Probleme vec un trojan win32

nightwoolf -  
geoffrey5 Messages postés 14008 Statut Contributeur sécurité -
Bonjour,
je suis actuellement infecté pas un trojan qui ralentie énormément mon ordi et internet. Il me fait apparaitre également un faux scan de lordinateur et me conseil d'acheter un faux antivirus que je ferme a chaque fois.
jai fait plusieur scan et il a plusieur win32 dans les fichier infecter. je voudrais bien quil y ai qqun qui puisse me dire comment m'en débarasser. J'ai fait un scan avec Hijackthis et voila le résultat.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:05:40 PM, on 1/19/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\ltmsg.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKCU\..\Run: [A00F1B1CD6.exe] C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\_A00F1B1CD6.exe
O4 - HKCU\..\Run: [A00F1BC99A5.exe] C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\_A00F1BC99A5.exe
O4 - HKCU\..\Run: [A00F7826F4.exe] C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\_A00F7826F4.exe
O4 - HKCU\..\Run: [A00F3E432.exe] C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp\_A00F3E432.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dim70032.dll
O20 - Winlogon Notify: 2433206c515 - C:\WINDOWS\System32\d3dim70032.dll
O20 - Winlogon Notify: __c002072 - C:\WINDOWS\system32\__c002072.dat (file missing)
O20 - Winlogon Notify: __c0059AE8 - C:\WINDOWS\system32\__c0059AE8.dat (file missing)
O20 - Winlogon Notify: __c008ECD9 - C:\WINDOWS\system32\__c008ECD9.dat
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
A voir également:

6 réponses

Réponse 1 / 6
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Bonsoir,

Option 1 - Recherche :


▶ télécharge smitfraudfix et enregistre le sur le bureau

▶ Ensuite double clique sur smitfraudfix puis exécuter

▶ Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)

▶ copier/coller le rapport dans la réponse.


Voici un tutoriel sonore et animé en cas de problème d'utilisation



(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool".
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains,
cet utilitaire pourrait arrêter des logiciels de sécurité.)
0
nightwoolf
 
voici le résultat

SmitFraudFix v2.391

Rapport fait à 14:10:00.10, Mon 01/19/2009
Executé à partir de C:\Documents and Settings\Jean-Philippe\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ltmsg.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Jean-Philippe\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-Philippe


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean-Philippe\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEAN-P~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\d3dim70032.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VM Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7CF46373-59E7-4C38-935B-2CB244B8AEA7}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7CF46373-59E7-4C38-935B-2CB244B8AEA7}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7CF46373-59E7-4C38-935B-2CB244B8AEA7}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jespere que ca va aider
0
Réponse 2 / 6
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
RAS dans SmitfraudFix...

▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


Et ensuite refais un nouveau rapport hijackthis stp
0
nightwoolf
 
voici le raport demandé

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1668
Windows 5.1.2600 Service Pack 3

1/20/2009 9:21:27 AM
mbam-log-2009-01-20 (09-21-27).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 100758
Temps écoulé: 36 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a00f1b1cd6.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a00f1bc99a5.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a00f7826f4.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a00f3e432.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

je vais ensuite faire un scande hijackthis
0
nightwoolf > nightwoolf
 
et voici le scan de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:16, on 1/20/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ltmsg.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O20 - AppInit_DLLs: C:\WINDOWS\System32\d3dim70032.dll
O20 - Winlogon Notify: 2433206c515 - C:\WINDOWS\System32\d3dim70032.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
0
Réponse 3 / 6
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Bonjour,

▶ Télécharge Combofix de sUBs


▶ et enregistre le sur le Bureau.


▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Je te conseille d'installer la console de récupération !!


ensuite envois le rapport et refais un nouveau rapport hijackthis stp
0
nightwoolf
 
et voici le resultat de hijackthis encore une fois

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:34:58, on 1/21/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ltmsg.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAM FILES\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WeatherEye] C:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: 2433206c515 - C:\WINDOWS\System32\d3dim70032.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
0
Réponse 4 / 6
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
je n'ai pas le rapport de ComboFix
0
nightwoolf
 
ca fait 3 fois que je met le rapport de combofix dans ce furum et il n'a pas l,air de vouloir l'afficher.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Je ne vois pas d'antivirus installé sur ton PC....

Antivir

Voici un tutoriel pour l'installer et l'utiliser correctement.

Voici aussi un autre tutoriel pour Antivir en français : http://www.libellules.ch/tuto_antivir.php

Configure antivir pour faire une recherche de rootkits

Fais une analyse complète de ton PC et poste le rapport généré à la fin de l'analyse stp
0
nightwoolf
 
voici le rapport du avira antivir

Avira AntiVir Personal
Date de création du fichier de rapport : Thursday, January 22, 2009 11:28

La recherche porte sur 1256864 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : Jean-Philippe
Nom de l'ordinateur :JEAN-05AE78A265

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 2008-12-02 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 2009-01-22 16:23:15
AVSCAN.DLL : 8.1.4.1 49921 Bytes 2008-07-21 19:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 18:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 2008-07-04 13:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 16:23:16
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 2009-01-14 16:23:18
ANTIVIR2.VDF : 7.1.1.148 440832 Bytes 2009-01-20 16:23:18
ANTIVIR3.VDF : 7.1.1.167 308736 Bytes 2009-01-22 16:23:18
Version du moteur: 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 2008-10-14 16:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 2009-01-22 16:23:18
AESCN.DLL : 8.1.1.5 123251 Bytes 2009-01-22 16:23:18
AERDL.DLL : 8.1.1.3 438645 Bytes 2009-01-22 16:23:18
AEPACK.DLL : 8.1.3.5 393588 Bytes 2009-01-22 16:23:18
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 2009-01-22 16:23:18
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 2009-01-22 16:23:18
AEHELP.DLL : 8.1.2.0 119159 Bytes 2009-01-22 16:23:18
AEGEN.DLL : 8.1.1.10 323957 Bytes 2009-01-22 16:23:18
AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 16:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 2009-01-22 16:23:18
AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 16:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 14:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 15:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 2009-01-22 16:23:18
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 17:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 14:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 18:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 23:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 18:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 18:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-07-04 13:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 2008-07-17 16:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Lecteurs locaux
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\alldrives.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, E:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : Thursday, January 22, 2009 11:28

La recherche sur les processus démarrés commence :
Processus de recherche 'avwsc.exe' - '0' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLLoginProxy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WeatherEye.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2guard.exe' - '0' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ltmsg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NMSAccessU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '0' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'aawservice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
C:\WINDOWS\system32\d3dim70032.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b488d55.qua' !
C:\WINDOWS\system32\__c002BE51.dat
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Agent.aawp
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4f8d13.qua' !
C:\Documents and Settings\Jean-Philippe\Local Settings\temp\_A00F119A5C.exe
[RESULTAT] Contient le cheval de Troie TR/Vundo.45568AN
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a89f65.qua' !

