Sujet Précédent Sujet Suivant

Downloader.Gen

Funfair -  
 Funfair -
Bonsoir à tous !

J'était déjà venu demander de l'aide sur ce forum et je sais à quel point l'aide est de qualité. Des experts sont dans la salle ^^ lol ! Je me souviens, c'est G!rly qui m'avait gentiment aidé à virer un spyware un peu coriace.

Bref, me revoila avec un nouveau virus... malheureusement. Tout à l'heure en surfant (et pas sur des sites sensibles !), en arrivant sur une page de JMaxHardware (site pourtant clean!) j'ai soudain eu une alerte d'Antivir me signalant le fichier nvaux32.dll comme un virus. Le virus détecté est "TR/Downloader.Gen".

Sur le coup, je fait refuser l'accès. Puis, je lance un scan avec Spybot. Celui-ci ne peut tout simplement pas effectuer une analyse d'une seule traite car il bloque toute les 2 secondes en ouvrant une alerte Antivir qui me resignale nvaux32.dll (si je fait "refuser l'accès", ça reprend pendant 2sec puis ça le refait). J'interrompt l'analyse Spybot et celui-ci me signale tout de même un Trojan : "Win32.Agent.icb"
Je fait Corriger les problèmes mais vous pensez bien qu'il est toujours là...

Ensuite, j'ai lancer un scan avec Antivir, et là, ce fut la cerise lol ! Il m'a détecté au moins 4 virus et ça a fini en faisant buguer tout l'ordi (yavé plus aucun texte nulle part lol). Dans un dernier élan d'espoir, j'ai fait un reset et ça a redémarrer normalement (ouf !). Mais les saletés sont toujours détectées. Au secours ! lol

Voici mon rapport HiJackThis (effectué en mode sans echec) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:21:44, on 29/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
c:\windows\explorer.exe
D:\Mes logiciels\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [Gainward] C:\Program Files\Vtune\TBPanel.exe /A
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: []
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS3\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS4\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

51 réponses

Précédent
Réponse 21 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Ouvre le bloc-notes et sélectionne le texte en citation.
Copie/colle ce texte dans le bloc-notes.
Enregistre le fichier sur le bureau et nomme-le CFScript.txt.

File::
c:\windows\system32\2rg3.es
c:\windows\system32\ef3p.ee
c:\windows\system32\zred.pa
c:\windows\system32\fks.as
c:\windows\system32\4rr.pa
c:\windows\system32\gr1.e
c:\windows\system32\dllcache\user32.dll

2) Vérifie que l'icone de Combofix se trouve également sur le bureau, sinon, tu retélécharges combofix et tu l'enregistres aussi sur le bureau.
Glisse/dépose le script sur ComBoFix Comme indiqué sur le lien suivant.
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Tu suis les invites.
Ton bureau va disparaître à plusieurs reprises. Normal.
Une fois le scan achevé, tu enregistres le rapport .

Si tu ne le trouves pas, il est en C:\Combofix.txt

3) Redémarre le PC.
A l'invite, choisis la console de récupération.

attends que la console apparaisse
- choisis le repertoire de windows que tu as installé
par exemple : 1 --> c:\windows
- tape ensuite successivement ceci puis valide :

rename C:\WINDOWS\system32\user32.DLL C:\WINDOWS\system32\user32.DLL.ren

copy C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll C:\WINDOWS\system32\user32.DLL

redémarre le PC puis lance un scan avec ton antivirus;

A+
0
Réponse 22 / 51
Funfair
 
Je suis dans l'invite de commande là (j'écris bien sur d'un autre pc)

Quand je tape "rename C:\WINDOWS\system32\user32.DLL C:\WINDOWS\system32\user32.DLL.ren" , il me dit "Le paramètre n'est pas valide. Essayez /? pour obtenir de l'aide"

Je fait quoi ? :S

Merci !
0
Réponse 23 / 51
Funfair
 
Autant pour moi, j'ai été dans l'aide, il fallait en fait taper "C:\WINDOWS\system32\user32.DLL user32.DLL.ren" , c'est à dire [lecteur:][chemin]nomdufichier1 nomdufichier2
0
Réponse 24 / 51
Funfair
 
Voila, les commandes sont faites. Ca, c'était le rapport de ComboFix :

ComboFix 08-12-31.01 - CKévin 2009-01-03 19:54:31.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1573 [GMT 1:00]
Lancé depuis: c:\documents and settings\CKévin\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\CKévin\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\windows\system32\2rg3.es
c:\windows\system32\4rr.pa
c:\windows\system32\dllcache\user32.dll
c:\windows\system32\ef3p.ee
c:\windows\system32\fks.as
c:\windows\system32\gr1.e
c:\windows\system32\zred.pa
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\2rg3.es
c:\windows\system32\4rr.pa
c:\windows\system32\dllcache\user32.dll
c:\windows\system32\ef3p.ee
c:\windows\system32\fks.as
c:\windows\system32\gr1.e
c:\windows\system32\zred.pa

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-03 au 2009-01-03 ))))))))))))))))))))))))))))))))))))
.

2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\documents and settings\CKévin\Tracing
2009-01-02 23:53 . 2009-01-02 23:53 <REP> d-------- c:\documents and settings\CKévin\Tracing
2008-12-30 20:53 . 2008-12-30 20:54 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-30 20:53 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-30 20:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-30 02:35 . 2008-12-30 02:35 <REP> d-------- c:\windows\ERUNT
2008-12-30 02:26 . 2008-12-30 04:11 <REP> d-------- C:\SDFix
2008-12-29 23:34 . 2008-12-29 23:34 <REP> d-------- C:\rsit
2008-12-29 18:01 . 2008-12-29 18:01 <REP> d-------- c:\program files\Avira
2008-12-29 18:01 . 2008-12-29 18:01 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2008-12-27 22:49 . 2008-12-27 22:49 <REP> d-------- c:\windows\Logs
2008-12-27 22:49 . 2007-03-12 16:42 3,495,784 --a------ c:\windows\system32\d3dx9_33.dll
2008-12-27 22:49 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll
2008-12-27 22:49 . 2006-09-28 16:05 2,414,360 --a------ c:\windows\system32\d3dx9_31.dll
2008-12-27 22:49 . 2007-03-12 16:42 1,123,696 --a------ c:\windows\system32\D3DCompiler_33.dll
2008-12-27 22:49 . 2007-03-15 16:57 443,752 --a------ c:\windows\system32\d3dx10_33.dll
2008-12-27 22:49 . 2007-04-04 18:55 261,480 --a------ c:\windows\system32\xactengine2_7.dll
2008-12-27 22:49 . 2007-01-24 15:27 255,848 --a------ c:\windows\system32\xactengine2_6.dll
2008-12-27 22:49 . 2006-12-08 12:02 251,672 --a------ c:\windows\system32\xactengine2_5.dll
2008-12-27 22:49 . 2006-09-28 16:05 237,848 --a------ c:\windows\system32\xactengine2_4.dll
2008-12-27 22:49 . 2006-07-28 09:30 236,824 --a------ c:\windows\system32\xactengine2_3.dll
2008-12-27 22:49 . 2006-07-28 09:30 62,744 --a------ c:\windows\system32\xinput1_2.dll
2008-12-27 22:49 . 2007-03-05 12:42 15,128 --a------ c:\windows\system32\x3daudio1_1.dll
2008-12-25 22:33 . 2008-12-25 22:33 <REP> d-------- c:\documents and settings\CKévin\Application Data\InstallShield
2008-12-25 21:41 . 2008-12-25 21:41 <REP> d-------- c:\documents and settings\CKévin\Application Data\ATI
2008-12-25 21:41 . 2008-12-25 21:41 <REP> d-------- c:\documents and settings\All Users\Application Data\ATI
2008-12-25 19:21 . 2008-12-25 19:21 0 --a------ c:\windows\ativpsrm.bin
2008-12-25 19:19 . 2008-12-26 21:57 <REP> d-------- c:\program files\ATI
2008-12-25 19:18 . 2008-12-25 19:19 <REP> d-------- c:\program files\ATI Technologies
2008-12-25 19:18 . 2008-12-01 14:35 593,920 --------- c:\windows\system32\ati2sgag.exe
2008-12-25 19:17 . 2008-12-25 19:17 <REP> d-------- C:\ATI
2008-12-22 23:10 . 2008-12-22 23:11 <REP> d-------- c:\program files\URS Magic -Circus Circus- (Bruch)
2008-12-18 23:22 . 2008-12-18 23:22 <REP> d-------- c:\program files\Windows Live SkyDrive
2008-12-18 23:22 . 2008-12-18 23:22 <REP> d-------- c:\program files\Microsoft
2008-12-18 23:13 . 2008-12-18 23:13 <REP> d-------- c:\program files\Fichiers communs\Windows Live
2008-12-15 23:55 . 2008-12-15 23:55 <REP> d-------- c:\program files\Windows Media Connect 2
2008-12-15 23:53 . 2008-12-16 00:05 <REP> d-------- c:\windows\system32\drivers\UMDF
2008-12-12 18:31 . 2008-12-12 18:31 <REP> d-------- c:\program files\Alwil Software
2008-12-09 01:55 . 2008-12-09 01:55 <REP> d-------- c:\documents and settings\CKévin\Application Data\.emacs.d
2008-12-07 02:40 . 2008-12-07 02:40 <REP> d-------- c:\program files\URS 2.0 Airwolf -Eberhard-
2008-12-04 00:41 . 2008-12-15 22:11 <REP> d-------- c:\program files\DivX

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-02 11:32 --------- d-----w c:\program files\PeerGuardian2
2008-12-29 16:25 579,584 ----a-w c:\windows\system32\user32.DLL
2008-12-27 21:52 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-12-27 21:48 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-12-27 21:48 22,328 ----a-w c:\documents and settings\CKévin\Application Data\PnkBstrK.sys
2008-12-27 21:48 107,832 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-27 21:47 2,250,024 ----a-w c:\windows\system32\pbsvc.exe
2008-12-27 21:41 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-27 21:41 --------- d-----w c:\program files\Ubisoft
2008-12-26 13:59 --------- d-----w c:\documents and settings\CKévin\Application Data\FileZilla
2008-12-25 21:04 86,016 ----a-w c:\windows\system32\OpenAL32.dll
2008-12-22 22:16 --------- d-----w c:\documents and settings\All Users\Application Data\TrackMania
2008-12-18 22:21 --------- d-----w c:\program files\Windows Live
2008-12-12 17:26 --------- d-----w c:\program files\Norton AntiVirus
2008-12-12 17:26 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
2008-12-12 17:26 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
2008-12-12 17:24 --------- d-----w c:\program files\Symantec
2008-12-12 17:20 --------- d-----w c:\program files\eXplorer-World simulations
2008-12-12 17:20 --------- d-----w c:\program files\eWs
2008-12-02 21:37 49,480 ----a-w c:\windows\system32\sirenacm.dll
2008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-12-01 20:52 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll
2008-12-01 20:51 318,464 ----a-w c:\windows\system32\ati2dvag.dll
2008-12-01 20:46 11,304,960 ----a-w c:\windows\system32\atioglxx.dll
2008-12-01 20:41 188,416 ----a-w c:\windows\system32\atipdlxx.dll
2008-12-01 20:40 43,520 ----a-w c:\windows\system32\ati2edxx.dll
2008-12-01 20:40 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe
2008-12-01 20:40 147,456 ----a-w c:\windows\system32\Oemdspif.dll
2008-12-01 20:40 143,360 ----a-w c:\windows\system32\ati2evxx.dll
2008-12-01 20:38 598,016 ----a-w c:\windows\system32\ati2evxx.exe
2008-12-01 20:37 53,248 ----a-w c:\windows\system32\ATIDDC.DLL
2008-12-01 20:27 4,120,384 ----a-w c:\windows\system32\ati3duag.dll
2008-12-01 20:19 307,200 ----a-w c:\windows\system32\atiiiexx.dll
2008-12-01 20:11 2,495,360 ----a-w c:\windows\system32\ativvaxx.dll
2008-12-01 19:57 48,640 ----a-w c:\windows\system32\amdpcom32.dll
2008-12-01 19:53 45,056 ----a-w c:\windows\system32\amdcalrt.dll
2008-12-01 19:53 45,056 ----a-w c:\windows\system32\amdcalcl.dll
2008-12-01 19:53 401,408 ----a-w c:\windows\system32\atikvmag.dll
2008-12-01 19:52 86,016 ----a-w c:\windows\system32\atiadlxx.dll
2008-12-01 19:52 17,408 ----a-w c:\windows\system32\atitvo32.dll
2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-12-01 19:50 3,252,224 ----a-w c:\windows\system32\Amdcaldd.dll
2008-12-01 19:50 286,720 ----a-w c:\windows\system32\atiok3x2.dll
2008-12-01 19:45 577,536 ----a-w c:\windows\system32\ati2cqag.dll
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-17 21:20 --------- d-----w c:\program files\QuickTime
2008-11-17 18:45 52,783 ----a-w c:\windows\BricoPackUninst.cmd
2008-11-17 18:45 4,837 ----a-w c:\windows\BricoPackFoldersDelete.cmd
2008-11-17 18:45 219,648 ----a-w c:\windows\system32\uxtheme.dll
2008-11-17 14:41 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-11 12:33 --------- d-----w c:\program files\Micro Application
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-21 18:51 118,784 ----a-w c:\windows\system32\atibrtmon.exe
2008-10-21 17:40 81,920 ----a-w c:\windows\system32\ATIODE.exe
2008-10-21 17:40 45,056 ----a-w c:\windows\system32\ATIODCLI.exe
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 69,144 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-07 11:33 6,058,112 ------w c:\windows\system32\nv4_disp.dll
2008-10-07 11:33 5,799,936 ----a-w c:\windows\system32\nvdispsr.dll
2008-10-07 11:33 458,752 ----a-w c:\windows\system32\nvmccssr.dll
2008-10-07 11:33 4,149,248 ----a-w c:\windows\system32\nvvitvsr.dll
2008-10-07 11:33 3,457,024 ----a-w c:\windows\system32\nvgamesr.dll
2008-10-07 11:33 290,816 ----a-w c:\windows\system32\nvwrsth.dll
2008-10-07 11:33 2,981,888 ----a-w c:\windows\system32\nvwssr.dll
2008-10-07 11:33 2,854,912 ----a-w c:\windows\system32\nvmoblsr.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-09-29 67584]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-10 59392]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Acer Empowering Technology Monitor"="c:\windows\system32\SysMonitor.exe" [2006-04-18 49152]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\eRAgent.exe" [2006-06-01 413696]
"Gainward"="c:\program files\Vtune\TBPanel.exe" [2006-08-25 2154496]
"VolPanel"="c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-09-15 122880]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 517768]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-29 61440]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-01 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

c:\documents and settings\CK‚vin\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Y'z Toolbar.lnk - c:\windows\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 90112]

c:\documents and settings\CK‚vin\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Y'z Toolbar.lnk - c:\windows\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 90112]

c:\documents and settings\CK‚vin\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Y'z Toolbar.lnk - c:\windows\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe [2002-09-29 90112]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acer Empowering Technology.lnk - c:\acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe [2006-06-01 45056]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2008-04-14 03:34 1695232 c:\program files\Messenger\msmsgs.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Sierra\\FEAR\\FEAR.exe"=
"c:\\Program Files\\Sierra\\FEAR\\FEARMP.exe"=
"c:\\Program Files\\Sierra\\FEAR\\FEARXP\\FEARXP.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=

S3 AR5513;TRENDware Wireless Network Adapter Service;c:\windows\system32\DRIVERS\ar5513.sys [2008-02-18 355744]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{635800cf-f419-11dc-bb43-0014d1c0a05f}]
\Shell\AutoRun\command - N:\AUTORUN.EXE

*Newly Created Service* - CATCHME
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/ig
uInternet Connection Wizard,ShellNext = hxxp://www.aceradvantage.com/stdreg
uInternet Settings,ProxyOverride = *.local
TCP: {4026FC4B-0EF5-441D-A981-8EC91B15E016} = 212.27.40.240,212.27.40.241
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 19:57:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(624)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(684)
c:\windows\system32\scecli.dll
.
Heure de fin: 2009-01-03 19:57:58
ComboFix-quarantined-files.txt 2009-01-03 18:57:56
ComboFix2.txt 2009-01-02 19:08:16
ComboFix3.txt 2009-01-02 19:04:35
ComboFix4.txt 2008-10-16 17:31:23

Avant-CF: 55 282 200 576 octets libres
Après-CF: 55,404,281,856 octets libres

242 --- E O F --- 2008-12-18 20:25:08
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 51
Funfair
 
Sans encore avoir lancer le scan avec l'antivirus, Antivir semble toujours me détecter C:WINDOWS\NIRCMD.exe qui contiendrai le modèle de détection APPL/NirCmd.E.2.B.

Il s'est signalé quand j'ai ouvert le bloc notes

Je lance un scan...
0
Réponse 26 / 51
Funfair
 
Le scan semble toujours me signaler `C:\System Volume Information\...\A0094382.exe qui contiendrait le modèle de détection du programme SPR/Tool.Hide.A

Il m'a aussi signaler pour l'instant Combofix.exe mais là j'ai ignorer
0
Réponse 27 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Bien joué, pour la commande.

Donc, tu n'as plus de message d'erreur pour user32.dll.

Pour les fichiers trouvés :
- Pour C:WINDOWS\NIRCMD.exe, fausse alerte
- l'autre, il est dans la restauration système.
Il faut la nettoyer en supprimant les points existants.
Tu ne le fais que si tu n'as pas de message pour user32.dll

1) Panneau de configuation --> Système --> Restauration du sytème
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
2) Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

Poste le rapport d'antivir.

A+
0
Réponse 28 / 51
Funfair
 
Voici le rapport d'Antivir :

Avira AntiVir Personal
Date de création du fichier de rapport : samedi 3 janvier 2009 21:00

La recherche porte sur 1143372 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :KÉVIN

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24/12/2008 17:03:14
ANTIVIR2.VDF : 7.1.1.60 318976 Bytes 02/01/2009 18:27:01
ANTIVIR3.VDF : 7.1.1.65 20480 Bytes 02/01/2009 18:27:02
Version du moteur: 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 29/12/2008 17:03:37
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11/11/2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 29/12/2008 17:03:34
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 29/12/2008 17:03:32
AEHELP.DLL : 8.1.2.0 119159 Bytes 29/12/2008 17:03:22
AEGEN.DLL : 8.1.1.8 323956 Bytes 29/12/2008 17:03:21
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 29/12/2008 17:03:19
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: marche
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: arrêt
Archive Smart Extensions.........: marche
Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : samedi 3 janvier 2009 21:00

La recherche d'objets cachés commence.
'71575' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'YzToolBar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Acer.Empowering.Framework.Launcher.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VolPanlu.exe' - '1' module(s) sont contrôlés
Processus de recherche 'eRAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SysMonitor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dllhost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mcrdsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AluSchedulerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ehrecvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CTSVCCDA.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MemCheck.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'45' processus ont été contrôlés avec '45' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '73' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\CKévin\Bureau\ComboFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hide.A
--> 32788R22FWJFW\NirCmd.cfexe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le modèle de détection de l'application APPL/PsExec.E
[AVERTISSEMENT] Fichier ignoré.
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP214\A0068344.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hide.A
--> 32788R22FWJFW\NirCmd.cfexe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le modèle de détection de l'application APPL/PsExec.E
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd81f.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094390.com
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd96f.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094401.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd985.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094410.EXE
[RESULTAT] Contient le modèle de détection de l'application APPL/PsExec.E
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd994.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094429.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hide.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd9a2.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094436.com
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd9aa.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094464.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hide.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd9ae.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094471.com
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd9b1.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP278\A0094517.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd9b6.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP279\A0094543.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hide.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd9df.qua' !
C:\System Volume Information\_restore{B89CEA26-ECB5-40D8-BB54-F267A162670D}\RP279\A0094550.com
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '498fd9e3.qua' !
C:\WINDOWS\NIRCMD.exe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b1da24.qua' !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <ACERDATA>
D:\Mon Téléphone\Flash\Packw810.zip
[0] Type d'archive: ZIP
--> XS++ et FAR/FarManager170/Addons/gdfstool.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
--> XS++ et FAR/FarManager170/Plugins/SEFP/sefp0.10.0.51patch.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[AVERTISSEMENT] Fichier ignoré.
D:\Mes logiciels\Utilitaires\ComboFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hide.A
--> 32788R22FWJFW\NirCmd.cfexe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[RESULTAT] Contient le modèle de détection de l'application APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Type d'archive: RSRC
--> Object
[RESULTAT] Contient le modèle de détection de l'application APPL/PsExec.E
[AVERTISSEMENT] Fichier ignoré.
D:\Mes logiciels\Utilitaires\SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
[AVERTISSEMENT] Fichier ignoré.
D:\Mes logiciels\Utilitaires\SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
[AVERTISSEMENT] Fichier ignoré.

Fin de la recherche : samedi 3 janvier 2009 23:41
Temps nécessaire: 2:40:45 Heure(s)

La recherche a été effectuée intégralement

16957 Les répertoires ont été contrôlés
858183 Des fichiers ont été contrôlés
30 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
12 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
3 Impossible de contrôler des fichiers
858150 Fichiers non infectés
19345 Les archives ont été contrôlées
8 Avertissements
12 Consignes
71575 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

Je n'ai pas encore effectué ce que tu m'a dit pour la restauration car l'onglet n'est pas présent. Faut aller dans un certain endroit mais faut que je retrouve où...
0
Réponse 29 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Pour la restauration système, suis les consignes.
Ca marche.

pour les virus trouvés, si tu as jeté un coup d'oeil sur le rapport :
- faux positifs de Combofix ( nirdcmd.exe, ... )
- restauration système infectée
- faux positifs de smitfraudfix

et le fichier D:\Mon Téléphone\Flash\Packw810.zip

A supprimer sans doute.
Connais-tu ce fichier et ou tu l'as téléchargé ?

A+
0
Réponse 30 / 51
Funfair
 
Ce fichier est clean, mais il doit le reconnaitre comme un virus car ce zip contient un soft permettant de flasher le firmware d'un certain téléphone pour en mettre un autre. Aucune pratique illégale mais c'est quand même un "cassage" de protection, un forcing, c'est ptete pour ça qu'il le détecte comme un virus
0
Réponse 31 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Pour la restauration système, ton windows ne serait pas installé avec un CD optimisé ?

Peux-tu me poster un rapport Hijackthis ?

A+
0
Réponse 32 / 51
Funfair
 
Désolé de cette réponse tardive... Gastro inside lol

Qu'appelle-tu cd optimisé ?

Je te poste la rapport HijackThis dans la soirée...
0
Réponse 33 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Bonsoir,

Un CD optimisé est un CD de windows duquel on a enlevé une partie de ses fonctionnalités pour le rendre plus léger.
Vérifie si il y a un fichier rstrui.exe présent sur le PC.

C'est peut-être des réglages qui ont disparu ou ont été désactivés.

0
Réponse 34 / 51
Funfair
 
Pour le cd optimisé, honnetement, je ne sais pas. Je sais que le Windows est intégré aux cds de restauration Acer et à la partition de sauvegarde, mais je n'ai pas de cd proprement dit Windows (c'est d'ailleurs pour ça que j'aime pas les pc constructeur, c'est vraiment pas "souple"...)

Pour le fichier rstrui.exe, il est bien présent sur le pc, à 2 endroits : C:\WINDOWS\System32\Restore et C:\WINDOWS\ServicePackFiles\i386

Voici le rapport HiJackThis (effectué en mode normal) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:27:27, on 06/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\SysMonitor.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\WINDOWS\system32\SysMonitor.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [Gainward] C:\Program Files\Vtune\TBPanel.exe /A
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS3\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS4\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O17 - HKLM\System\CS5\Services\Tcpip\..\{4026FC4B-0EF5-441D-A981-8EC91B15E016}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
0
Réponse 35 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
1) Mets à jour adobe :
adobe : http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader

2) Télécharge JavaRa de PaulMcLain et Fred De Vries.
http://raproducts.org/click/click.php?id=1

Click droit sur l’archive JavaRa.zip et extraire sur le bureau.
Un dossier sera crée. L’ouvrir et double-cliquer sur JavaRa.exe pour le lancer

Choisis la langue ( anglais )
Une fenêtre va s’ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :
clique sur Search for Updates et choisis l’option Update Using jucheck.exe. Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
Si oui, clique sur Installer puis suis les invites.

- Suppression des anciennes versions :
Relance JavaRa.exe s’il le faut et choisis Remove Older Versions.
Suis les invites.
Il te sera précisé de la suppression les versions trouvées et supprimées.

Un rapport a été crée. Poste le.

3) Pour la restauration système, c'est plutôt surprenant.

- Regardons déjà pour déactiver la restauration système :
Click droit --> Poste de travail --> onglet restauration système

Coche désactiver ...
Puis applique

Note : si elle est cochée, décoche --> applique -> coche et applique

- Création d'un nouveau point de restauration :
Tu peux la lancer en ligne de commande:
démarrer --> exécuter --> tape %SystemRoot%\system32\restore\rstrui.exe

A+
0
Réponse 36 / 51
Funfair
 
Voici le rapport de JavaRa :

JavaRa 1.13 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun Feb 01 14:43:32 2009

Found and removed: C:\Program Files\Java\jre1.5.0_06

Found and removed: C:\Program Files\Java\jre1.6.0_05

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: Software\JavaSoft\Java2D\1.5.0_06

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Classes\JavaPlugin.150_06

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_06

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_06

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510006

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150060}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\JavaPlugin.160_05

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_05

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160050}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_06

Found and removed: Software\Classes\JavaPlugin.160_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_05

Found and removed: Software\JavaSoft\Java2D\1.6.0_05

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.5.0_06\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_05\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_05\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_07\bin\

------------------------------------

Finished reporting.
0
Réponse 37 / 51
Funfair
 
Comme je disais plus haut, l'onglet Restauration n'est pas présent (je peut ptetre faire un screen pour te montrer, si tu veut)
0
Réponse 38 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Oui, envoie moi via https://www.cjoint.com/ un screen.
Tu m'indiqueras le lien crée.

A+
0
Réponse 39 / 51
Funfair
 
Voici le lien : https://www.cjoint.com/?cdwjtFaTNR

Et j'ai apparement une nouvelle vérole, qui s'affiche au démarrage (pourtant je les cherche pas !) :

Dans le fichier 'C:\Acer\Empowering Technology\eDataSecurity\eDSCS2CClassLib.dll'
un virus ou un programme indésirable 'TR/Spy.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès

Merci !
0
Réponse 40 / 51
verni29 Messages postés 6805 Statut Contributeur sécurité 180
 
Pour la restauration système, je vais me renseigner.

Poste moi un rapport RSIT.
Je te remets la manip :

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe

Double-clique sur " RSIT.exe " pour le lancer .
dans la fenêtre qui va s’ouvrir choisis 2 months pour l'option "List files/folders created ..." ,
cliques ensuite sur " Continue " pour lancer l'analyse ...

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

Attends jusqu’à la fin de l’analyse.
deux rapports vont être generés.

Poste le contenu de " log.txt ", ainsi que de " info.txt " ( dans la barre des tâches), pour analyse et attends la suite ...

Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

A+
0

Discussions similaires

TR/downloader.gen
Raph0u -
archet9 -

12 réponses