[TR\Vilsel.aejm] et Your protection

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

aolantuo

Re: [TR\Vilsel.aejm] et Your protection

par aolantuo »

Remover fix: ok!

Avenger: au rédémarrage windows dit qu'il y a des nouveaux périphériques et qu'il faut redémarrer pour compléter l'installation. Il demande si je veux redémarrer tout de suite, je dit Non.
Voici le rapport:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "c:\system volume information\_restore{d5fffa500b1b}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Pour Combofix, voici le rapport:

ComboFix 10-05-23.08 - Joël 24/05/2010 17:42:05.5.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.541 [GMT 2:00]
Lancé depuis: c:\documents and settings\Joël\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-24 au 2010-05-24 ))))))))))))))))))))))))))))))))))))
.

2010-05-23 10:31 . 2010-05-23 10:31 -------- d-----w- c:\windows\Sun
2010-05-22 11:40 . 2010-05-22 11:45 -------- d-----w- C:\HiJack This
2010-05-21 12:47 . 2008-04-14 02:34 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-05-21 12:47 . 2008-04-14 02:34 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-05-19 18:06 . 2010-05-19 18:06 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-05-18 18:30 . 2010-05-18 18:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Bluetooth
2010-05-18 18:28 . 2010-05-18 18:28 -------- d-----w- c:\program files\IVT Corporation
2010-05-18 13:53 . 2010-05-18 13:53 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-16 23:12 . 2010-05-16 23:13 -------- d-----w- c:\program files\iTunes
2010-05-16 23:08 . 2010-05-16 23:09 -------- d-----w- c:\program files\Apple Software Update
2010-05-16 23:08 . 2010-05-16 23:08 -------- d-----w- c:\program files\Bonjour
2010-05-16 23:07 . 2010-05-16 23:12 -------- d-----w- c:\program files\Fichiers communs\Apple
2010-05-16 23:07 . 2010-05-16 23:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2010-05-16 22:39 . 2010-05-16 23:10 -------- d-----w- c:\program files\QuickTime
2010-05-16 22:37 . 2010-05-16 23:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
2010-05-16 22:36 . 2004-12-18 18:32 38229 ------w- c:\windows\system32\drivers\StMp3Rec.sys
2010-05-16 22:36 . 2010-05-16 23:12 -------- d-----w- c:\program files\iPod
2010-05-16 22:33 . 2010-05-16 22:36 -------- d-----w- c:\windows\Downloaded Installations
2010-05-16 11:04 . 2010-05-16 11:04 -------- d-----w- C:\watcom-1.3
2010-05-16 11:04 . 2010-05-16 11:04 36864 ----a-w- c:\windows\system32\maplec.dll
2010-05-16 11:04 . 2010-05-16 11:04 155648 ----a-w- c:\windows\system32\WMIMPLEX.dll
2010-05-16 11:03 . 2010-05-16 11:04 -------- d-----w- c:\program files\Maple 10
2010-05-16 11:01 . 2010-05-16 11:04 -------- d--h--w- c:\program files\Zero G Registry
2010-05-15 19:59 . 2010-05-23 21:27 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData
2010-05-14 22:23 . 2010-05-14 22:23 -------- d-----w- c:\windows\system32\LogFiles
2010-05-14 16:29 . 2010-05-15 12:23 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2010-05-13 20:16 . 2010-05-13 20:16 -------- d-sh--w- c:\windows\system32\config\systemprofile\PrivacIE
2010-05-03 18:48 . 2010-05-03 18:49 23797 ----a-w- c:\windows\hpqins15.dat
2010-05-03 18:42 . 2010-05-03 18:42 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant
2010-05-03 18:39 . 2010-05-03 18:43 78334 ----a-w- c:\windows\hpqins05.dat
2010-05-02 18:35 . 2010-05-02 18:35 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2010-05-02 18:17 . 2010-05-02 18:17 -------- d-----w- c:\program files\Adobe Media Player
2010-05-02 18:15 . 2010-05-02 18:15 -------- d-----w- c:\program files\Fichiers communs\Adobe AIR
2010-05-02 18:09 . 2010-05-02 18:09 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared
2010-05-01 21:03 . 2010-05-01 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\WEBREG
2010-05-01 20:58 . 2010-05-03 19:36 -------- d-----w- c:\documents and settings\All Users\Application Data\HP
2010-05-01 20:57 . 2008-10-23 18:34 16496 ----a-r- c:\windows\system32\drivers\hpzipr12.sys
2010-05-01 20:56 . 2008-10-24 09:48 118272 ----a-w- c:\windows\system32\hpz3l696.dll
2010-05-01 20:56 . 2008-10-24 09:48 321536 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\hpzpp696.dll
2010-05-01 20:56 . 2008-10-23 18:35 271704 ----a-r- c:\windows\system32\hpzids01.dll
2010-05-01 20:56 . 2008-10-23 18:34 21568 ----a-r- c:\windows\system32\drivers\HPZius12.sys
2010-05-01 20:56 . 2008-10-23 18:34 372736 ----a-r- c:\windows\system32\hppldcoi.dll
2010-05-01 20:56 . 2008-10-23 18:34 309760 ----a-r- c:\windows\system32\difxapi.dll
2010-05-01 20:56 . 2008-10-23 18:34 737280 ----a-r- c:\windows\system32\hposwia_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 974848 ----a-r- c:\windows\system32\hpost_p01a.dll
2010-05-01 20:56 . 2008-10-23 18:34 307200 ----a-r- c:\windows\system32\hposc_p01a.dll
2010-05-01 19:44 . 2010-05-16 23:13 -------- dc----w- c:\windows\system32\DRVSTORE
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\HP
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Fichiers communs\Hewlett-Packard
2010-05-01 19:44 . 2010-05-01 19:44 -------- d-----w- c:\program files\Hewlett-Packard
2010-05-01 19:43 . 2010-05-01 21:01 -------- d-----w- c:\program files\HP
2010-05-01 19:42 . 2008-04-13 18:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 -c--a-w- c:\windows\system32\dllcache\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:47 25856 ----a-w- c:\windows\system32\drivers\usbprint.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-05-01 19:42 . 2008-04-13 18:45 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-05-01 19:35 . 2010-05-01 21:11 167493 ----a-w- c:\windows\hpoins30.dat
2010-05-01 19:35 . 2008-12-05 02:52 547 ------w- c:\windows\hpomdl30.dat
2010-04-28 21:56 . 2010-04-28 21:56 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2010-04-28 13:45 . 2010-04-28 13:45 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe
2010-04-27 23:37 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2010-04-27 23:37 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-19 18:07 . 2006-02-23 15:56 -------- d-----w- c:\program files\Fichiers communs\Java
2010-05-19 18:06 . 2006-02-23 15:56 -------- d-----w- c:\program files\Java
2010-05-16 22:45 . 2006-02-23 12:47 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-16 11:12 . 2010-04-17 11:38 -------- d-----w- c:\program files\uTorrent
2010-05-14 12:47 . 2010-04-12 13:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-14 12:46 . 2006-02-23 02:15 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-13 20:05 . 2006-02-23 02:15 1037824 ----a-w- c:\windows\explorer.exe
2010-05-11 23:09 . 2010-04-14 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-02 19:10 . 2006-02-23 16:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Adobe-BackupByPhotoshopPortable
2010-05-02 18:24 . 2006-02-23 16:00 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-29 13:39 . 2010-04-12 13:00 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-04-12 13:00 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 21:51 . 2010-04-14 19:04 -------- d-----w- c:\program files\Microsoft Works
2010-04-24 19:07 . 2006-02-23 02:15 97006 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-24 19:07 . 2006-02-23 02:15 536072 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-19 20:01 . 2006-02-23 16:11 -------- d-----w- c:\program files\Google
2010-04-18 15:18 . 2010-04-14 07:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Autodesk
2010-04-17 11:52 . 2010-04-17 11:52 -------- d-----w- c:\program files\VideoLAN
2010-04-14 19:02 . 2010-04-14 19:02 -------- d-----w- c:\program files\Microsoft.NET
2010-04-14 08:12 . 2010-04-14 07:46 -------- d-----w- c:\program files\Fichiers communs\Autodesk Shared
2010-04-14 08:11 . 2010-04-14 07:58 -------- d-----w- c:\program files\AutoCAD Architecture 2009
2010-04-14 08:05 . 2010-04-14 08:05 -------- d-----w- c:\program files\Common Files
2010-04-14 07:55 . 2010-04-14 07:55 -------- d-----w- c:\program files\MSBuild
2010-04-14 07:51 . 2010-04-14 07:51 -------- d-----w- c:\program files\Reference Assemblies
2010-04-14 07:46 . 2010-04-14 07:46 -------- d-----w- c:\program files\Autodesk
2010-04-14 07:20 . 2010-04-14 07:20 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-04-14 07:20 . 2010-04-14 07:20 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-14 07:18 . 2010-04-14 07:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-04-12 17:05 . 2006-02-23 10:28 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-04-12 16:50 . 2010-04-11 19:16 -------- d-----w- c:\program files\GDS
2010-04-12 13:00 . 2010-04-12 13:00 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-04-11 20:32 . 2010-04-11 20:32 -------- d-----w- c:\program files\MSXML 4.0
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-04-11 19:18 . 2006-02-23 16:13 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Norton Ghost
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Symantec
2010-04-11 19:17 . 2010-04-11 19:17 -------- d-----w- c:\program files\Skype
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\program files\AOL 9.0
2010-04-11 19:17 . 2010-04-11 17:51 -------- d-----w- c:\documents and settings\All Users\Application Data\AOL
2010-04-11 19:17 . 2010-04-11 17:50 -------- d-----w- c:\program files\Fichiers communs\AOL
2010-04-11 19:15 . 2006-02-23 15:57 -------- d-----w- c:\program files\Sony
2010-04-11 17:50 . 2010-04-11 17:50 335 ----a-w- c:\windows\nsreg.dat
2010-04-11 17:33 . 2010-04-11 17:13 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\program files\Avira
2010-04-11 17:13 . 2010-04-11 17:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2010-04-11 14:36 . 2006-02-23 16:14 10344 ----a-w- c:\windows\system32\drivers\symlcbrd.sys
2010-04-11 14:30 . 2006-02-23 15:54 -------- d-----w- c:\program files\Fichiers communs\Sony Shared
2010-04-11 14:29 . 2010-04-11 14:29 -------- d-----w- c:\program files\Microsoft SQL Server
2010-04-11 14:27 . 2010-04-11 14:27 -------- d-----w- c:\documents and settings\All Users\Application Data\VAIO Media Platform
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Fichiers communs\Sonic Shared
2010-04-11 14:24 . 2010-04-11 14:24 -------- d-----w- c:\program files\Roxio
2010-04-11 14:19 . 2010-04-11 14:19 0 ---ha-r- c:\windows\system32\drivers\Sony_VGN-FS515B.mrk
2010-04-11 14:19 . 2010-04-11 14:19 -------- d-----w- c:\program files\Raccourcis de programmes
2010-04-08 11:20 . 2010-04-08 11:20 91424 ----a-w- c:\windows\system32\dnssd.dll
2010-04-08 11:20 . 2010-04-08 11:20 107808 ----a-w- c:\windows\system32\dns-sd.exe
2010-03-10 06:16 . 2006-02-23 02:15 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2006-02-23 02:15 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2006-02-23 02:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