Le registre a été contrôlé ( '59' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\ARK2C.tmp
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b57a58f.qua' !
C:\ARK2D.tmp
[RESULTAT] Contient le modèle de détection du programme backdoor (dangereux) BDS/Agent.aawp
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier!
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b57a583.qua' !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\Jean-Philippe\Desktop\SmitfraudFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Agent.OMZ.Fix.exe
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e19fdb.qua' !
C:\Documents and Settings\Jean-Philippe\Desktop\SmitfraudFix\Agent.OMZ.Fix.exe
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49dd9fdf.qua' !
C:\Downloads\Software\SmitfraudFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Agent.OMZ.Fix.exe
[RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted)
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e1a13c.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\GroupPolicyManifest\33.video.zip.vir
[0] Type d'archive: ZIP
--> hardcore_porn.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A.3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6a53d.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\GroupPolicyManifest\34.setup.zip.vir
[0] Type d'archive: ZIP
--> crack+keygen.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
--> setup.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6a542.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\GroupPolicyManifest\35.unpack.zip.vir
[0] Type d'archive: ZIP
--> self_extracting_archive.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6a546.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\GroupPolicyManifest\37.serial.zip.vir
[0] Type d'archive: ZIP
--> serial.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A.1
--> setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A.2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6a54a.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\GroupPolicyManifest\39.music.mp3.vir
[RESULTAT] Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6a54e.qua' !
C:\Qoobox\Quarantine\C\WINDOWS\system32\GroupPolicyManifest\40.mpgvideo.mpg.vir
[RESULTAT] Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6a548.qua' !
C:\WINDOWS\system32\d3dim70032.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49dca689.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\33.video.zip
[0] Type d'archive: ZIP
--> hardcore_porn.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A.3
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6f7d4.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\34.setup.zip
[0] Type d'archive: ZIP
--> crack+keygen.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
--> setup.exe
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6f7da.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\35.unpack.zip
[0] Type d'archive: ZIP
--> self_extracting_archive.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6f7dd.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\37.serial.zip
[0] Type d'archive: ZIP
--> serial.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A.1
--> setup.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Tracur.A.2
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6f7e1.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\39.music.mp3
[RESULTAT] Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6f7e5.qua' !
C:\WINDOWS\system32\GroupPolicyManifest\40.mpgvideo.mpg
[RESULTAT] Contient le modèle de détection de l'exploit EXP/ASF.GetCodec.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49a6f7e0.qua' !
Recherche débutant dans 'D:\'
Recherche débutant dans 'E:\' <AOE3Y>
E:\YPack_~1.cab
[0] Type d'archive: CAB (Microsoft)
--> _993D79B0FADDBCDD4566D6D1039AB069
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.


Fin de la recherche : Thursday, January 22, 2009 17:59
Temps nécessaire: 6:30:38 Heure(s)

La recherche a été effectuée intégralement

4092 Les répertoires ont été contrôlés
189945 Des fichiers ont été contrôlés
25 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
21 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
189919 Fichiers non infectés
1184 Les archives ont été contrôlées
6 Avertissements
21 Consignes


et celui du combofix


ComboFix 09-01-20.05 - Jean-Philippe 2009-01-21 13:23:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.2.1033.18.511.265 [GMT -5:00]
Lancé depuis: c:\documents and settings\Jean-Philippe\Desktop\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrator\Application Data\[u]0/u20000006675faea515C.manifest
c:\documents and settings\Administrator\Application Data\[u]0/u20000006675faea515O.manifest
c:\documents and settings\Administrator\Application Data\[u]0/u20000006675faea515P.manifest
c:\documents and settings\Administrator\Application Data\[u]0/u20000006675faea515S.manifest
c:\documents and settings\Jean-Philippe\Application Data\[u]0/u20000006675faea515C.manifest
c:\documents and settings\Jean-Philippe\Application Data\[u]0/u20000006675faea515O.manifest
c:\documents and settings\Jean-Philippe\Application Data\[u]0/u20000006675faea515P.manifest
c:\documents and settings\Jean-Philippe\Application Data\[u]0/u20000006675faea515S.manifest
c:\windows\GnuHashes.ini
c:\windows\system32\GroupPolicy000.dat
c:\windows\system32\GroupPolicyManifest
c:\windows\system32\GroupPolicyManifest\32.crack.zip
c:\windows\system32\GroupPolicyManifest\32.crack.zip.kwd
c:\windows\system32\GroupPolicyManifest\33.video.zip
c:\windows\system32\GroupPolicyManifest\33.video.zip.kwd
c:\windows\system32\GroupPolicyManifest\34.setup.zip
c:\windows\system32\GroupPolicyManifest\34.setup.zip.kwd
c:\windows\system32\GroupPolicyManifest\35.unpack.zip
c:\windows\system32\GroupPolicyManifest\35.unpack.zip.kwd
c:\windows\system32\GroupPolicyManifest\36.keygen.zip
c:\windows\system32\GroupPolicyManifest\36.keygen.zip.kwd
c:\windows\system32\GroupPolicyManifest\37.serial.zip
c:\windows\system32\GroupPolicyManifest\37.serial.zip.kwd
c:\windows\system32\GroupPolicyManifest\39.music.mp3
c:\windows\system32\GroupPolicyManifest\39.music.mp3.kwd
c:\windows\system32\GroupPolicyManifest\40.mpgvideo.mpg
c:\windows\system32\GroupPolicyManifest\40.mpgvideo.mpg.kwd
c:\windows\system32\tmp.reg
C:\xcrashdump.dat

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-21 au 2009-01-21 ))))))))))))))))))))))))))))))))))))
.

2009-01-21 13:28 . 2009-01-21 13:28 0 --a------ c:\windows\system32\A.tmp
2009-01-19 14:52 . 2009-01-19 14:52 <DIR> d-------- c:\documents and settings\Administrator\Application Data\Malwarebytes
2009-01-19 14:48 . 2009-01-19 17:11 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-19 14:48 . 2009-01-19 14:48 <DIR> d-------- c:\documents and settings\Jean-Philippe\Application Data\Malwarebytes
2009-01-19 14:48 . 2009-01-19 14:48 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-19 14:48 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-19 14:48 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-19 14:14 . 2009-01-19 14:14 373,760 --ahs---- c:\windows\system32\50.tmp
2009-01-16 09:02 . 2009-01-16 09:02 <DIR> d-------- c:\program files\Lavasoft
2009-01-16 09:02 . 2009-01-16 09:06 <DIR> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2009-01-16 09:01 . 2009-01-16 09:01 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2009-01-16 08:50 . 2009-01-16 08:50 <DIR> d-------- c:\program files\Trend Micro
2009-01-14 15:17 . 2009-01-14 15:17 206 --a------ c:\windows\system32\MRT.INI
2009-01-14 14:15 . 2009-01-16 14:56 <DIR> d-------- c:\program files\a-squared Anti-Malware
2009-01-13 15:33 . 2009-01-13 15:33 <DIR> d-------- c:\documents and settings\Administrator
2009-01-12 10:09 . 2009-01-12 10:29 <DIR> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-12 09:00 . 2009-01-12 09:34 <DIR> d-------- c:\documents and settings\All Users\Application Data\SITEguard
2009-01-12 08:57 . 2009-01-12 08:57 <DIR> d-------- c:\program files\Common Files\iS3
2009-01-12 08:57 . 2009-01-12 09:54 <DIR> d-------- c:\documents and settings\All Users\Application Data\STOPzilla!
2009-01-10 12:13 . 2009-01-10 12:13 <DIR> d-------- c:\program files\Alwil Software
2009-01-09 17:09 . 2009-01-09 17:12 <DIR> d-------- c:\program files\aof asian
2009-01-08 21:17 . 2009-01-12 10:30 135,168 --a------ c:\windows\system32\d3dim70032.dll
2009-01-08 21:03 . 2009-01-08 21:03 <DIR> d-------- c:\documents and settings\All Users\Application Data\Age of Empires 3
2009-01-08 20:14 . 2009-01-08 20:23 <DIR> d-------- c:\program files\aof3 warchief
2009-01-08 20:12 . 2009-01-08 20:55 <DIR> d-------- c:\program files\MagicISO
2009-01-06 18:21 . 2009-01-06 18:21 <DIR> d-------- c:\windows\Sun
2009-01-05 12:05 . 2009-01-05 12:05 <DIR> d-------- c:\documents and settings\All Users\Application Data\HP Product Assistant
2009-01-04 22:37 . 2009-01-04 22:37 <DIR> d-------- c:\program files\MSXML 4.0
2009-01-04 12:46 . 2009-01-09 17:50 <DIR> d-------- c:\program files\InstallShield Installation Information
2009-01-04 12:46 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll
2009-01-04 12:30 . 2009-01-08 16:42 <DIR> d-------- c:\program files\Microsoft Games
2009-01-04 12:29 . 2009-01-04 12:29 <DIR> d-------- c:\program files\Common Files\InstallShield
2009-01-03 19:19 . 2009-01-03 19:19 <DIR> d-------- c:\program files\WinAVI Video Converter
2009-01-03 19:17 . 2009-01-03 19:17 <DIR> d-------- c:\program files\WinAVI Video Capture
2009-01-03 19:06 . 2008-04-13 23:42 221,184 --a------ c:\windows\system32\wmpns.dll
2009-01-03 18:54 . 2009-01-03 18:55 <DIR> d-------- c:\program files\SmartDVDCreator
2009-01-03 18:54 . 2009-01-03 18:54 <DIR> d-------- c:\documents and settings\Jean-Philippe\Application Data\AVS4YOU
2009-01-03 18:54 . 2009-01-03 18:54 <DIR> d-------- c:\documents and settings\All Users\Application Data\AVS4YOU
2009-01-03 18:53 . 2009-01-03 18:54 <DIR> d-------- c:\program files\Common Files\AVSMedia
2009-01-03 18:52 . 2009-01-03 19:15 <DIR> d-------- c:\program files\AVS4YOU
2009-01-03 18:52 . 2007-02-27 18:36 974,848 --a------ c:\windows\system32\mfc70.dll
2009-01-03 18:52 . 2007-02-27 18:36 487,424 --a------ c:\windows\system32\msvcp70.dll
2009-01-03 18:52 . 2007-02-27 18:36 344,064 --a------ c:\windows\system32\msvcr70.dll
2009-01-03 18:52 . 2007-02-27 18:36 24,576 --a------ c:\windows\system32\msxml3a.dll
2008-12-22 17:57 . 2008-12-22 17:57 <DIR> d-------- c:\documents and settings\All Users\Application Data\WEBREG
2008-12-22 17:56 . 2008-12-22 17:56 <DIR> d-------- c:\documents and settings\Jean-Philippe\Application Data\HP
2008-12-22 17:55 . 2008-12-22 17:55 <DIR> d-------- c:\documents and settings\All Users\Application Data\HPSSUPPLY
2008-12-22 17:53 . 2008-12-22 17:55 <DIR> d-------- c:\documents and settings\All Users\Application Data\HP
2008-12-22 17:52 . 2008-12-22 17:55 <DIR> d-------- c:\program files\Common Files\HP
2008-12-22 17:51 . 2008-12-22 17:51 <DIR> d-------- c:\documents and settings\All Users\Application Data\Hewlett-Packard
2008-12-22 17:50 . 2006-12-15 11:19 258,048 -ra------ c:\windows\system32\hpzids01.dll
2008-12-22 17:50 . 2006-12-30 15:49 117,760 --a------ c:\windows\system32\hpzll4v2.dll
2008-12-22 17:49 . 2008-12-22 17:55 <DIR> d-------- c:\program files\HP
2008-12-22 17:49 . 2008-04-14 00:15 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys
2008-12-22 17:49 . 2008-04-14 00:15 32,128 --a--c--- c:\windows\system32\dllcache\usbccgp.sys
2008-12-22 17:43 . 2008-12-22 17:57 146,689 --a------ c:\windows\HPHins13.dat
2008-12-22 17:43 . 2007-01-22 11:05 2,977 --------- c:\windows\hphmdl13.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-21 16:38 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\Free Download Manager
2009-01-09 02:23 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\LimeWire
2009-01-08 16:21 --------- d-----w c:\program files\StepMania
2009-01-06 18:13 --------- d-----w c:\program files\Free Download Manager
2009-01-06 17:44 --------- d-----w c:\program files\LimeWire
2009-01-05 15:22 --------- d-----w c:\program files\NCH Software
2009-01-05 15:22 --------- d-----w c:\documents and settings\All Users\Application Data\NCH Software
2008-12-20 02:39 --------- d-----w c:\program files\Fox Magic
2008-12-20 02:27 --------- d-----w c:\program files\Mediaccurate
2008-12-20 02:15 --------- d-----w c:\program files\uTIPu
2008-12-20 00:42 --------- d-----w c:\documents and settings\All Users\Application Data\NCH Swift Sound
2008-12-20 00:41 --------- d-----w c:\program files\NCH Swift Sound
2008-12-20 00:41 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\NCH Swift Sound
2008-12-19 23:58 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\NCH Software
2008-12-19 23:25 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-12-17 11:10 --------- d-----w c:\program files\CDBurnerXP
2008-12-17 11:10 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\Canneverbe_Limited
2008-12-17 11:05 --------- d-----w c:\program files\MSBuild
2008-12-17 11:04 --------- d-----w c:\program files\Reference Assemblies
2008-12-17 10:40 3,532 ----a-w C:\drmHeader.bin
2008-12-17 10:04 --------- d-----w c:\program files\NOS
2008-12-17 10:04 --------- d-----w c:\documents and settings\All Users\Application Data\NOS
2008-12-17 01:44 --------- d-----w c:\program files\Common Files\Adobe AIR
2008-12-17 01:43 --------- d-----w c:\program files\Common Files\Adobe
2008-12-16 01:08 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-16 01:08 --------- d-----w c:\program files\Java
2008-12-16 01:06 --------- d-----w c:\program files\DAP
2008-12-16 01:05 --------- d-----w c:\documents and settings\All Users\Application Data\SpeedBit
2008-12-16 00:54 --------- d-----w c:\program files\Common Files\Java
2008-12-15 01:59 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\Microsoft Web Folders
2008-12-15 01:58 --------- d-----w c:\program files\microsoft frontpage
2008-12-13 14:40 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\DivX
2008-12-13 14:24 --------- d-----w c:\program files\VersalSoft
2008-12-13 14:24 --------- d-----w c:\program files\Universal
2008-12-12 20:38 --------- d-----w c:\program files\DivX
2008-12-12 20:28 --------- d-----w c:\program files\Software Informer
2008-12-12 20:28 --------- d-----w c:\documents and settings\All Users\Application Data\FreeDownloadManager.ORG
2008-12-12 02:53 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\uTorrent
2008-12-12 01:05 --------- d-----w c:\program files\Winamp
2008-12-12 01:04 --------- d-----w c:\program files\uTorrent
2008-12-12 01:02 --------- d-----w c:\program files\sysprep
2008-12-12 01:01 --------- d-----w c:\program files\PowerArchiver
2008-12-12 01:00 --------- d-----w c:\program files\MP3 2 Ogg Lab 2004
2008-12-12 01:00 --------- d-----w c:\program files\Ad-Aware SE Personal
2008-12-12 00:59 --------- d-----w c:\documents and settings\Jean-Philippe\Application Data\Lavasoft
2008-12-12 00:55 --------- d-----w c:\program files\CyberLink
2008-12-12 00:55 --------- d-----w c:\documents and settings\All Users\Application Data\CyberLink
2008-12-12 00:52 --------- d-----w c:\program files\Audio MP3 Converter
2008-12-12 00:44 --------- d-----w c:\program files\Real
2008-12-12 00:44 --------- d-----w c:\program files\Common Files\xing shared
2008-12-12 00:44 --------- d-----w c:\program files\Common Files\Real
2008-12-12 00:42 --------- d-----w c:\program files\Audacity
2008-12-11 21:31 6,353 ----a-w c:\program files\YSJ010138-001.PDF
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-11 02:17 797,000 ----a-w c:\program files\WeatherEyeInstaller.exe
2008-12-11 02:17 --------- d-----w c:\program files\MétéoMédia
2008-12-11 00:19 --------- dcsh--w c:\program files\Common Files\WindowsLiveInstaller
2008-12-11 00:19 --------- d-----w c:\program files\Windows Live
2008-12-11 00:17 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-11-21 21:47 9,464 ------w c:\windows\system32\drivers\cdralw2k.sys
2008-11-21 21:47 9,336 ------w c:\windows\system32\drivers\cdr4_xp.sys
2008-11-21 21:47 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-11-21 21:47 43,528 ------w c:\windows\system32\drivers\PxHelp20.sys
2008-11-21 21:47 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-11-21 21:47 129,784 ------w c:\windows\system32\pxafs.dll
2008-11-21 21:47 120,056 ------w c:\windows\system32\pxcpyi64.exe
2008-11-21 21:47 118,520 ------w c:\windows\system32\pxinsi64.exe
2008-11-21 21:46 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-11-21 21:46 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-11-21 21:44 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-11-21 21:44 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"WeatherEye"="c:\program files\MétéoMédia\MétéoÉclair\WeatherEye.exe" [2009-01-16 4519832]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2008-12-11 185896]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-15 136600]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"a-squared"="c:\program files\A-SQUARED ANTI-MALWARE\a2guard.exe" [2008-12-14 2782352]
"LTWinModem1"="ltmsg.exe" [2003-10-28 c:\windows\system32\ltmsg.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\2433206c515]
2009-01-12 10:30 135168 c:\windows\system32\d3dim70032.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.FMVC"= fmcodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Free Download Manager\\fdm.exe"=
"d:\\Program Files\\Age of empire\\empires2.exe"=
"d:\\Program Files\\Age of empire\\age2_x1.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.icd"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3x.exe"=
"d:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Microsoft Games\\Age of Empires III\\age3y.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"86:TCP"= 86:TCP:BroadCam Web Server

R3 dfmirage;dfmirage;c:\windows\system32\drivers\dfmirage.sys [2008-06-06 34128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a603fe0-c585-11dd-8d1b-0002a5c0fc31}]
\Shell\AutoRun\command - F:\ConnectProSST.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-fsm - (no file)
HKCU-Run-dxlock - (no file)


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ca/
IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm
IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm
IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm
IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-21 13:27:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\windows\system32\GroupPolicy000.dat 1485 bytes
c:\windows\system32\GroupPolicyManifest

Scan terminé avec succès
Fichiers cachés: 2

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(704)
c:\windows\System32\d3dim70032.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Lavasoft\Ad-Aware\aawservice.exe
c:\program files\a-squared Anti-Malware\a2service.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\windows\system32\wscntfy.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Heure de fin: 2009-01-21 13:30:43 - La machine a redémarré [Jean-Philippe]
ComboFix-quarantined-files.txt 2009-01-21 18:30:40

Avant-CF: 11,279,302,656 bytes free
Après-CF: 11,223,556,096 bytes free

264 --- E O F --- 2009-01-14 20:18:21
0
nightwoolf > nightwoolf
 
esce-que je suprime tout ce que trouve l'antivirus ??
lorsque jai fait le scan jai tout mis en quarantaine, mais ils ne sont pas encore supprimer. alors quesceque je fais avec eux?

nightwoolf
0
Réponse 6 / 6
geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
 
Vide la quarantaine et vas faire une analyse complète en mode sans échec stp

Configure antivirus pour qu'il fasse une recherche de rootkits, je vois qu'il est désactivé
0

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
PUADlManager:Win32/OfferCore
tenmalade -
tenmalade -

2 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses