Index du forum Protection et virus Antivirus Virus ? ou malware?

Virus ? ou malware?

Modérateurs: ExpertDuForum, insertech-mod-internes


Message Jeu Sep 25, 2008 1:43 pm

Messages: 257
Bonjour

seulement l'action combofix a fonctionné
en espérant que nous n,avons plus d'intervention à faire
présentement internet explorer fonctionne très bien.

merci beaucoup!!!!!!!! :) :lol: :lol:

voici le rapport

ComboFix 08-09-25.01 - winxp 2008-09-25 13:14:56.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.257 [GMT -4:00]
Lancé depuis: C:\Documents and Settings\winxp\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
* Resident AV is active


AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((((((((( Fichiers créés du 2008-08-25 au 2008-09-25 ))))))))))))))))))))))))))))))))))))
.

2008-09-24 18:14 . 2008-09-24 18:14 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-23 20:55 . 2008-09-23 20:55 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-23 20:55 . 2008-09-23 20:55 <REP> d-------- C:\WINDOWS\system32\bits
2008-09-23 20:55 . 2008-09-23 20:55 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-23 20:53 . 2008-09-23 20:56 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-09-23 20:45 . 2008-09-23 20:45 <REP> d-------- C:\WINDOWS\EHome
2008-09-23 19:53 . 2008-09-23 19:53 <REP> d-------- C:\Program Files\Trend Micro
2008-09-23 19:37 . 2004-08-04 00:38 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-09-22 19:58 . 2008-09-23 20:18 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-09-22 15:25 . 2008-09-22 15:25 71,815 --a------ C:\WINDOWS\system32\kedsnbrcadqx.exe
2008-09-22 11:46 . 2008-09-22 11:46 167,936 --a------ C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll
2008-09-21 17:05 . 2008-09-21 17:05 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-09-21 16:03 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-21 15:47 . 2008-09-22 16:21 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-09-21 15:41 . 2008-09-22 16:27 <REP> d-------- C:\Program Files\Fichiers communs\Softwin
2008-09-21 15:38 . 2008-09-21 15:40 <REP> d-------- C:\Documents and Settings\winxp\DoctorWeb
2008-09-21 15:37 . 2008-09-21 15:37 77,824 --a----t- C:\WINDOWS\system32\DRWEBSP.DLL
2008-09-21 14:03 . 2008-09-21 14:03 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Grisoft
2008-09-21 13:43 . 2008-09-21 13:43 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-09-21 13:33 . 2008-09-21 13:33 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-19 21:58 . 2005-12-23 10:42 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-09-19 21:58 . 2005-12-23 10:42 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-09-19 21:58 . 2005-12-23 15:51 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-09-19 21:58 . 2005-12-23 10:42 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-19 21:58 . 2005-12-23 10:42 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-09-19 21:58 . 2005-12-23 10:42 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-19 21:58 . 2005-12-23 10:42 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-09-19 21:58 . 2008-09-19 21:58 <REP> d-------- C:\Documents and Settings\Administrateur
2008-09-14 18:56 . 2008-09-14 18:56 36,864 --a------ C:\WINDOWS\system32\drivers\tdssserv.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 19:34 --------- d-----w C:\Program Files\MSN Messenger
2008-09-21 20:06 --------- d-----w C:\Program Files\Google
2008-09-21 20:03 --------- d-----w C:\Program Files\Java
2008-09-21 19:37 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-21 17:17 --------- d-----w C:\Program Files\Windows Live Safety Center
2007-12-19 21:54 36,900,896 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-12-19 21:54 2,904,096 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0af46236-cd88-1ca6-6987-2dc46bb81c1c}]
2008-09-22 11:46 167936 --a------ C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 15360]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-10-29 86016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"SSBkgdUpdate"="C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"SetDefPrt"="C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe" [2004-05-25 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2004-07-20 851968]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 81920]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-12-19 949376]
"nwiz"="nwiz.exe" [2004-10-29 C:\WINDOWS\system32\nwiz.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\StubInstaller.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=

.
.
------- Examen supplémentaire -------
.
FireFox -: Profile - C:\Documents and Settings\winxp\Application Data\Mozilla\Firefox\Profiles\3obzqc8e.default\
FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-25 13:20:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

PROCESSUS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Autres processus actifs ------------------------
.
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
.
**************************************************************************
.
Heure de fin: 2008-09-25 13:29:30 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-09-25 17:29:24

Avant-CF: 8ÿ838ÿ828ÿ032 octets libres
Après-CF: 8,823,214,080 octets libres

131 --- E O F --- 2008-09-24 20:14:07
Marlo

Message Jeu Sep 25, 2008 1:56 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonjour.

Bien content de vous "l'entendre dire" :D En espérant que ça continue! Donc c"était une infection de type similaire à Smithfraud. Faites attention avec Msn messenger, c'est souvent la porte d'entrée de votre machine!. J'aimerais que vous me faite parvenir sur le forum, un log de Hijackthis, pour voir si la ligne responsable est belle et bien partie.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Jeu Sep 25, 2008 3:34 pm

Messages: 257
Je vais vous envoyer bientôt

Que supprimeriez-vous du démarrage?
Je peux le faire via ccleaner, svp. me dire sur quoi cliquer après avoir sélectionné l'élément à enlever.

merci
Marlo

Message Jeu Sep 25, 2008 4:11 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonjour.

Envoyez-moi le log Hijackthis, et je vous direz quoi supprimer du démarrage via Hijackthis. Le démarrage de votre ordi sera beaucoup plus rapide!
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Jeu Sep 25, 2008 5:59 pm

Messages: 257
voici le HiJackThis

nous serons de retour avec l'ordi de moins en moins fantome lundi prochain
merci
et à notre retour nous vérifierons pour enlever les éléments non essentiels au démarrage et si vous suggérez autre chose suite à ce rapport nous le ferons. merci merci merci.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:13, on 2008-09-25
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\Eset\nod32.exe
C:\Program Files\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: addestination browser enhancer - {0af46236-cd88-1ca6-6987-2dc46bb81c1c} - C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [cgaeshockz] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll" EntryPoint
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-U ... E_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 6922 bytes
Marlo

Message Jeu Sep 25, 2008 7:13 pm

Messages: 257
la ligne est toujours présente mais l'ordi va bien et internet explorer se comporte adéquatement pour naviguer
nous avons scan en mode sans échec avec nod32 avec la fonction heuristique et il a supprimé 7 éléments néfastes
bonne soirée !
Marlo

Message Jeu Sep 25, 2008 7:32 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
À supprimer:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [cgaeshockz] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll" EntryPoint

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab


La ligne 04 est revenu, au moins votre navigateur va mieux, mais on a encore cette ligne. Commencez par supprimer les lignes suggérées, et je reviens avec quelque chose d'autre. Mais envoyez-moi un autre log après avoir supprimer les lignes que je vous ai dit. Il est possible que la ligne en question disparaisse vu que des fichiers infectés dans le fichier "system32" ont été supprimés avec Combofix.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Jeu Sep 25, 2008 7:41 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Bonsoir.

Vous allez cliquer sur:

Démarrer.

Rechercher.

Cliquez sur "Tout les fichiers et tout les dossiers".

Dans la boîte ou le curseur clignotte tapez "ppokqlkbrpjjsiyps" mais sans les guillemets. Si quelque chose est trouvé, cliquez de droite dessus, ensuite cliquez sur Ouvrir dossier contenant..." Si quelque chose est trouvé supprimez-le.

Ensuite, téléchargez SDFix sur votre bureau:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe

Double-cliquez sur SDFix.exe pour lancer l'installation.

Cliquez sur Install : cela va créer un dossier (à la racine du disque dur par défaut) nommé SDFix
Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec. Une fois en mode sans échec, double-cliquez sur RunThis.bat

Tapez Y puis appuyez sur la touche Entrée de votre clavier, afin de lancer le nettoyage !

SDFix va procéder au nettoyage, soyez patient...

Cette fenêtre vous indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage.

Appuyez sur une touche de votre clavier pour redémarrer le PC.

Au redémarrage de votre PC, SDFix vous indique que le nettoyage est terminé.

Appuyez sur une touche de votre clavier afin d'ouvrir le rapport créé par SDFix.

postez ce rapport.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Jeu Sep 25, 2008 8:43 pm

Messages: 257
Marc a écrit:
À supprimer:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [cgaeshockz] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll" EntryPoint

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab


La ligne 04 est revenu, au moins votre navigateur va mieux, mais on a encore cette ligne. Commencez par supprimer les lignes suggérées, et je reviens avec quelque chose d'autre. Mais envoyez-moi un autre log après avoir supprimer les lignes que je vous ai dit. Il est possible que la ligne en question disparaisse vu que des fichiers infectés dans le fichier "system32" ont été supprimés avec Combofix.


Bonsoir,
1. Si je comprends bien je supprime tous les éléments après avoir lancé HiJackThis et en mettant un crochet puis supprimer.
2. ce lien n'ouvre pas et à quoi il sert, http://messenger.zone.msn.com/binary/Mi ... b31267.cab[/color]
Nous allons procéder à cette technique à notre retour de voyage à NY mais en début de semaine nous allons faire la correction et vous revenir avec un log.
Marlo

Message Jeu Sep 25, 2008 8:47 pm

Messages: 257
Marc a écrit:
Bonsoir.

Vous allez cliquer sur:

Démarrer.

Rechercher.

Cliquez sur "Tout les fichiers et tout les dossiers".

Dans la boîte ou le curseur clignotte tapez "ppokqlkbrpjjsiyps" mais sans les guillemets. Si quelque chose est trouvé, cliquez de droite dessus, ensuite cliquez sur Ouvrir dossier contenant..." Si quelque chose est trouvé supprimez-le.

Ensuite, téléchargez SDFix sur votre bureau:
http://downloads.andymanchesta.com/Remo ... /SDFix.exe

Double-cliquez sur SDFix.exe pour lancer l'installation.

Cliquez sur Install : cela va créer un dossier (à la racine du disque dur par défaut) nommé SDFix
Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec. Une fois en mode sans échec, double-cliquez sur RunThis.bat

Tapez Y puis appuyez sur la touche Entrée de votre clavier, afin de lancer le nettoyage !

SDFix va procéder au nettoyage, soyez patient...

Cette fenêtre vous indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage.

Appuyez sur une touche de votre clavier pour redémarrer le PC.

Au redémarrage de votre PC, SDFix vous indique que le nettoyage est terminé.

Appuyez sur une touche de votre clavier afin d'ouvrir le rapport créé par SDFix.

postez ce rapport.


je vous reviens avec ce log en début de semaine.
cela vous permettra de vous reposer de nos emails...
je vois que vous êtes entrain de faire le grand ménage de la machine... est ce seulement des virus ou une mauvaise installation système ?
De plus revenez moi avec les éléments à enlever au démarrage.
merci
Marlo

Message Jeu Sep 25, 2008 9:00 pm

Messages: 257
Marc a écrit:
À supprimer:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl04a\BrStDvPt.exe

O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun

O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [cgaeshockz] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ppokqlkbrpjjsiyps.dll" EntryPoint

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab


La ligne 04 est revenu, au moins votre navigateur va mieux, mais on a encore cette ligne. Commencez par supprimer les lignes suggérées, et je reviens avec quelque chose d'autre. Mais envoyez-moi un autre log après avoir supprimer les lignes que je vous ai dit. Il est possible que la ligne en question disparaisse vu que des fichiers infectés dans le fichier "system32" ont été supprimés avec Combofix.


OK je viens de comprendre que cette liste permettra un démarrage plus rapide
merci et seulement le site qui ne fonctionne pas de messenger .
Marlo

Message Ven Sep 26, 2008 12:12 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Marlo a écrit:
et seulement le site qui ne fonctionne pas de messenger .


Qu'est-ce que vous voulez dire?
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

Message Lun Sep 29, 2008 10:05 am

Messages: 257
ce lien ne fonctionne pas
http://messenger.zone.msn.com/binary/Mi ... b31267.cab

à quoi sert il ?

merci
Marlo

Message Lun Sep 29, 2008 5:14 pm
Pierre Legault Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 16297
Localisation: a 2 min. de Insertech

Les fichiers d'extension CAB (pour Cabinet) sont des fichiers archives compressés de Microsoft. On les retrouve par exemple sur les cédéroms d'installation de Microsoft Windows, ou de Microsoft Office. Le format de fichier CAB accepte trois méthodes de compression de données.
JE NE LIS AUCUN MESSAGES PRIVÉ..... ILS SONT SUPPRIMÉS
S.V.P. ne me Dites pas "ÇA MARCHE PAS"...Expliquez plutôt ce qui s'est passé MERCI
Tutoriel MalwareByte
Tutoriel AdwCleaner
Tutoriel CCleaner

Message Lun Sep 29, 2008 7:22 pm
Marc Avatar de l’utilisateur
Expert Administrateur du Forum
Expert Administrateur du Forum

Messages: 9374
Localisation: Saint-Jean-Sur-Richelieu
Marlo a écrit:
ce lien ne fonctionne pas
http://messenger.zone.msn.com/binary/Mi ... b31267.cab

à quoi sert il ?

merci


Moi ça dit: The page cannot be found. L'explication de PAPY, est juste.
Un bon avocat connait la loi, mais le meilleur lui, y connait le juge.

Image

PrécédenteSuivante

Retourner vers Antivirus

 

cron