------- Sigcheck -------

[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . D9F19E78F98834CB411D6AD3C68D181A . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 2A5554FC5B1E04E131230E3CE035C3F9 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[-] 2005-05-25 . 88763A98A4C26C409741B4AA162720C9 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Joël\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-04-11 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2003-11-07 114688]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 45056]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-08-05 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-08-05 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-08-05 114688]
"SonyPowerCfg"="c:\program files\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 184320]
"ISBMgr.exe"="c:\program files\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"VAIO Update 2"="c:\program files\Sony\VAIO Update 2\VAIOUpdt.exe" [2005-10-11 151552]
"PDService.exe"="c:\program files\Utimaco\SafeGuard PrivateDisk\pdservice.exe" [2004-07-06 40960]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-01-26 52848]
"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 14720000]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 45056]
"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2007-04-10 1537640]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"AdobeCS4ServiceManager"="c:\program files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-04-28 142120]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-10-16 214360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 16:42 73728 ----a-w- c:\windows\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 PrivateDisk;PrivateDisk;c:\windows\system32\drivers\privatediskm.sys [06/07/2004 15:07 45627]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [11/04/2010 19:13 108289]
R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe -sVAIO_VEDB [?]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14/04/2010 09:20 691696]
S2 bzcppixypxame;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\wfqfhmruzndrsv.sys [?]
S2 dehuqw;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\czncamgltzx.sys [?]
S2 doihrll;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\ipjsmfvtlqeer.sys [?]
S2 dqetglqdjkqna;\??\c:\docume;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpiwds.sys [?]
S2 dtkivk;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\jpaftygtcfjs.sys [?]
S2 HPZipr12q;HPZipr12q;\??\c:\windows\System32\DRIVERS\HPZipr12q.sys --> c:\windows\System32\DRIVERS\HPZipr12q.sys [?]
S2 hvduz;\??\C;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\zvlgwuml.sys [?]
S2 qcormd;\??\C:;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\psspg.sys [?]
S2 rxtlkhztkwohqgx;\??\c:\docume~1;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\tvymdkcsbu.sys [?]
S2 swfprmspsyoh;\??\c:\docum;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\skknqvxz.sys [?]
S2 xmkacdy;\??\c:\;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\yhifitxat.sys [?]
S2 yfopiuyyd;\??\c:\do;\??\c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys --> c:\docume~1\JOL~1\LOCALS~1\Temp\bnvcieseews.sys [?]
S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB --> c:\program files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE -i VAIO_VEDB [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.club-vaio.com/fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://www.club-vaio.com/fr/
uInternet Settings,ProxyOverride = *.local
IE: &Traduire à partir de l'anglais - c:\program files\Google\GoogleToolbar1.dll/cmwordtrans.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Pages liées - c:\program files\Google\GoogleToolbar1.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\Google\GoogleToolbar1.dll/cmsimilar.html
IE: Recherche &Google - c:\program files\Google\GoogleToolbar1.dll/cmsearch.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\Google\GoogleToolbar1.dll/cmcache.html
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
.
.
------- Associations de fichier -------
.
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-24 17:49
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,b9,8b,89,e2,86,11,33,4a,83,64,a7,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1108)
c:\windows\system32\VESWinlogon.dll
c:\program files\Fichiers communs\Adobe\Adobe Drive CS4\AdobeDriveCS4_NP.dll

- - - - - - - > 'explorer.exe'(2180)
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-05-24 17:52:43
ComboFix-quarantined-files.txt 2010-05-24 15:52
ComboFix2.txt 2010-05-22 17:17
ComboFix3.txt 2010-05-22 14:49
ComboFix4.txt 2010-05-22 11:13
ComboFix5.txt 2010-05-24 15:38

Avant-CF: 28 138 512 384 octets libres
Après-CF: 28 224 794 624 octets libres

- - End Of File - - 2AD76C7C78CF383BFA7E9B83C9D3A3F7

Pour remover, voici le screenshot:
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Haut
Malekal_morte
Messages : 116928
Inscription : 10 sept. 2005 13:57

Re: [TR\Vilsel.aejm] et Your protection

par Malekal_morte »

Bon Combofix liste pas les processus, mais ça doit aller mieux.
Il faudrait voir si tu as encore des détections sur ces fichiers :
C:\System Volume Information\_restore{d5fffa500b1b}\smss.VIR Infected: Trojan-Clicker.Win32.Cycler.ajnt 1
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt 1
Tu peux verif avec Antivir ?

Normalement ce malware ouvre des popups de publicités, faudrait voir si c'est encore le cas.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
aolantuo

Re: [TR\Vilsel.aejm] et Your protection

par aolantuo »

Salut,

après la dernière étape, j'avais encore quelques soucis:
-beaucoup de processus en cours, toujours les 12 svchost
-mon son wave se mettait à zéro tout seul (une chose qui se passe depuis que j'ai ces virus)

J'ai fait un scan complet avec AntiVir, qui a eu du succès (20 fichiers ou programmes indésirables trouvés et 7 mises en quarantaine).
Pour info voici un bref extrait du rapport:

Début de la désinfection :
C:\Qoobox.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c69e350.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Documents\Settings\cbss.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c6de344.qua' !
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Documents\Settings\_cbss_.dll.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c5ce345.qua' !
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\smss.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Vilsel.aejm
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c6de34f.qua' !
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\svchost.exe.vir
[RESULTAT] Contient le cheval de Troie TR/Vilsel.aejm
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c5de358.qua' !
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\_smss_.exe.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c67e355.qua' !
C:\Qoobox\Quarantine\C\System Volume Information\_restore{d5fffa500b1b}\_svchost_.exe.zip
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c70e355.qua' !

Depuis la désinfection, je n'ai plus de message d'alerte AntiVir, plus de popup, je peux cliquer sur restauration du système, et le son wave ne se met pas à zéro tout seul.
De plus, j'ai inspecté les fichiers avec smss ou svchost dans leur nom, et aucune détection.

Mon ordinateur me semble guéri... PDT_015
Cependant, je vois que dans mes processus en cours j'ai 11 svchost.exe et 1 smss.exe...est-ce normal?

Je voulais aussi savoir si je devais prendre des précautions particulières si je veux rebrancher mon disque dur portable (qui, je crois, était à l'origine de l'infection pour laquelle je vous ai contactés).

Merci beaucoup pour ton (ou votre) aide!

Aolantuo
Haut
Malekal_morte
Messages : 116928
Inscription : 10 sept. 2005 13:57

Re: [TR\Vilsel.aejm] et Your protection

par Malekal_morte »

Plusieurs svchost c'est normal, tu en as un par groupe de services.
Faut couper les services, si tu réduire le nom/utilisation mémoire.

Pour le disque dur externe, vu qu'il semble infecté, oui faut faire qq chose.

Utilise open-config pour mettre autorun/autoplay en désactiver: http://forum.malekal.com/open-config-t23668.html
Redémarre l'ordinateur.

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

* Les infections par disques amovibles

* Les infections par disques amovibles 2

* Sécurité : Maitriser ses médias amovibles


Il te faut maintenant nettoyer tes clefs USB/disques dur externes, insère les, puis suis le tutorial USBFix et poste les rapports ici : https://www.malekal.com/tutorial_USBFix.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
aolantuo

Re: [TR\Vilsel.aejm] et Your protection: disques ext

par aolantuo »

Bonjour,
Voici le rapport du scan par Usb-fix de mon disque dur ainsi que de ma clé usb. Le disque dur contient probablement la même infection qui a contaminé mon ordinateur.

############################## | UsbFix 7.038 | [Recherche]

Utilisateur: Joël (Administrateur) # NILS [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 18:33:19 | 06/02/2011
Site Web: http://www.teamxscript.org
Contact: [email protected]

CPU: Intel(R) Pentium(R) M processor 1.73GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: Norton Internet Worm Protection 2006 [(!) Disabled]
RAM -> 1014 Mo
C:\ (%systemdrive%) -> Disque fixe # 47 Go (23 Go libre(s) - 50%) [VAIO] # NTFS
D:\ -> Disque fixe # 21 Go (30 Mo libre(s) - 0%) [VAIO] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 466 Go (368 Go libre(s) - 79%) [LaCie] # NTFS
I:\ -> Disque amovible # 2 Go (2 Go libre(s) - 97%) [UDISK 2.0] # FAT

################## | Éléments infectieux |


Présent! C:\WINDOWS\system32\gearsec.exe

################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{4b03656a-6fdc-11df-bd22-001167b2af86}
Shell\AutoRun\Command = G:\nastavi\\palili.exe
Shell\explore\Command = G:\nastavi\\\palili.exe
Shell\open\Command = G:\nastavi\\\palili.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{8a5be7c4-6efa-11df-bd20-001167b2af86}
Shell\AutoRun\Command = G:\nastavi\\palili.exe
Shell\explore\Command = G:\nastavi\\\palili.exe
Shell\open\Command = G:\nastavi\\\palili.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


Merci d'avance,

Aolantuo
Haut
Malekal_morte
Messages : 116928
Inscription : 10 sept. 2005 13:57

Re: [TR\Vilsel.aejm] et Your protection

par Malekal_morte »

de Malekal_morte » 25 Mai 2010 21:48
Message de aolantuo » 06 Fév 2011 18:46
\o/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
aolantuo

Re: [TR\Vilsel.aejm] et Your protection

par aolantuo »

Oui, ça fait longtemps en effet...:-)
Haut
Avatar de l’utilisateur
Topxm
Messages : 7658
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: [TR\Vilsel.aejm] et Your protection

par Topxm »

Salut,
Le pire aurait été de poster un rapport UsbFix datant de 2010 :)
Image
Haut
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »