Virus HACKTOOL Résolu

Question

Bonjour,

Comme indiqué dans le titre, je suis infecté par le virus Hacktool. Norton me le détecte à chaque démarrage dans le fichier c:\WINDOWS\System32\drivers\klif.sys, mais impossible de le supprimer.
De plus ce virus fait planter norton à chaque détection et il rend mes fichiers cachés invisibles (je suppose que d'autre virus l'accompagne).
J'ai déjà parcouru plusieurs posts à ce sujet, c'est pour ca que je vous joint mon log Hijack mais je suis inccapable de le déchiffrer. Donc j'aurais besoin de votre aide pour résoudre ce problème et supprimer ce fichu virus. Je vous en serais très reconnaissant.

Merci d'avance !


Mon log Hijack en mode de démarrage normal : 


Logfile of HijackThis v1.99.1
Scan saved at 22:09:49, on 12/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Ghost
gctw32.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\expiorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Symantec AntiVirus\DoScan.exe
C:\Program Files\Symantec AntiVirus\vpc32.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Contrôle\Bureau\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.univ-lyon1.fr/gogole.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = univ-lyon1.fr;<local>;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [NGClient] C:\Program Files\Symantec\Ghost
gctw32.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=https://iut.univ-lyon1.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://antivirus-france.com/erreur-404/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC5E937-F2D5-498B-82B4-263AB5F593AC}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Fichiers communs\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FICHIE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Agent client Symantec Ghost Win32 (NGClient) - Symantec Corporation - C:\Program Files\Symantec\Ghost
gctw32.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PURPSPT - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WKXPFAO - Sysinternals - www.sysinternals.com - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: XIUPTRZCPJVSDPN - Sysinternals - www.sysinternals.com - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe
O23 - Service: YZZCAH - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe (file missing)

Utilisateur anonyme · Accepted Answer

en effet t as la meme merde sur ce pc -;)

c logique car elle se propage via les clé usb etc :

branches tes disques et allumes les puis :

Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

All_game · Answer

tu va sur http://www.hijackthis.de/fr et tu fixes les lignes corrompues.

jlpjlp · Answer

slt

déjà tu as deux antivirus vire en un:

pour avast:
https://www.avast.com/fr-fr/uninstall-utility

pour norton
https://www.avast.com/fr-fr/uninstall-utility


______________


puis


Telecharge UsbFix sur ton bureau 
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l installation avec les parametres par default 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir 

--> Double clic sur le raccourci UsbFix sur ton bureau 
(choisir l'option nettoyage)
--> Le pc va redémarer 

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque 
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

Fizzy's · Answer

Merci pour vos réponses voici le rapport : -------------- UsbFix V2.414 --------------- * User : Contr“le - IUTB-AFCAL-M04 * Outils mis a jours le 09/01/2009 par Chiquitine29 et Chimay8 * Recherche effectuée à 23:33:18 le 12/01/2009 * Windows Xp - Internet Explorer 7.0.5730.11 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\logonui.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Symantec\Ghost gctw32.exe C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\expiorer.exe C:\WINDOWS\AhnRpta.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe D: - Lecteur fixe F: - Lecteur fixe G: - Lecteur amovible +- Contenu de l'autorun : C:\autorun.inf ;3Di4a1929qksd4Kfsiwa7 [AutoRun] ;A4kA306wd4adp5ms3ri2sjaLJDa9iisek23a40qIlcFk5sZ4k2c3dwrkeok28wDwJ4f9esX3lkoniOd9w4A30 open=x2tpc.cmd ;aiwi2aDlriwDwodaJA4cswkDoLekwkK5d3llKkLF31sojf1kKds shell\open\Command=x2tpc.cmd ;A3eakrSsc47fjwoai4O1lfriklj4U shell\open\Default=1 ;e32Lkros2o38esK91s0LjaKfi545HJraw3qi2dAaswspCadL0jDdw4wldJX7a4k0srD13klAw4i +- Contenu de l'autorun : D:\autorun.inf ;3Di4a1929qksd4Kfsiwa7 [AutoRun] ;A4kA306wd4adp5ms3ri2sjaLJDa9iisek23a40qIlcFk5sZ4k2c3dwrkeok28wDwJ4f9esX3lkoniOd9w4A30 open=x2tpc.cmd ;aiwi2aDlriwDwodaJA4cswkDoLekwkK5d3llKkLF31sojf1kKds shell\open\Command=x2tpc.cmd ;A3eakrSsc47fjwoai4O1lfriklj4U shell\open\Default=1 ;e32Lkros2o38esK91s0LjaKfi545HJraw3qi2dAaswspCadL0jDdw4wldJX7a4k0srD13klAw4i +- Contenu de l'autorun : F:\autorun.inf ;3Di4a1929qksd4Kfsiwa7 [AutoRun] ;A4kA306wd4adp5ms3ri2sjaLJDa9iisek23a40qIlcFk5sZ4k2c3dwrkeok28wDwJ4f9esX3lkoniOd9w4A30 open=x2tpc.cmd ;aiwi2aDlriwDwodaJA4cswkDoLekwkK5d3llKkLF31sojf1kKds shell\open\Command=x2tpc.cmd ;A3eakrSsc47fjwoai4O1lfriklj4U shell\open\Default=1 ;e32Lkros2o38esK91s0LjaKfi545HJraw3qi2dAaswspCadL0jDdw4wldJX7a4k0srD13klAw4i +- Contenu de l'autorun : G:\autorun.inf ;lkrLs2kSka4lod378kr9oqa3K9JsKDLckwdimAokasle933i3qD8d [AutoRun] ;sKswq7k0142wL4ar40Jaa3lq7ooo4qLqfoLIask34D9olFwssr38oo343l49fLrwmseJlq5k2lAwd2woaAaXlaZ3KDfKDaai4dqn53S3SwwkDirSldi824 open=qoes.bat ;dkoAkkw0KrwjljfaSAo3Xfk0wqq shell\open\Command=qoes.bat ;ofipDwkJr14qlwdkL0aC shell\open\Default=1 ;4o380AaksoFLdDoKAJafZ83a3ako2AiKas7ff --------------- [ Lecteur C ] ---------------- C: - Lecteur fixe +- Listing des fichiers présents : [28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM [12/01/2009 21:23][-r-hs----] C:\x2tpc.cmd [22/09/2006 07:08][-rahs----] C:\boot.ini [12/01/2009 23:16][-r-hs----] C:\autorun.inf [11/01/2009 20:28][--ah-----] C:\Nouveau Document texte.txt [11/01/2009 20:28][--ah-----] C:\UsbFix.txt [28/09/2005 16:31][--a------] C:\CONFIG.SYS [28/09/2005 16:31][--a------] C:\IO.SYS [28/09/2005 16:31][--a------] C:\MSDOS.SYS [28/09/2005 16:31][--a------] C:\pagefile.sys --------------- [ Lecteur D ] ---------------- D: - Lecteur fixe +- Listing des fichiers présents : [12/01/2009 21:23][-r-hs----] D:\x2tpc.cmd [20/12/2007 01:34][--a------] D:\office2007sp1-kb936982-fullfile-fr-fr.exe [12/01/2009 23:16][-r-hs----] D:\autorun.inf --------------- [ Lecteur F ] ---------------- F: - Lecteur fixe +- Listing des fichiers présents : [10/01/2009 14:01][-r-hs----] F:\qoes.bat [12/01/2009 18:34][-r-hs----] F:\x2tpc.cmd [28/10/2007 19:39][---hs----] F:\desktop.ini [12/01/2009 23:15][-r-hs----] F:\autorun.inf --------------- [ Lecteur G ] ---------------- G: - Lecteur amovible +- Listing des fichiers présents : [10/01/2009 14:01][-r-hs----] G:\qoes.bat [10/01/2009 13:53][--a------] G:\setupfre.exe [10/01/2009 19:06][-r-hs----] G:\autorun.inf --------------- [ Registre / Startup ] ---------------- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" "Start Page"="https://www.google.fr/?gws_rd=ssl" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background HKEY_CURRENT_USER\software\microsoft\windows\currentversion un\AdobeUpdater= = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] dla=C:\WINDOWS\system32\dla fswctrl.exe UpdateManager="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r DVDLauncher="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" NGClient=C:\Program Files\Symantec\Ghost gctw32.exe Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe = IntelWireless=C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" GrooveMonitor="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" vptray=C:\PROGRA~1\SYMANT~1\vptray.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Mountpoint2 ] ---------------- Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\C\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e16-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e16-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e16-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e18-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e18-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e18-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e19-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e19-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e19-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1a-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1a-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1a-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1b-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1b-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1b-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1e-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1e-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1e-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1f-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1f-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e1f-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e20-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e20-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e20-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e21-c1fc-11dd-978f-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e21-c1fc-11dd-978f-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4e7b1e21-c1fc-11dd-978f-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82a76da1-a1ae-11dd-9751-00123fde907f}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82a76da1-a1ae-11dd-9751-00123fde907f}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{82a76da1-a1ae-11dd-9751-00123fde907f}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc6-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc7-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc7-c136-11dd-978c-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc7-c136-11dd-978c-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc8-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc9-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc9-c136-11dd-978c-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fc9-c136-11dd-978c-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcb-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcb-c136-11dd-978c-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcb-c136-11dd-978c-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcc-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcc-c136-11dd-978c-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcc-c136-11dd-978c-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcd-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fce-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fce-c136-11dd-978c-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fce-c136-11dd-978c-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcf-c136-11dd-978c-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcf-c136-11dd-978c-0013ce326d78}\Shell\explore\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fbe6fcf-c136-11dd-978c-0013ce326d78}\Shell\open\Command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d5aedf47-b551-11dd-9777-0013ce326d78}\Shell\AutoRun\command Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d5aedf47-b551-11dd-9777-0013ce326d78}\Shell\open\Command --------------- [ Nettoyage des disques ] ---------------- Supprimé ! - [12/01/2009 21:14][---------] C:\WINDOWS\system32\ciuytr0.dll Supprimé ! - [12/01/2009 21:23][-r-hs----] C:\WINDOWS\system32\ciuytr1.dll Supprimé ! - [12/01/2009 21:23][-r-hs----] C:\WINDOWS\system32\vamsoft.exe C:\autorun.inf ~> fichier appelé : "C:\x2tpc.cmd" ( présent ! ) Supprimé ! - C:\x2tpc.cmd D:\autorun.inf ~> fichier appelé : "D:\x2tpc.cmd" ( présent ! ) Supprimé ! - D:\x2tpc.cmd F:\autorun.inf ~> fichier appelé : "F:\x2tpc.cmd" ( présent ! ) Supprimé ! - F:\x2tpc.cmd G:\autorun.inf ~> fichier appelé : "G:\qoes.bat" ( présent ! ) Supprimé ! - G:\qoes.bat Supprimé ! - [12/01/2009 23:16][-r-hs----] C:\autorun.inf Supprimé ! - [12/01/2009 23:16][-r-hs----] D:\autorun.inf Supprimé ! - [12/01/2009 23:15][-r-hs----] F:\autorun.inf Supprimé ! - [10/01/2009 19:06][-r-hs----] G:\autorun.inf --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM [22/09/2006 07:08][-rahs----] C:\boot.ini [20/12/2007 01:34][--a------] D:\office2007sp1-kb936982-fullfile-fr-fr.exe [10/01/2009 14:01][-r-hs----] F:\qoes.bat [28/10/2007 19:39][---hs----] F:\desktop.ini [10/01/2009 13:53][--a------] G:\setupfre.exe --------------- [ Vaccination ] ---------------- C:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! D:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! F:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! G:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! --------------- ! Fin du rapport ! ----------------

jlpjlp · Answer

analyse ces fichiers sur virus total et colles les rapports:  https://www.virustotal.com/gui/


D:\office2007sp1-kb936982-fullfile-fr-fr.exe
F:\qoes.bat
G:\setupfre.exe

Fizzy's · Answer

Les 2 premiers fichiers sont trop gros pour être analysé et le 3ème est introuvable

jlpjlp · Answer

1/ # Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! __________________ 2/ colle le rapport d'un scan en ligne avec un des suivants: bitdefender en ligne : http://www.bitdefender.fr/scan_fr/scan8/ie.html Panda en ligne : http://pandasoftware.fr

Fizzy's · Answer

RavAntivirus n'indique aucune infection, comment je dois l'interpréter ?
alors que norton détecte toujours le virus au démarrage

(Le scan avec Bitdefender est en cours)

Fizzy's · Answer

Voici le rapport avec Bitdefender :

Statistiques
Temps                       01:10:43
Fichiers                      338699
Directoires                  8057
Secteurs de boot        0
Archives                     3972
Paquets programmes    38484
	

Résultats
Virus identifiés      6
Fichiers infectés    19
Fichiers suspects    0
Avertissements      0
Désinfectés           0
Fichiers effacés      0
	

Info sur les moteurs
Définition virus                 2444484
Version des moteurs        AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)
Analyse des plugins          17
Archive des plugins          45
Unpack des plugins           7
E-mail plugins                   6
Système plugins               4

Paramètres d'analyse
Première action        Message
Seconde Action       Aucun
Heuristique             Oui
Acceptez les avertissements      Oui
Extensions analysées        *;
Excludez les extensions
Analyse d'emails         Oui
Analyse des Archives   Oui
Analyser paquets programmes     Oui
Analyse des fichiers     Oui
Analyse de boot         Oui
	
Fichier analysé

 Statut

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08580000\497F8EBF.VBN=>(Quarantine-PE)
Infecté par: Packer.Malware.NSAnti.1

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09C00000\49C04621.VBN=>(Quarantine-PE)
Infecté par: Trojan.Generic.1218699

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09C00000\49C04622.VBN=>(Quarantine-PE)
Infecté par: Packer.Malware.NSAnti.1

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09C00000\49C04623.VBN=>(Quarantine-PE)
Infecté par: Trojan.Generic.1218699

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\09C00001\49C04D16.VBN=>(Quarantine-PE)
Infecté par: Packer.Malware.NSAnti.1

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0A7C0000.VBN=>(Quarantine-PE)
Infecté par: Trojan.PWS.OnlineGames.AAKE

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0A7C0002.VBN=>(Quarantine-PE)
Infecté par: Trojan.PWS.OnlineGames.AAKE

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C900000\4DD277CF.VBN=>(Quarantine-PE)
Infecté par: MemScan:Trojan.Dropper.Onlinegames.DA

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C900001\4DD277DE.VBN=>(Quarantine-PE)
Infecté par: MemScan:Trojan.Dropper.Onlinegames.DA

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C900002\4DD27E39.VBN=>(Quarantine-PE)
Infecté par: Packer.Malware.NSAnti.1

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C900003\4DD27E97.VBN=>(Quarantine-PE)
Infecté par: Packer.Malware.NSAnti.1

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C900004\4DD27EA9.VBN=>(Quarantine-PE)
Infecté par: Trojan.Generic.1218699

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0DF80000\4DFA9856.VBN=>(Quarantine-PE)
Infecté par: Packer.Malware.NSAnti.1

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0FFC0000\4FFD462C.VBN=>(Quarantine-PE)
Infecté par: Packer.Malware.NSAnti.1

C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0FFC0001\4FFDA5AA.VBN=>(Quarantine-PE)
Infecté par: Trojan.Generic.1218699

C:\WINDOWS\system32\ciuytr0.dll
Infecté par: Gen:Trojan.Heur.564E44

C:\WINDOWS\system32\ciuytr1.dll
Infecté par: Gen:Trojan.Heur.564E44

C:\WINDOWS\system32\haozs0.dll
Infecté par: Gen:Trojan.Heur.22

C:\WINDOWS\system32\haozs1.dll
Infecté par: Gen:Trojan.Heur.22

jlpjlp · Answer

vire ce qui est en quarantaine dnas norton:
C:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine



________________________



télécharge OTMoveIt 
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved. 
(attention bien mettre :files)

:files
C:\WINDOWS\system32\ciuytr0.dll
C:\WINDOWS\system32\ciuytr1.dll
C:\WINDOWS\system32\haozs0.dll
C:\WINDOWS\system32\haozs1.dll 


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

Fizzy's · Answer

Suppression des fichiers de la quarantaine OK

Voici le rapport de OTMoveIt : 

========== FILES ==========
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ciuytr0.dll
C:\WINDOWS\system32\ciuytr0.dll NOT unregistered.
C:\WINDOWS\system32\ciuytr0.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ciuytr1.dll
C:\WINDOWS\system32\ciuytr1.dll NOT unregistered.
C:\WINDOWS\system32\ciuytr1.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\haozs0.dll
C:\WINDOWS\system32\haozs0.dll NOT unregistered.
C:\WINDOWS\system32\haozs0.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\haozs1.dll
C:\WINDOWS\system32\haozs1.dll NOT unregistered.
C:\WINDOWS\system32\haozs1.dll moved successfully.
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01132009_095912

jlpjlp · Answer

refais un rapport usbfix

_____________________

Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

__________________

norton trouve encore des infections?

Fizzy's · Answer

à première vue norton ne detecte plus d'infection.
je vais faire un scan pour voir, en tout cas merci beaucoup pour toutes ces précisons et ton aide

comment je peux vérifier si mon disque dur externe a été infecté ?


voici le rapport toolcleaner :

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\UsbFix.txt: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Contrôle\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\Contrôle\Bureau\hijackthis_199\HijackThis.exe: trouvé !
C:\Documents and Settings\Contrôle\Bureau\hijackthis_199\hijackthis.log: trouvé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Contrôle\Bureau\hijackthis_199\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Contrôle\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\Contrôle\Bureau\hijackthis_199\hijackthis.log: supprimé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

jlpjlp · Answer

usbfix a montré que tes disques externes étaient infectés

Fizzy's · Answer

y'a t'il un moyen pour les désinfecter ?

jlpjlp · Answer

usbfix l'as fais pour toi!

Fizzy's · Answer

Ok ca me rassure.
Donc a priori le problème est résolu, je n'ai plus de virus ?

jlpjlp · Answer

oui c'est résolu!

Fizzy's · Answer

je viens de rebooter le pc, et rebelote, norton me redetecte le même virus, situé dans le même fichier du début du sujet....je n'y comprend plus rien

jlpjlp · Answer

analyse ce fichiers sur virus total et colles le rapport: 

https://www.virustotal.com/gui/


c:\WINDOWS\System32\drivers\klif.sys


_______________





Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Fizzy's · Answer

A chaque detection, norton supprime le fichier, donc je n'arrive pas à le retrouver

Fizzy's · Answer

Voici les 2 rapports :


Logfile of random's system information tool 1.05 (written by random/random)
Run by Contrôle at 2009-01-13 19:45:45
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 6 GB (29%) free of 20 GB
Total RAM: 511 MB (21% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:15, on 13/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Ghost
gctw32.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Contrôle\Bureau\RSIT.exe
C:\Program Files	rend micro\Contrôle.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.univ-lyon1.fr/gogole.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [NGClient] C:\Program Files\Symantec\Ghost
gctw32.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://iut.univ-lyon1.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://antivirus-france.com/erreur-404/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC5E937-F2D5-498B-82B4-263AB5F593AC}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: K - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\K.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Agent client Symantec Ghost Win32 (NGClient) - Symantec Corporation - C:\Program Files\Symantec\Ghost
gctw32.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PURPSPT - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WKXPFAO - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe (file missing)
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: XIUPTRZCPJVSDPN - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe (file missing)
O23 - Service: YZZCAH - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe (file missing)

jlpjlp · Answer

analyse ces 5 fichiers sur virus total et colles les rapports: https://www.virustotal.com/gui/

C:\WINDOWS\system32
mdfgds2.dll
C:\WINDOWS\system32
mdfgds1.dll
C:\WINDOWS\system32\olhrwef.exe
C:\WINDOWS\system32
mdfgds0.dll
C:\iq.bat



___________________








je me mets ceci de coté:

Driver ::
K
klif
PURPSPT
WKXPFAO
XIUPTRZCPJVSDPN
YZZCAH
File::
D:\office2007sp1-kb936982-fullfile-fr-fr.exe
F:\qoes.bat
G:\setupfre.exe
C:\iq.bat
C:\bd3q0qix.exe
C:\x2tpc.cmd
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\K.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe
c:\WINDOWS\System32\drivers\klif.sys

Fizzy's · Answer

mdfgds2.dll -----> introuvable

mdfgds1.dll -----> même rapport que 
mdfgds0.dll

\olhrwef.exe -----> introuvable

mdfgds0.dll ------> http://www.virustotal.com/fr/analisis/4a9d54fb54ee0780c974071114599db9

C:\iq.bat -----> introuvable

jlpjlp · Answer

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Sauvegarde le sur ton bureau et pas ailleurs ! 



Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Driver ::
K
klif
PURPSPT
WKXPFAO
XIUPTRZCPJVSDPN
YZZCAH
File::
D:\office2007sp1-kb936982-fullfile-fr-fr.exe
F:\qoes.bat
G:\setupfre.exe
C:\iq.bat
C:\bd3q0qix.exe
C:\x2tpc.cmd
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\K.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe
c:\WINDOWS\System32\drivers\klif.sys
C:\WINDOWS\system32
mdfgds2.dll
C:\WINDOWS\system32
mdfgds1.dll
C:\WINDOWS\system32\olhrwef.exe
C:\WINDOWS\system32
mdfgds0.dll
C:\iq.bat



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport RSIT

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Fizzy's · Answer

ComboFix 09-01-13.03 - Contr“le 2009-01-13 21:14:34.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.511.155 [GMT 1:00]
Lancé depuis: c:\documents and settings\Contr“le\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Contr“le\Bureau\CFscript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated)
* Un nouveau point de restauration a été créé

FILE ::
C:\bd3q0qix.exe
c:\docume~1\CONTRL~1\LOCALS~1\Temp\K.exe
c:\docume~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe
c:\docume~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe
c:\docume~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe
c:\docume~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe
C:\iq.bat
c:\windows\System32\drivers\klif.sys
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\nmdfgds2.dll
c:\windows\system32\olhrwef.exe
C:\x2tpc.cmd
D:\office2007sp1-kb936982-fullfile-fr-fr.exe
F:\qoes.bat
G:\setupfre.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\bd3q0qix.exe
C:\iq.bat
c:\windows\expiorer.exe
c:\windows\system32\nmdfgds0.dll
c:\windows\system32\nmdfgds1.dll
c:\windows\system32\nmdfgds2.dll
c:\windows\system32\olhrwef.exe
C:\x2tpc.cmd
D:\iq.bat
D:\office2007sp1-kb936982-fullfile-fr-fr.exe
D:\x2tpc.cmd

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-13 au 2009-01-13 ))))))))))))))))))))))))))))))))))))
.

2009-01-13 19:45 . 2009-01-13 19:46 <REP> d-------- C:\rsit
2009-01-13 19:45 . 2009-01-13 19:46 <REP> d-------- c:\program files\trend micro
2009-01-13 18:42 . 2009-01-13 18:42 <REP> d--h----- c:\windows\system32\WLANProfiles
2009-01-13 18:42 . 2009-01-13 18:42 <REP> d--h----- C:\Settings
2009-01-13 18:42 . 2009-01-13 18:42 516 --a------ C:\Settings.ini
2009-01-13 18:40 . 2009-01-13 18:44 <REP> d-------- c:\program files\UsbFix
2009-01-13 18:05 . 2009-01-13 18:43 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-13 18:05 . 2009-01-13 18:31 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-12 20:25 . 2009-01-12 20:25 <REP> d-------- c:\program files\ToniArts
2009-01-12 18:37 . 2008-04-14 03:34 70,656 --a------ c:\windows\AhnRpta.exe
2009-01-11 20:48 . 2009-01-11 20:48 <REP> d-------- c:\program files\CCleaner
2009-01-11 18:32 . 2009-01-13 00:43 <REP> d-------- c:\windows\BDOSCAN8
2009-01-11 18:31 . 2009-01-11 18:31 <REP> d-------- c:\windows\system32\Kaspersky Lab
2009-01-11 18:15 . <REP> c:\documents and settings\Contrôle\.housecall6.6
2009-01-11 17:52 . <REP> c:\documents and settings\Contrôle\Application Data\Uniblue
2009-01-11 17:48 . 2009-01-11 18:06 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\~0
2009-01-02 20:11 . <REP> c:\documents and settings\Contrôle\Application Data\HDRsoft
2009-01-02 19:54 . 2009-01-02 19:54 <REP> d-------- c:\program files\PhotomatixPro3
2008-12-17 23:15 . 2008-12-17 23:15 <REP> d-------- c:\program files\Interplay
2008-12-17 23:15 . <REP> c:\documents and settings\Contrôle\WINDOWS
2008-12-17 23:15 . 1996-11-05 16:13 299,008 --a------ c:\windows\uninst.exe
2008-12-15 23:23 . 2008-12-17 23:19 <REP> d-------- c:\program files\UtopiaBOX

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 20:18 --------- d-----w c:\program files\Symantec AntiVirus
2009-01-12 19:25 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-10 13:10 --------- d-----w c:\program files\Symantec
2009-01-07 23:06 --------- d-----w c:\documents and settings\Contrôle\Application Data\uTorrent
2008-12-11 00:27 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2008-12-04 21:02 --------- d-s---w c:\documents and settings\Contrôle\Application Data\Microsoft
2008-12-04 20:52 --------- d-----w c:\program files\Alwil Software
2008-12-03 21:58 --------- d-----w c:\documents and settings\Contrôle\Application Data\Exif Viewer
2008-12-03 20:51 --------- d-----w c:\program files\Exif Viewer
2008-12-03 20:26 --------- d-----w c:\documents and settings\Contrôle\Application Data\FileZilla
2008-12-03 15:03 --------- d-----w c:\documents and settings\Contrôle\Application Data\U3
2008-12-01 21:48 --------- d-----w c:\documents and settings\Contrôle\Application Data\Macromedia
2008-12-01 21:48 --------- d-----w c:\documents and settings\All Users\Application Data\Macrovision
2008-12-01 21:40 --------- d-----w c:\program files\Macromedia
2008-12-01 21:40 --------- d-----w c:\program files\Fichiers communs\Macromedia Shared
2008-12-01 21:40 --------- d-----w c:\program files\Fichiers communs\Macromedia
2008-12-01 20:16 --------- d-----w c:\documents and settings\Contrôle\Application Data\Adobe
2008-11-24 17:24 --------- d-----w c:\program files\eMule
2008-11-22 12:21 --------- d-----w c:\program files\FileZilla FTP Client
2008-11-13 18:21 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-13 18:21 --------- d-----w c:\program files\Bonjour
2008-11-13 18:09 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared
2008-09-15 13:14 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091520080916\index.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-08-13 122939]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2004-01-07 110592]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248]
"NGClient"="c:\program files\Symantec\Ghost\ngctw32.exe" [2004-08-31 443496]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2005-09-01 684032]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-01 136600]
"vptray"="c:\progra~1\SYMANT~1\\vptray.exe" [2006-09-27 125168]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain1.dll" [2008-04-14 78848]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-09-07 15:08 110592 c:\program files\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.ffds"= ffdshow.ax
"VIDC.VP40"= vp4vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Search.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Search.lnk
backup=c:\windows\pss\Windows Search.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
-ra------ 2007-02-06 16:30 61440 c:\program files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Symantec\\Ghost\\ngctw32.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 GhMon;GhostMountMonitor - Boot Phase Driver;c:\windows\system32\drivers\GhMon.sys [2004-08-26 6496]
R0 GhPostConfig;GhostPostConfig - Boot Phase Driver;c:\windows\system32\drivers\ghpcw2k.sys [2004-08-26 198720]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-09-15 99376]
R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [2005-09-28 80384]
S4 GhPostConfig_Auto;GhostPostConfig - Auto Phase Driver;c:\windows\system32\drivers\ghpcw2k.sys [2004-08-26 198720]

--- Other Services/Drivers In Memory ---

*Deregistered* - LmHosts
*Deregistered* - MDM
*Deregistered* - Netman
*Deregistered* - NGClient
*Deregistered* - NICCONFIGSVC
*Deregistered* - Nla
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RegSrvc
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - S24EventMonitor
*Deregistered* - SamSs
*Deregistered* - SCardSvr
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - srservice
*Deregistered* - SSDPSRV
*Deregistered* - Symantec AntiVirus
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - W32Time
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WLANKEEPER
*Deregistered* - WmiApSrv
*Deregistered* - wscsvc
*Deregistered* - WSearch
*Deregistered* - wuauserv
*Deregistered* - WZCSVC
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080
TCP: {FEC5E937-F2D5-498B-82B4-263AB5F593AC} = 192.168.0.1

c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 21:21:07
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(900)
c:\windows\system32\Ati2evxx.dll
c:\program files\Intel\Wireless\Bin\LgNotify.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Intel\Wireless\Bin\WLKEEPER.exe
c:\program files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\program files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
c:\windows\system32\scardsvr.exe
c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
c:\program files\Dell\NicConfigSvc\NicConfigSvc.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\searchindexer.exe
c:\program files\Intel\Wireless\Bin\ZCfgSvc.exe
c:\windows\system32\ati2evxx.exe
c:\progra~1\Intel\Wireless\Bin\1XConfig.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\progra~1\SYMANT~1\VPTray.exe
c:\windows\AhnRpta.exe
.
**************************************************************************
.
Heure de fin: 2009-01-13 21:29:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-13 20:29:00

Avant-CF: 5ÿ804ÿ261ÿ376 octets libres
AprÞs-CF: 5,806,030,848 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

259 --- E O F --- 2008-12-20 10:35:17

Fizzy's · Answer

Rapport RSIT : 


Logfile of random's system information tool 1.05 (written by random/random)
Run by Contrôle at 2009-01-13 21:49:33
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 6 GB (28%) free of 20 GB
Total RAM: 511 MB (38% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:49:54, on 13/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Ghost
gctw32.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\AhnRpta.exe
C:\Documents and Settings\Contrôle\Bureau\RSIT.exe
C:\Program Files	rend micro\Contrôle.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [NGClient] C:\Program Files\Symantec\Ghost
gctw32.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://iut.univ-lyon1.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://antivirus-france.com/erreur-404/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC5E937-F2D5-498B-82B4-263AB5F593AC}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: K - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\K.exe (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Agent client Symantec Ghost Win32 (NGClient) - Symantec Corporation - C:\Program Files\Symantec\Ghost
gctw32.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: PURPSPT - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe (file missing)
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WKXPFAO - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe (file missing)
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: XIUPTRZCPJVSDPN - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe (file missing)
O23 - Service: YZZCAH - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe (file missing)

jlpjlp · Answer

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 


O23 - Service: K - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\K.exe (file missing)

O23 - Service: PURPSPT - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe (file missing)
O23 - Service: WKXPFAO - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe (file missing)
O23 - Service: XIUPTRZCPJVSDPN - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe (file missing)
O23 - Service: YZZCAH - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe (file missing) 

_____________

Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


______________

scan avec norton et colle le rapport si encore infecté!

a plus

Fizzy's · Answer

toujours la même detection par norton au démarrage, le problème c'est que sa fait planter le scan norton
J'ai fait quelques imprim écran :

[url=http://servimg.com/image_preview.php?i=170&u=11806501][img]https://i60.servimg.com/u/f60/11/80/65/01/detect10.jpg[/img][/url]

[url=http://servimg.com/image_preview.php?i=171&u=11806501][img]https://i60.servimg.com/u/f60/11/80/65/01/detect11.jpg[/img][/url]

[url=http://servimg.com/image_preview.php?i=172&u=11806501][img]https://i60.servimg.com/u/f60/11/80/65/01/detect12.jpg[/img][/url]

jlpjlp · Answer

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !



Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Driver ::
K
klif
PURPSPT
WKXPFAO
XIUPTRZCPJVSDPN
YZZCAH
File::
D:\office2007sp1-kb936982-fullfile-fr-fr.exe
F:\qoes.bat
G:\setupfre.exe
C:\iq.bat
C:\bd3q0qix.exe
C:\x2tpc.cmd
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\K.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe
C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe
c:\WINDOWS\System32\drivers\klif.sys
C:\WINDOWS\system32
mdfgds2.dll
C:\WINDOWS\system32
mdfgds1.dll
C:\WINDOWS\system32\olhrwef.exe
C:\WINDOWS\system32
mdfgds0.dll
C:\iq.bat
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport RSIT

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Fizzy's · Answer

Rapport Combofix : ComboFix 09-01-13.04 - Contrôle 2009-01-14 19:19:24.2 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.511.190 [GMT 1:00] Lancé depuis: c:\documents and settings\Contrôle\Bureau\ComboFix.exe Commutateurs utilisés :: c:\documents and settings\Contrôle\Bureau\ComboFix.exe c:\documents and settings\Contrôle\Bureau\CFscript.txt AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Outdated) * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\iq.bat D:\iq.bat F:\iq.bat F:\qoes.bat F:\x2tpc.cmd G:\iq.bat G:\x2tpc.cmd . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-14 au 2009-01-14 )))))))))))))))))))))))))))))))))))) . 2009-01-14 19:17 . 2009-01-14 19:16 110,883 -r-hs---- C:\ve.exe 2009-01-13 22:18 . 2009-01-13 22:18 95,744 -r-hs---- c:\windows\system32 mdfgds2.dll 2009-01-13 21:30 . 2009-01-14 19:16 95,744 -r-hs---- c:\windows\system32 mdfgds1.dll 2009-01-13 21:29 . 2009-01-14 19:16 110,883 -r-hs---- c:\windows\system32\olhrwef.exe 2009-01-13 21:29 . 2009-01-14 17:40 95,744 --------- c:\windows\system32 mdfgds0.dll 2009-01-13 19:45 . 2009-01-13 23:07 d-------- c:\program files rend micro 2009-01-13 18:42 . 2009-01-13 18:42 d--h----- c:\windows\system32\WLANProfiles 2009-01-13 18:42 . 2009-01-13 18:42 d--h----- C:\Settings 2009-01-13 18:42 . 2009-01-13 18:42 516 --a------ C:\Settings.ini 2009-01-13 18:05 . 2009-01-13 18:43 d-------- c:\program files\Spybot - Search & Destroy 2009-01-13 18:05 . 2009-01-13 18:31 d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2009-01-12 20:25 . 2009-01-12 20:25 d-------- c:\program files\ToniArts 2009-01-12 18:37 . 2008-04-14 03:34 70,656 --a------ c:\windows\AhnRpta.exe 2009-01-11 20:48 . 2009-01-11 20:48 d-------- c:\program files\CCleaner 2009-01-11 18:32 . 2009-01-13 00:43 d-------- c:\windows\BDOSCAN8 2009-01-11 18:31 . 2009-01-11 18:31 d-------- c:\windows\system32\Kaspersky Lab 2009-01-11 18:15 . 2009-01-11 18:26 d-------- c:\documents and settings\Contrôle\.housecall6.6 2009-01-11 18:15 . 2009-01-11 18:26 d-------- c:\documents and settings\Contrôle\.housecall6.6 2009-01-11 17:52 . 2009-01-11 17:52 d-------- c:\documents and settings\Contrôle\Application Data\Uniblue 2009-01-11 17:48 . 2009-01-11 18:06 d--h-c--- c:\documents and settings\All Users\Application Data\~0 2009-01-02 20:11 . 2009-01-02 20:11 d-------- c:\documents and settings\Contrôle\Application Data\HDRsoft 2009-01-02 19:54 . 2009-01-02 19:54 d-------- c:\program files\PhotomatixPro3 2008-12-17 23:15 . 2008-12-17 23:15 d-------- c:\program files\Interplay 2008-12-17 23:15 . 2008-12-17 23:15 d-------- c:\documents and settings\Contrôle\WINDOWS 2008-12-17 23:15 . 2008-12-17 23:15 d-------- c:\documents and settings\Contrôle\WINDOWS 2008-12-17 23:15 . 1996-11-05 16:13 299,008 --a------ c:\windows\uninst.exe 2008-12-15 23:23 . 2008-12-17 23:19 d-------- c:\program files\UtopiaBOX . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-14 16:55 --------- d-----w c:\program files\Symantec AntiVirus 2009-01-12 19:25 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-10 13:10 --------- d-----w c:\program files\Symantec 2009-01-07 23:06 --------- d-----w c:\documents and settings\Contrôle\Application Data\uTorrent 2008-12-11 00:27 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help 2008-12-04 20:52 --------- d-----w c:\program files\Alwil Software 2008-12-03 21:58 --------- d-----w c:\documents and settings\Contrôle\Application Data\Exif Viewer 2008-12-03 20:51 --------- d-----w c:\program files\Exif Viewer 2008-12-03 20:26 --------- d-----w c:\documents and settings\Contrôle\Application Data\FileZilla 2008-12-03 15:03 --------- d-----w c:\documents and settings\Contrôle\Application Data\U3 2008-12-01 21:48 --------- d-----w c:\documents and settings\All Users\Application Data\Macrovision 2008-12-01 21:40 --------- d-----w c:\program files\Macromedia 2008-12-01 21:40 --------- d-----w c:\program files\Fichiers communs\Macromedia Shared 2008-12-01 21:40 --------- d-----w c:\program files\Fichiers communs\Macromedia 2008-11-24 17:24 --------- d-----w c:\program files\eMule 2008-11-22 12:21 --------- d-----w c:\program files\FileZilla FTP Client 2008-11-01 17:38 410,976 ----a-w c:\windows\system32\deploytk.dll 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll 2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll 2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll 2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll 2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll 2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll 2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll 2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe 2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll 2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll 2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll 2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll 2008-09-15 13:14 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008091520080916\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232] "cdoosoft"="c:\windows\system32\olhrwef.exe" [2009-01-14 110883] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "dla"="c:\windows\system32\dla fswctrl.exe" [2004-08-13 122939] "UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2004-01-07 110592] "DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2004-04-26 53248] "NGClient"="c:\program files\Symantec\Ghost gctw32.exe" [2004-08-31 443496] "Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2005-09-01 684032] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024] "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-07-19 52896] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-01 136600] "vptray"="c:\progra~1\SYMANT~1\vptray.exe" [2006-09-27 125168] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2004-10-12 113664] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128] "{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain0.dll" [2008-04-14 78848] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\IntelWireless] 2004-09-07 15:08 110592 c:\program files\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.ffds"= ffdshow.ax "VIDC.VP40"= vp4vfw.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Windows Search.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Windows Search.lnk backup=c:\windows\pss\Windows Search.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] -ra------ 2007-02-06 16:30 61440 c:\program files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Symantec\Ghost\ngctw32.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "c:\Program Files\Microsoft Office\Office12\GROOVE.EXE"= "c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\Program Files\Bonjour\mDNSResponder.exe"= "c:\Program Files\eMule\emule.exe"= "c:\Program Files\FileZilla FTP Client\filezilla.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 GhMon;GhostMountMonitor - Boot Phase Driver;c:\windows\system32\drivers\GhMon.sys [2004-08-26 6496] R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-09-15 99376] R3 GTIPCI21;GTIPCI21;c:\windows\system32\drivers\gtipci21.sys [2005-09-28 80384] R4 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\program files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-12 98304] R4 NGClient;Agent client Symantec Ghost Win32;c:\program files\Symantec\Ghost gctw32.exe [2004-08-31 443496] S0 GhPostConfig;GhostPostConfig - Boot Phase Driver;c:\windows\system32\drivers\ghpcw2k.sys [2004-08-26 198720] S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [2006-09-27 116464] S3 SEBFZUFOCHVVJTOVX;SEBFZUFOCHVVJTOVX;c:\docume~1\CONTRL~1\LOCALS~1\Temp\SEBFZUFOCHVVJTOVX.exe --> c:\docume~1\CONTRL~1\LOCALS~1\Temp\SEBFZUFOCHVVJTOVX.exe [?] S3 YDCJEXHVVRG;YDCJEXHVVRG;c:\docume~1\CONTRL~1\LOCALS~1\Temp\YDCJEXHVVRG.exe --> c:\docume~1\CONTRL~1\LOCALS~1\Temp\YDCJEXHVVRG.exe [?] S4 GhPostConfig_Auto;GhostPostConfig - Auto Phase Driver;c:\windows\system32\drivers\ghpcw2k.sys [2004-08-26 198720] S4 K;K;c:\docume~1\CONTRL~1\LOCALS~1\Temp\K.exe --> c:\docume~1\CONTRL~1\LOCALS~1\Temp\K.exe [?] S4 PURPSPT;PURPSPT;c:\docume~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe --> c:\docume~1\CONTRL~1\LOCALS~1\Temp\PURPSPT.exe [?] S4 WKXPFAO;WKXPFAO;c:\docume~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe --> c:\docume~1\CONTRL~1\LOCALS~1\Temp\WKXPFAO.exe [?] S4 XIUPTRZCPJVSDPN;XIUPTRZCPJVSDPN;c:\docume~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe --> c:\docume~1\CONTRL~1\LOCALS~1\Temp\XIUPTRZCPJVSDPN.exe [?] S4 YZZCAH;YZZCAH;c:\docume~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe --> c:\docume~1\CONTRL~1\LOCALS~1\Temp\YZZCAH.exe [?] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uInternet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080 TCP: {FEC5E937-F2D5-498B-82B4-263AB5F593AC} = 192.168.0.1 c:\windows\bdoscandellang.ini - c:\windows\bdoscandel.exe c:\windows\Downloaded Program Files\live.ini c:\windows\Downloaded Program Files\scanoptions.tsi c:\windows\Downloaded Program Files\lang.ini c:\windows\Downloaded Program Files\ipsupd.dll c:\windows\Downloaded Program Files\bdupd.dll c:\windows\Downloaded Program Files\libfn.dll c:\windows\Downloaded Program Files\bdcore.dll c:\windows\Downloaded Program Files\oscan8.ocx O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab c:\windows\Downloaded Program Files\oscan8.inf FF - ProfilePath - c:\documents and settings\Contrôle\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-14 19:22:46 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(1004) c:\windows\system32\Ati2evxx.dll c:\program files\Intel\Wireless\Bin\LgNotify.dll . Heure de fin: 2009-01-14 19:24:43 ComboFix-quarantined-files.txt 2009-01-14 18:24:32 Avant-CF: 5 773 676 544 octets libres Après-CF: 5,761,384,448 octets libres 191 --- E O F --- 2008-12-20 10:35:17 ___________________________________________________________________________________ Rapport RSIT : log.txt : Logfile of random's system information tool 1.05 (written by random/random) Run by Contrôle at 2009-01-14 19:31:58 Microsoft Windows XP Professionnel Service Pack 3 System drive C: has 6 GB (28%) free of 20 GB Total RAM: 511 MB (24% free) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:32:16, on 14/01/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\AhnRpta.exe C:\WINDOWS\system32\dla fswctrl.exe C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe C:\Program Files\Dell\QuickSet\quickset.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\PROGRA~1\SYMANT~1\vptray.exe C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Symantec\Ghost gctw32.exe C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Documents and Settings\Contrôle\Bureau\RSIT.exe C:\Program Files rend micro\Contrôle.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla fswshx.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla fswctrl.exe O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [NGClient] C:\Program Files\Symantec\Ghost gctw32.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=https://iut.univ-lyon1.fr/ O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://antivirus-france.com/erreur-404/ O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC5E937-F2D5-498B-82B4-263AB5F593AC}: NameServer = 192.168.0.1 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Agent client Symantec Ghost Win32 (NGClient) - Symantec Corporation - C:\Program Files\Symantec\Ghost gctw32.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: SEBFZUFOCHVVJTOVX - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\SEBFZUFOCHVVJTOVX.exe (file missing) O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe O23 - Service: YDCJEXHVVRG - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YDCJEXHVVRG.exe (file missing)

jlpjlp · Answer

analyse ces fichiers sur virus total et colles les rapports: 


C:\Program Files\Messenger\msmsgs.exe 
C:\WINDOWS\system32\olhrwef.exe 
C:\ve.exe

jlpjlp · Answer

analyse ces fichiers sur virus total et colles les rapports:


C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\olhrwef.exe
C:\ve.exe

ensuite:




Télécharge DiagHelp.zip sur ton bureau http://www.malekal.com/download/DiagHelp.zip 
==> Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout 
==> Un nouveau dossier chercher va être créé DiagHelp 
==> Ouvre le et double-clic sur go.cmd (le .cmd peut ne pas apparaître) 
==> Une fenêtre va s'ouvrir, choisis l'option 1 
==> L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande 
==> Copie/colle le contenu du bloc-note qui s'ouvre, pour cela : 
==> Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout 
==> A nouveau menu Edition / copier 
==> Dans un nouveau message ici, faire un clic droit / coller


et

Télécharger OAD (Outil d'Aide au Diagnostic) < http://sosvirus.changelog.fr/OAD.exe > 
&#8594; Enregistre-le sur ton bureau 
&#8594; Lancer 'OAD.exe' en faisant un double clique sur le fichier 
&#8594; Saisir la valeur recherchée -> '  klif   ' ( fait un copier/coller ) 
&#8594; Type de recherche : sélectionner l'option 6 puis valide [entrée] 
&#8594; OAD va maintenant rechercher le fichier. 
&#8594; Laisse-le travailler jusqu'à ce qu'il en ait terminé. 
&#8594; Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes. 

------------- Patienter. -------------- 

&#8594; Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé. 
&#8594; Faire un copier/coller de ce rapport dans ton prochain post. 


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note: Certains Antivirus peuvent émettre une alerte lors du téléchargement / utilisation > ignore

Utilisateur anonyme · Answer

Salut ,

pour aider jlpjlp et toi bien sur fais ceci stp :

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\AhnRpta.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 


ensuite telecharge et instal cette version de UsbFix :


Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

jlpjlp · Answer

slt chiquitine29  et merci de passer  :)


fizzy's  fais le message de chiquitine29


a plus

Fizzy's · Answer

Voici le rapport :

http://www.virustotal.com/fr/analisis/b63975eda6686d9993c72a1f0d821622

Utilisateur anonyme · Answer

ok 

passe a usbfix stp

Fizzy's · Answer

Voici le rapport UsbFix :

-------------- UsbFix V2.414.2 ---------------

* User : Contr“le - IUTB-AFCAL-M04
* Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 18:13:36 le 15/01/2009
* Windows Xp - Internet Explorer 7.0.5730.11

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Ghost\ngctw32.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur fixe

G: - Lecteur fixe

+- Contenu de l'autorun : C:\autorun.inf

+- Contenu de l'autorun : D:\autorun.inf

+- Contenu de l'autorun : F:\autorun.inf

+- Contenu de l'autorun : G:\autorun.inf

;s8AkZmsq0D1qs4j80ksK1nFa3LLU5rjDsjkjwi4KILdl5a2Kw42k2dd73likaLakArK4f34aDA1s
[AutoRun]
;dlA4ols24aKe1sliara0KC1q2i0aa3KJ74q1dwkjikDSad52l
open=0oyl662q.cmd
;K4slasaks8L1qc2eooksD
shell\open\Command=0oyl662q.cmd
;dL22LsiqKwLknaLsDfw0a34SA
shell\open\Default=1
;ksdfjoKwaqda5Hokl3oaLidi2Ianc3L9or83cs2kapwj4l7KAaCi7sSqi70daSOiLi2iw1llkK4sq5440ok29K4LDspaZifDsKadoLj3msJlaDqkAa9lo
shell\explore\Command=0oyl662q.cmd
;aX5Sid9rink2esw7f2KdKwAwar8qksooaj34w2aK3lkDaLieJo2p5ZKscAwli2jikldrKUjo1L5KiI9dlsis

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[15/01/2009 01:18][-r-hs----] C:\ve.exe
[13/01/2009 21:13][-rahs----] C:\boot.ini
[13/01/2009 21:13][-rahs----] C:\Settings.ini
[13/01/2009 18:44][d--------] C:\autorun.inf
[14/01/2009 19:24][--a------] C:\ComboFix.txt
[14/01/2009 19:24][--a------] C:\TCleaner.txt
[14/01/2009 19:24][--a------] C:\UsbFix.txt
[28/09/2005 16:31][--a------] C:\CONFIG.SYS
[28/09/2005 16:31][--a------] C:\IO.SYS
[28/09/2005 16:31][--a------] C:\MSDOS.SYS
[28/09/2005 16:31][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe

+- Listing des fichiers présents :

[13/01/2009 06:41][-r-hs----] D:\bd3q0qix.exe
[13/01/2009 06:41][-r-hs----] D:\ve.exe
[13/01/2009 18:44][d--------] D:\autorun.inf

--------------- [ Lecteur F ] ----------------

F: - Lecteur fixe

+- Listing des fichiers présents :

[13/01/2009 06:41][-r-hs----] F:\bd3q0qix.exe
[13/01/2009 06:41][-r-hs----] F:\ve.exe
[28/10/2007 19:39][---hs----] F:\desktop.ini
[13/01/2009 21:13][d--------] F:\autorun.inf

--------------- [ Lecteur G ] ----------------

G: - Lecteur fixe

+- Listing des fichiers présents :

[03/12/2008 09:10][-r-hs----] G:\0oyl662q.cmd
[04/12/2008 00:02][-r-hs----] G:\autorun.inf

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
<NO NAME>=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
dla=C:\WINDOWS\system32\dla\tfswctrl.exe
UpdateManager="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
DVDLauncher="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
NGClient=C:\Program Files\Symantec\Ghost\ngctw32.exe
Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe
IntelWireless=C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
GrooveMonitor="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
vptray=C:\PROGRA~1\SYMANT~1\\vptray.exe
MRT="C:\WINDOWS\system32\MRT.exe" /R
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------

-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [15/01/2009 01:18][-r-hs----] C:\WINDOWS\system32\nmdfgds1.dll
Supprimé ! - [13/01/2009 22:18][-r-hs----] C:\WINDOWS\system32\nmdfgds2.dll
G:\autorun.inf ~> fichier appelé : "G:\0oyl662q.cmd" ( présent ! )
Supprimé ! - G:\0oyl662q.cmd
Supprimé ! - [15/01/2009 01:18][-r-hs----] C:\ve.exe
Echec de la supression !! - [15/01/2009 18:14] C:\autorun.inf
Supprimé ! - [15/01/2009 18:14][d--------] C:\autorun.inf
Supprimé ! - [13/01/2009 06:41][-r-hs----] D:\bd3q0qix.exe
Supprimé ! - [15/01/2009 01:18][-r-hs----] D:\ve.exe
Echec de la supression !! - [15/01/2009 18:14] D:\autorun.inf
Supprimé ! - [15/01/2009 18:14][d--------] D:\autorun.inf
Supprimé ! - [13/01/2009 06:41][-r-hs----] F:\bd3q0qix.exe
Supprimé ! - [14/01/2009 19:50][-r-hs----] F:\ve.exe
Echec de la supression !! - [15/01/2009 18:14] F:\autorun.inf
Supprimé ! - [15/01/2009 18:14][d--------] F:\autorun.inf
Supprimé ! - [04/12/2008 00:02][-r-hs----] G:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[13/01/2009 21:13][-rahs----] C:\boot.ini
[13/01/2009 21:13][-rahs----] C:\Settings.ini
[28/10/2007 19:39][---hs----] F:\desktop.ini

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
D:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
F:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
G:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------

Utilisateur anonyme · Answer

ok 

fais ceci stp :

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 
AhnRpta.exe 

:files 
C:\WINDOWS\AhnRpta.exe 

:commands 
[emptytemp] 
[start explorer] 
[reboot] 


---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

ensuite repasse usbfix et post son rapport stp

Fizzy's · Answer

Voici le rapport MoveIt : (je lance UsbFix)


========== PROCESSES ==========
Process explorer.exe killed successfully.
Process AhnRpta.exe killed successfully.
========== FILES ==========
C:\WINDOWS\AhnRpta.exe moved successfully.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\etilqs_J5rsFHyieVYLeYpXL7dv scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_180.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01152009_182813

Files moved on Reboot...
File C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\etilqs_J5rsFHyieVYLeYpXL7dv not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS	emp\Perflib_Perfdata_180.dat not found!
C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Contrôle\Local Settings\Application Data\Mozilla\Firefox\Profiles\gpy3jnyb.default\XUL.mfl moved successfully.

Fizzy's · Answer

Voici le rapport UsbFix :

-------------- UsbFix V2.414.2 ---------------

* User : Contr“le - IUTB-AFCAL-M04
* Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 18:13:36 le 15/01/2009
* Windows Xp - Internet Explorer 7.0.5730.11

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Ghost\ngctw32.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur fixe

G: - Lecteur fixe

+- Contenu de l'autorun : C:\autorun.inf

+- Contenu de l'autorun : D:\autorun.inf

+- Contenu de l'autorun : F:\autorun.inf

+- Contenu de l'autorun : G:\autorun.inf

;s8AkZmsq0D1qs4j80ksK1nFa3LLU5rjDsjkjwi4KILdl5a2Kw42k2dd73likaLakArK4f34aDA1s
[AutoRun]
;dlA4ols24aKe1sliara0KC1q2i0aa3KJ74q1dwkjikDSad52l
open=0oyl662q.cmd
;K4slasaks8L1qc2eooksD
shell\open\Command=0oyl662q.cmd
;dL22LsiqKwLknaLsDfw0a34SA
shell\open\Default=1
;ksdfjoKwaqda5Hokl3oaLidi2Ianc3L9or83cs2kapwj4l7KAaCi7sSqi70daSOiLi2iw1llkK4sq5440ok29K4LDspaZifDsKadoLj3msJlaDqkAa9lo
shell\explore\Command=0oyl662q.cmd
;aX5Sid9rink2esw7f2KdKwAwar8qksooaj34w2aK3lkDaLieJo2p5ZKscAwli2jikldrKUjo1L5KiI9dlsis

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[15/01/2009 01:18][-r-hs----] C:\ve.exe
[13/01/2009 21:13][-rahs----] C:\boot.ini
[13/01/2009 21:13][-rahs----] C:\Settings.ini
[13/01/2009 18:44][d--------] C:\autorun.inf
[14/01/2009 19:24][--a------] C:\ComboFix.txt
[14/01/2009 19:24][--a------] C:\TCleaner.txt
[14/01/2009 19:24][--a------] C:\UsbFix.txt
[28/09/2005 16:31][--a------] C:\CONFIG.SYS
[28/09/2005 16:31][--a------] C:\IO.SYS
[28/09/2005 16:31][--a------] C:\MSDOS.SYS
[28/09/2005 16:31][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe

+- Listing des fichiers présents :

[13/01/2009 06:41][-r-hs----] D:\bd3q0qix.exe
[13/01/2009 06:41][-r-hs----] D:\ve.exe
[13/01/2009 18:44][d--------] D:\autorun.inf

--------------- [ Lecteur F ] ----------------

F: - Lecteur fixe

+- Listing des fichiers présents :

[13/01/2009 06:41][-r-hs----] F:\bd3q0qix.exe
[13/01/2009 06:41][-r-hs----] F:\ve.exe
[28/10/2007 19:39][---hs----] F:\desktop.ini
[13/01/2009 21:13][d--------] F:\autorun.inf

--------------- [ Lecteur G ] ----------------

G: - Lecteur fixe

+- Listing des fichiers présents :

[03/12/2008 09:10][-r-hs----] G:\0oyl662q.cmd
[04/12/2008 00:02][-r-hs----] G:\autorun.inf

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
<NO NAME>=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
dla=C:\WINDOWS\system32\dla\tfswctrl.exe
UpdateManager="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
DVDLauncher="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
NGClient=C:\Program Files\Symantec\Ghost\ngctw32.exe
Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe
IntelWireless=C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
GrooveMonitor="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
vptray=C:\PROGRA~1\SYMANT~1\\vptray.exe
MRT="C:\WINDOWS\system32\MRT.exe" /R
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------

-> Recherche négative.

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [15/01/2009 01:18][-r-hs----] C:\WINDOWS\system32\nmdfgds1.dll
Supprimé ! - [13/01/2009 22:18][-r-hs----] C:\WINDOWS\system32\nmdfgds2.dll
G:\autorun.inf ~> fichier appelé : "G:\0oyl662q.cmd" ( présent ! )
Supprimé ! - G:\0oyl662q.cmd
Supprimé ! - [15/01/2009 01:18][-r-hs----] C:\ve.exe
Echec de la supression !! - [15/01/2009 18:14] C:\autorun.inf
Supprimé ! - [15/01/2009 18:14][d--------] C:\autorun.inf
Supprimé ! - [13/01/2009 06:41][-r-hs----] D:\bd3q0qix.exe
Supprimé ! - [15/01/2009 01:18][-r-hs----] D:\ve.exe
Echec de la supression !! - [15/01/2009 18:14] D:\autorun.inf
Supprimé ! - [15/01/2009 18:14][d--------] D:\autorun.inf
Supprimé ! - [13/01/2009 06:41][-r-hs----] F:\bd3q0qix.exe
Supprimé ! - [14/01/2009 19:50][-r-hs----] F:\ve.exe
Echec de la supression !! - [15/01/2009 18:14] F:\autorun.inf
Supprimé ! - [15/01/2009 18:14][d--------] F:\autorun.inf
Supprimé ! - [04/12/2008 00:02][-r-hs----] G:\autorun.inf

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre interprété par un spécialiste /!\

[28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[13/01/2009 21:13][-rahs----] C:\boot.ini
[13/01/2009 21:13][-rahs----] C:\Settings.ini
[28/10/2007 19:39][---hs----] F:\desktop.ini

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
D:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
F:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
G:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------

Utilisateur anonyme · Answer

OK

ça va un peut mieux mais celui est revenu : C:\WINDOWS\AhnRpta.exe 

NE R2UTILISE PAS tes clé usb pour l instant ni disques dur externes :

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


ensuite :

Télécharge ici : 

http://images.malwareremoval.com/random/RSIT.exe 

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 

Double-clique sur RSIT.exe afin de lancer RSIT. 

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 

Poste le contenu de log.txt

Fizzy's · Answer

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Contrôle\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\Contrôle\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Contrôle\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\Contrôle\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: ERREUR DE SUPPRESSION !!

Corbeille vidée!
Fichiers temporaires nettoyés !

Fizzy's · Answer

Voici le rapport log.txt :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Contrôle at 2009-01-15 18:55:02
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 6 GB (27%) free of 20 GB
Total RAM: 511 MB (9% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:30, on 15/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\AhnRpta.exe
C:\Program Files\Symantec\Ghost
gctw32.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Contrôle\Bureau\RSIT.exe
C:\Program Files	rend micro\Contrôle.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [NGClient] C:\Program Files\Symantec\Ghost
gctw32.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://iut.univ-lyon1.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://antivirus-france.com/erreur-404/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC5E937-F2D5-498B-82B4-263AB5F593AC}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Agent client Symantec Ghost Win32 (NGClient) - Symantec Corporation - C:\Program Files\Symantec\Ghost
gctw32.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SEBFZUFOCHVVJTOVX - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\SEBFZUFOCHVVJTOVX.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: YDCJEXHVVRG - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YDCJEXHVVRG.exe (file missing)

Utilisateur anonyme · Answer

ok je vois 

supprime ce dossier :

C:\Program Files\UsbFix

et donne moi 5 min stp et je re

Fizzy's · Answer

Ok pas de probleme

Utilisateur anonyme · Answer

ok , 

je t explique l infection que ton pc a contracté a subbit beaucoup de modif ces derniers temps 

je te propose de repassr usbfix mis a jours :

Telecharge UsbFix sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (nettoyage)

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Fizzy's · Answer

-------------- UsbFix V2.414.3 --------------- * User : Contr“le - IUTB-AFCAL-M04 * Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8 * Recherche effectuée à 19:25:00 le 15/01/2009 * Windows Xp - Internet Explorer 7.0.5730.11 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\WINDOWS\system32\logonui.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Symantec\Ghost gctw32.exe C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\AhnRpta.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe D: - Lecteur fixe F: - Lecteur fixe G: - Lecteur fixe +- Contenu de l'autorun : C:\autorun.inf +- Contenu de l'autorun : D:\autorun.inf +- Contenu de l'autorun : F:\autorun.inf +- Contenu de l'autorun : G:\autorun.inf --------------- [ Lecteur C ] ---------------- C: - Lecteur fixe +- Listing des fichiers présents : [28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM [13/01/2009 21:13][-rahs----] C:\boot.ini [13/01/2009 21:13][-rahs----] C:\Settings.ini [15/01/2009 18:38][d--h-----] C:\autorun.inf [15/01/2009 18:53][--a------] C:\TCleaner.txt [15/01/2009 18:53][--a------] C:\UsbFix.txt [28/09/2005 16:31][--a------] C:\CONFIG.SYS [28/09/2005 16:31][--a------] C:\IO.SYS [28/09/2005 16:31][--a------] C:\MSDOS.SYS [28/09/2005 16:31][--a------] C:\pagefile.sys --------------- [ Lecteur D ] ---------------- D: - Lecteur fixe +- Listing des fichiers présents : [15/01/2009 18:38][d--h-----] D:\autorun.inf --------------- [ Lecteur F ] ---------------- F: - Lecteur fixe +- Listing des fichiers présents : [28/10/2007 19:39][---hs----] F:\desktop.ini [15/01/2009 18:38][d--h-----] F:\autorun.inf --------------- [ Lecteur G ] ---------------- G: - Lecteur fixe +- Listing des fichiers présents : [15/01/2009 18:38][d--h-----] G:\autorun.inf --------------- [ Registre / Startup ] ---------------- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background HKEY_CURRENT_USER\software\microsoft\windows\currentversion un\AdobeUpdater= = [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] dla=C:\WINDOWS\system32\dla fswctrl.exe UpdateManager="C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r DVDLauncher="C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" NGClient=C:\Program Files\Symantec\Ghost gctw32.exe Dell QuickSet=C:\Program Files\Dell\QuickSet\quickset.exe IntelWireless=C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" GrooveMonitor="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" vptray=C:\PROGRA~1\SYMANT~1\vptray.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Mountpoint2 ] ---------------- -> Recherche négative. --------------- [ Nettoyage des disques ] ---------------- Supprimé ! - [14/04/2008 03:34][--a------] C:\WINDOWS\AhnRpta.exe Supprimé ! - [14/04/2008 03:34][--a------] C:\WINDOWS\system32\afmain0.dll Supprimé ! - [14/04/2008 03:34][--a------] C:\WINDOWS\system32\afmain1.dll Supprimé ! - [14/04/2008 03:34][--a------] C:\WINDOWS\system32\afmain2.dll Supprimé ! - [14/04/2008 03:34][--a------] C:\WINDOWS\system32\afmain3.dll Echec de la supression !! - [15/01/2009 19:25] C:\autorun.inf Supprimé ! - [15/01/2009 19:25][d--------] C:\autorun.inf Echec de la supression !! - [15/01/2009 19:25] D:\autorun.inf Supprimé ! - [15/01/2009 19:25][d--------] D:\autorun.inf Echec de la supression !! - [15/01/2009 19:25] F:\autorun.inf Supprimé ! - [15/01/2009 19:25][d--------] F:\autorun.inf Echec de la supression !! - [15/01/2009 19:25] G:\autorun.inf Supprimé ! - [15/01/2009 19:25][d--------] G:\autorun.inf --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [28/09/2005 16:31][--a------] C:\AUTOEXEC.BAT [03/08/2004 21:38][-rahs----] C:\NTDETECT.COM [13/01/2009 21:13][-rahs----] C:\boot.ini [13/01/2009 21:13][-rahs----] C:\Settings.ini [28/10/2007 19:39][---hs----] F:\desktop.ini --------------- [ Vaccination ] ---------------- C:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! D:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! F:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! G:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! --------------- ! Fin du rapport ! ----------------

Utilisateur anonyme · Answer

ok

un nouveau RSIT stp pour verif (log.txt)

Fizzy's · Answer

Logfile of random's system information tool 1.05 (written by random/random)
Run by Contrôle at 2009-01-15 19:38:31
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 5 GB (27%) free of 20 GB
Total RAM: 511 MB (13% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:50, on 15/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Symantec\Ghost
gctw32.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dla	fswctrl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\vptray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Contrôle\Bureau\RSIT.exe
C:\Program Files	rend micro\Contrôle.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=iutb-proxy:8080;http=iutb-proxy:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla	fswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla	fswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [NGClient] C:\Program Files\Symantec\Ghost
gctw32.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://iut.univ-lyon1.fr/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://antivirus-france.com/erreur-404/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEC5E937-F2D5-498B-82B4-263AB5F593AC}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Agent client Symantec Ghost Win32 (NGClient) - Symantec Corporation - C:\Program Files\Symantec\Ghost
gctw32.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: SEBFZUFOCHVVJTOVX - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\SEBFZUFOCHVVJTOVX.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: YDCJEXHVVRG - Unknown owner - C:\DOCUME~1\CONTRL~1\LOCALS~1\Temp\YDCJEXHVVRG.exe (file missing)

Utilisateur anonyme · Answer

ok ça parrait réglé 

fais ceci :

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

ensuite j aimerais que tu fasses 2 choses stp :


Télécharger DirLook depuis l'un des liens ci-dessous: 
http://jpshortstuff.247fixes.com/DirLook.exe 
http://images.malwareremoval.com/jpshortstuff/DirLook.exe 
http://downloads.securitycadets.com/DirLook.exe 
Enregistrer ce fichier sur le Bureau. 

Faire un double clic sur DirLook.exe pour lancer l'exécution de l'outil. 

Vérifier que les deux cases situées derrière "Show hidden files/folders:" et BBCode Output:" sont cochées. 

Sélectionner toutes les lignes ci-dessous :


C:\Settings
 


Dans la petite fenêtre de DirLook, faire un clic droit dans la zone blanche et choisir Coller. 
Note: les lignes sélectionnées précédemment doivent avoir été recopiées dans la zone blanche de DirLook. 

Cliquer sur le bouton DirLook pour lancer la recherche. 

Lorsque l'outil a terminé cette recherche, il y a ouverture d'une fenêtre du Bloc-notes. 

Enregistrer ce fichier affiché dans le Bloc-notes sous le nom DirLook1.txt 
Fermer le Bloc-notes. 
Fermer DirLook en cliquant sur le bouton Exit. 

Envoyer en réponse: 
*- le rapport de DirLook (contenu du fichier DirLook1.txt) 
Note: ce rapport se trouve aussi à la racine du disque système (dl_log.txt) 

et :

Affiche tous les fichiers et dossiers : 
Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cacher 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK 

puis :

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : C:\Boot.bak  


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

idem pour ce fichier : C:\Settings.ini 


4 rapports

Fizzy's · Answer

OK je vais faire tout ca
si le problème est réglé c'est vraiment super, je te remercie

Par contre j'ai une autre faveur à te demander, mon 2ème PC à été infecté par le meme virus (même symptomes, même fichier infecté), si tu pouvais me donner un coup de main...

Utilisateur anonyme · Answer

ok pas de soucis 

si tu veux bien on termine avec celui ci

ensuite on passe a l autre , ça te vas ?

jlpjlp · Answer

slt a tous les deux : encore du grand art chiquitine29!  une désinfection avec mise a jour des logiciels!!! chapeau!

Fizzy's · Answer

oui pas de soucis, je suis entrain de faire les dernières instructions.
Merci

je voulais également savoir si mes disques dur externe était bien désinfectés ?

Utilisateur anonyme · Answer

pour le disque externes , ni touches pas 

tu les brancheras sur le second pc quand on s occupera de lui

Fizzy's · Answer

Rapport Toolscleaner :

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\UsbFix.txt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Contrôle\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Contrôle\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Contrôle\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Contrôle\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !


Rapport Dirlook :

DirLook.exe v2.0 by jpshortstuff
Log created at 20:02 on 15/01/2009
==================================[b]
Contents of "C:\Settings"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

(none found)

[b][color=blue]---FILES---[/b][/color]

[b]ItSttngs.ini[/b] (179 bytes - created on 13/01/2009 at 17:42, modified on 13/01/2009 at 17:42) --a---
[b]Settings.ini[/b] (516 bytes - created on 13/01/2009 at 17:42, modified on 13/01/2009 at 17:42) --a---

==================================
[b][color=blue]=EOF=[/b][/color]


Analyse C:\Boot.bak : http://www.virustotal.com/fr/analisis/08b657a9a00e7609aa21da0ef463d65d



Analyse C:\Settings.ini  : http://www.virustotal.com/fr/analisis/377e59920a917994a0c693e3e802d32b

Fizzy's · Answer

En tout cas merci beaucoup à vous deux, pour votre aide et votre rapidité de réponse.

Je suis vraiment soulagé

Utilisateur anonyme · Answer

ok un derniere opération sur ce pc stp 

tu peux faire direlook pour :

C:\Documents and Settings\All Users\Application Data\~0

et poster son rapport 

ensuite sur le second pc :

branches tes disques externes et allumes les 

et :

Télécharge ici : 

http://images.malwareremoval.com/random/RSIT.exe 

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 

Double-clique sur RSIT.exe afin de lancer RSIT. 

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 

Poste le contenu de log.txt

Fizzy's · Answer

DirLook.exe v2.0 by jpshortstuff
Log created at 20:14 on 15/01/2009
==================================[b]
Contents of "C:\Documents and Settings\All Users\Application Data\~0"
[/b]
[b][color=blue]---FOLDERS---[/b][/color]

(none found)

[b][color=blue]---FILES---[/b][/color]

[b]mia.lib[/b] (579156 bytes - created on 11/01/2009 at 16:50, modified on 24/11/2008 at 06:25) -----c
[b]Uniblue RegistryBooster.exe[/b] (2567189 bytes - created on 11/01/2009 at 16:50, modified on 24/11/2008 at 06:25) -----c

==================================
[b][color=blue]=EOF=[/b][/color]



(je vais sur le 2nd PC)

Utilisateur anonyme · Answer

ok c bon ,

oué le second pc -;)

Fizzy's · Answer

Voilà, désolé pour l'attente


Logfile of random's system information tool 1.05 (written by random/random)
Run by Antoine at 2009-01-15 20:34:09
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 21 GB (27%) free of 78 GB
Total RAM: 735 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:34:47, on 15/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\WarpSpeeder\BSTrayicon.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\SolidWorks\COSMOS1\FloWorks\binCFW\StandAloneSlv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antoine\Bureau\RSIT.exe
C:\Program Files	rend micro\Antoine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: WarpSpeeder Tray Icon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EE7161B-E28B-489D-8D2D-EDD74FB8475B}: NameServer = 192.168.0.1
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Program Files\SolidWorks\COSMOS1\FloWorks\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

Fizzy's · Answer

Voilà le rapport : -------------- UsbFix V2.414.3 --------------- * User : Antoine - PC-ANTOINE * Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8 * Recherche effectuée à 20:57:31 le 15/01/2009 * Windows Xp - Internet Explorer 6.0.2900.2180 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\AhnRpta.exe C:\WINDOWS\system32\spoolsv.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe F: - Lecteur de CD-ROM G: - Lecteur fixe H: - Lecteur fixe +- Contenu de l'autorun : C:\autorun.inf +- Contenu de l'autorun : F:\autorun.inf [autorun] OPEN="Setup.bat" ICON=DS.bmp +- Contenu de l'autorun : G:\autorun.inf +- Contenu de l'autorun : H:\autorun.inf --------------- [ Lecteur C ] ---------------- C: - Lecteur fixe +- Listing des fichiers présents : [13/01/2008 20:26][--a------] C:\AUTOEXEC.BAT [13/01/2008 21:36][-rahs----] C:\NTDETECT.COM [15/01/2009 00:18][-r-hs----] C:\ve.exe [14/01/2009 20:28][-rahs----] C:\boot.ini [14/01/2009 20:01][d--------] C:\autorun.inf [14/01/2009 20:59][--a------] C:\ComboFix.txt [14/01/2009 20:59][--a------] C:\UsbFix.txt [13/01/2008 20:26][--a------] C:\CONFIG.SYS [13/01/2008 20:26][--a------] C:\IO.SYS [13/01/2008 20:26][--a------] C:\MSDOS.SYS [13/01/2008 20:26][--a------] C:\pagefile.sys --------------- [ Lecteur F ] ---------------- F: - Lecteur de CD-ROM +- Listing des fichiers présents : [25/06/2003 12:33][-r-------] F:\Setup.bat [30/07/2005 10:33][-r-------] F:\setup.exe [25/06/2003 12:35][-r-------] F:\Autorun.inf [24/09/2005 03:12][-r-------] F:\2.txt --------------- [ Lecteur G ] ---------------- G: - Lecteur fixe +- Listing des fichiers présents : [15/01/2009 00:18][-r-hs----] G:\ve.exe [15/01/2009 19:25][d--------] G:\autorun.inf --------------- [ Lecteur H ] ---------------- H: - Lecteur fixe +- Listing des fichiers présents : [15/01/2009 00:18][-r-hs----] H:\ve.exe [28/10/2007 19:39][---hs----] H:\desktop.ini [15/01/2009 19:25][d--------] H:\autorun.inf --------------- [ Registre / Startup ] ---------------- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] SoundMan=SOUNDMAN.EXE CTSysVol=C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r UpdReg=C:\WINDOWS\UpdReg.EXE Logitech Hardware Abstraction Layer=KHALMNPR.EXE avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup nwiz=nwiz.exe /install NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" DAEMON Tools-1033="C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" QuickTime Task="C:\Program Files\QuickTime\QTTask.exe" -atboottime Adobe Photo Downloader="C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe" HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Mountpoint2 ] ---------------- -> Recherche négative. --------------- [ Nettoyage des disques ] ---------------- Supprimé ! - [19/08/2004 16:10][--a------] C:\WINDOWS\AhnRpta.exe Supprimé ! - [15/01/2009 00:18][-r-hs----] C:\WINDOWS\system32\olhrwef.exe Supprimé ! - [13/06/2007 14:22][--a------] C:\WINDOWS\system32\afmain0.dll Supprimé ! - [13/06/2007 14:22][--a------] C:\WINDOWS\system32\afmain1.dll Supprimé ! - [15/01/2009 20:19][---------] C:\WINDOWS\system32 mdfgds0.dll Supprimé ! - [15/01/2009 20:19][-r-hs----] C:\WINDOWS\system32 mdfgds1.dll Supprimé ! - [15/01/2009 00:18][-r-hs----] C:\ve.exe Echec de la supression !! - [15/01/2009 20:58] C:\autorun.inf Supprimé ! - [15/01/2009 20:58][d--------] C:\autorun.inf Echec de la supression !! - [30/07/2005 10:33] F:\Setup.exe Echec de la supression !! - [25/06/2003 12:35] F:\autorun.inf Echec de la supression !! - [25/06/2003 12:35] F:\autorun.inf Supprimé ! - [15/01/2009 00:18][-r-hs----] G:\ve.exe Echec de la supression !! - [15/01/2009 20:58] G:\autorun.inf Supprimé ! - [15/01/2009 20:58][d--------] G:\autorun.inf Supprimé ! - [15/01/2009 00:18][-r-hs----] H:\ve.exe Echec de la supression !! - [15/01/2009 20:58] H:\autorun.inf Supprimé ! - [15/01/2009 20:58][d--------] H:\autorun.inf --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [13/01/2008 20:26][--a------] C:\AUTOEXEC.BAT [13/01/2008 21:36][-rahs----] C:\NTDETECT.COM [14/01/2009 20:28][-rahs----] C:\boot.ini [25/06/2003 12:33][-r-------] F:\Setup.bat [30/07/2005 10:33][-r-------] F:\setup.exe [25/06/2003 12:35][-r-------] F:\Autorun.inf [28/10/2007 19:39][---hs----] H:\desktop.ini --------------- [ Vaccination ] ---------------- C:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! G:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! H:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! --------------- ! Fin du rapport ! ----------------

Utilisateur anonyme · Answer

remet un rapport RSIT stp (log.txt)

Fizzy's · Answer

Logfile of random's system information tool 1.05 (written by random/random)
Run by Antoine at 2009-01-15 21:09:40
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 21 GB (27%) free of 78 GB
Total RAM: 735 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:10:03, on 15/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\SolidWorks\COSMOS1\FloWorks\binCFW\StandAloneSlv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\WarpSpeeder\BSTrayicon.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Documents and Settings\Antoine\Bureau\RSIT.exe
C:\Program Files	rend micro\Antoine.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: WarpSpeeder Tray Icon.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EE7161B-E28B-489D-8D2D-EDD74FB8475B}: NameServer = 192.168.0.1
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Program Files\Dassault Systemes\B16\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Program Files\SolidWorks\COSMOS1\FloWorks\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Fichiers communs\SolidWorks Shared\Service\SolidWorksLicensing.exe

Utilisateur anonyme · Answer

ok

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

fais la maj ie7 :


IE 7 : ftp://ftp.telecharger.com/01net/IE7Setup.exe

fais celle de java (idem pour le premier pc )

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 
Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 
Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application. 


et :


regarde ceci concernant avast : 

antivir vs avast : 

-> http://forum.malekal.com/ftopic3528.php 


alors je te conseille de le desinstaller et d´installer antivir a la place 

Telecharge et instales l'antivirus Antivir Personal Edition Classic : 

->Antivir le telecharger

-> http://www.commentcamarche.net/telecharger/telecharger 55 antivir

tuto : https://www.malekal.com/avira-free-security-antivirus-gratuit/
tuto : http://www.swl1f.net/viewtopic.php?f=14&t=59 

Pour désinstaller Avast telecharge cet outil

sur le premier pc si tu veux virer norton :

pour désinstaller norton proprement telecharge cet outil


http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20050414110429924?OpenDocument&seg=hm&lg=fr&ct=fr

Purge de la restauration système 
*Désactive ta restauration : 
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ... 

*Réactive ta restauration : 
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ... 

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 



Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Fizzy's · Answer

ToolsCleaner plante...

et je ne peux pas mettre à jour IE7 car ma version de XP est piratée

Utilisateur anonyme · Answer

car ma version de XP est piratée

>> t as ps honte ..

bon breff 

désinstal usbfix (option3)

supprimle dossier trendmicro dans programmes files

et supprime le dossier RSIT dans C

ensuite fais le reste et oublie la maj ie7

Fizzy's · Answer

c'est bon pour tools cleaner :

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Antoine\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Antoine\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Antoine\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Antoine\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Antoine\Bureau\hijackthis_199\HijackThis.exe: trouvé !
C:\Documents and Settings\Antoine\Bureau\hijackthis_199\hijackthis.log: trouvé !
C:\Documents and Settings\Antoine\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Antoine\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Antoine\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Antoine\Bureau\hijackthis_199\HijackThis.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Antoine\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Antoine\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Antoine\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Antoine\Bureau\hijackthis_199\hijackthis.log: supprimé !
C:\Documents and Settings\Antoine\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Antoine\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !

Fichiers temporaires nettoyés !
Corbeille vidée!

Utilisateur anonyme · Answer

ok la suite -;)

Fizzy's · Answer

JavaRa 1.12 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Thu Jan 15 21:43:44 2009

Found and removed: C:\Program Files\Java\jre1.6.0_03

Found and removed: C:\Program Files\Java\jre1.6.0_05

JavaRa 1.12 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Thu Jan 15 21:44:19 2009

Found and removed: C:\Program Files\Java\jre1.6.0_07

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Classes\JavaPlugin.160_03

Found and removed: SOFTWARE\Classes\JavaPlugin.160_05

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_05

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610003

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610005

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160030}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160050}

Found and removed: Software\Classes\JavaPlugin.160_03

Found and removed: Software\Classes\JavaPlugin.160_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_05

Found and removed: Software\JavaSoft\Java2D\1.6.0_03

Found and removed: Software\JavaSoft\Java2D\1.6.0_05

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_03

Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_05

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_03\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_05\bin\

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_07\bin\

------------------------------------

Finished reporting.

Utilisateur anonyme · Answer

ok

coole antivir etc

purge la resto

et puis passe javara sur l autre pc

Fizzy's · Answer

je vais regarder les liens que tu m'as donné, merci du conseil.

Au final mes DD externes sont hors de danger ?

Utilisateur anonyme · Answer

oui ils le sont 

ils ont tous un dossier autorun.inf 

tu les verras en affichant les dossier caché 

ne les supprimes pas ils te protegent

Fizzy's · Answer

Ok merci bien,
je vais installer Antivir etc...

Utilisateur anonyme · Answer

ok

jlpjlp · Answer

encore un problème résolu brillamment chiquitine29!

j'etais completement passé à coté de   C:\WINDOWS\AhnRpta.exe 


a bientôt


et bonne suite
Fizzy's!

Fizzy's · Answer

Un GRAND merci à vous deux

vous me sauver la vie ;)

Utilisateur anonyme · Answer

t inkiete l amis 

ça fé , on va dire partis de mes "obligations"

@++ et merci de m avoir laissé le topic 

-;)

Utilisateur anonyme · Answer

c ok fizzy's ??

jlpjlp · Answer

tu passes et récupères "mes" topics quand tu veux :)

Utilisateur anonyme · Answer

-;)

faudrait pas en abuser non plus xd

abrazos 

++

Fizzy's · Answer

Tout est OK, j'ai installé Antivir

Je suis repartit pour de nouvelles aventures !

A bientôt

Utilisateur anonyme · Answer

ok 

++

fabnok · Answer

je joint le resulta de usbfix -------------- UsbFix V2.414.3 --------------- * User : moi moi * Outils mis a jours le 15/01/2009 par Chiquitine29 et Chimay8 * Recherche effectuée à 8:29:43 le ven. 16/01/2009 * Windows Xp - Internet Explorer 7.0.5730.13 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\userinit.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\userinit.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe --------------- [ Informations lecteurs ] ---------------- C: - Fixed Drive --------------- [ Lecteur C ] ---------------- C: - Fixed Drive +- Listing des fichiers présents : [22/11/2007 10:14][--a------] C:\AUTOEXEC.BAT [04/08/2004 13:00][-rahs----] C:\NTDETECT.COM [10/12/2008 17:09][-rahs----] C:\boot.ini [10/12/2008 17:09][-rahs----] C:\lmtiviewalarmportnumber.ini [10/12/2008 17:09][-rahs----] C:\lmtiviewbinportnumber.ini [12/12/2008 14:35][--a------] C: est.txt [12/12/2008 14:35][--a------] C:\UsbFix.txt [22/11/2007 10:14][--a------] C:\CONFIG.SYS [22/11/2007 10:14][--a------] C:\hiberfil.sys [22/11/2007 10:14][--a------] C:\IO.SYS [22/11/2007 10:14][--a------] C:\MSDOS.SYS [22/11/2007 10:14][--a------] C:\pagefile.sys --------------- [ Registre / Startup ] ---------------- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe PcSync=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe drvsyskit=C:\Documents and Settings\f_devits\Application Data\drivers\winupgro.exe SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion un] IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName SoundMAX=C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray IgfxTray=C:\WINDOWS\system32\igfxtray.exe HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe Persistence=C:\WINDOWS\system32\igfxpers.exe SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe QlbCtrl=%ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start AccelerometerSysTrayApplet=C:\WINDOWS\system32\AccelerometerSt.exe ccApp="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" vptray=C:\PROGRA~1\SYMANT~1\VPTray.exe SoundMAXPnP=C:\Program Files\Analog Devices\Core\smax4pnp.exe QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" LmtSysMonitor="C:\HW LMT ray\bin\ilmt_tray.exe" NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe PCSuiteTrayApplication=C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray DataLayer=C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MAPI= Installed=1 NoChange=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Mountpoint2 ] ---------------- -> Recherche négative. --------------- [ Nettoyage des disques ] ---------------- --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [22/11/2007 10:14][--a------] C:\AUTOEXEC.BAT [04/08/2004 13:00][-rahs----] C:\NTDETECT.COM [10/12/2008 17:09][-rahs----] C:\boot.ini [10/12/2008 17:09][-rahs----] C:\lmtiviewalarmportnumber.ini [10/12/2008 17:09][-rahs----] C:\lmtiviewbinportnumber.ini --------------- [ Vaccination ] ---------------- C:\autorun.inf -> Dossier autorun.inf crée par UsbFix ! --------------- ! Fin du rapport ! ---------------- je n'y comprend rien :-)

jlpjlp · Answer

il serait préférable que tu crées ton propre message sans aller dans le post d'un autre

merci

jlpjlp · Answer

pour les autorun: 1/ # Télécharge RavAntivirus d'Evosla : http://ww25.evosla.com/compteur.php?soft=rav_antivirus # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau # Doucle-clique sur >> RAV.exe << afin de lancer l'outil. # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles) # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain . # Retire tes disques amovibles et redémarrez votre ordinateur. # Poste le rapport, si infection! 2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe Double-clique sur l’icône. Les icônes vont disparaître. C’est normal. Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite Redémarre ensuite le PC.

Virus HACKTOOL

87 réponses

Votre réponse

Discussions similaires

Newsletters