"=
"C:\\Program Files\\Opera\\Opera.exe"=
"C:\\WINDOWS\\explorer.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\Microsoft Games\\Halo\\halo.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallp
olicy\standardprofile\GloballyOpenPorts\List]
"5555:TCP"= 5555:TCP:Dofus
"444:TCP"= 444:TCP:Dofus
"80:TCP"= 80:TCP:Dofus
S3
pohci13F;pohci13F;C:\DOCUME~1\Mehdi\LOCALS~1\Temp\
pohci13F.sys [2004-03-12 12:28]
.
- ***********************************************
- *********************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 21:42:14
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
- ***********************************************
- *********************
.
Temps d'accomplissement: 2008-02-27 21:44:11
ComboFix-quarantined-files.txt 2008-02-27 20:43:56
.
2008-02-18 11:46:53 --- E O F ---
EvilElf t'aidera plus tard.
Fais ceci :
http://www.malekal.com/SpySpotter.php
En ce qui conçerne Spyspotter, je ferais sa demain ^^.
Merci de ton aide wiwi77 !
et pour le reste bah je fais confiance à EvilElf.
Up du matin.
Plus de SpySpotter ?
- Aide à l'achat Mac
- Création de Jeux
- Linux
- Programmation
- Création de sites web
- Internet
- Steam Deck
- Macintosh
- Hardware