virus msn du réveillon, bonne année !

Question

Bonjour,
Dans la série des vilains liens sur msn qu'on supprime habituellement avec msn fix, je pense en avoir un même deux assez récents et que donc msn fix ne détecte pas.. ils sont pas trèès embêtant mais ça m'arrangerait quand même de m'en débarasser !
Le lien, enfin les liens, sont :
http://happy-newyear.awesomeofferz.com
http://cassandre.faleni.crazy-new-year-party-pics.com .
Je les ai signalés sur "mad".
Voilà !

afideg · Answer

Up

afideg · Answer

Up
messages ne passent pas !
Al.

afideg · Answer

Salut,

Poste-nous un rapport HijackThis afin de pouvoir estimer la protection de ton PC;
comme ceci:

Supprime ta version actuelle de HijackThis via "Panneau de configuration" > "Ajout/Suppr. de programmes".
a)- Avec connexion au Net en service,
- Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur.
- Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png
et enregistre-le sur le bureau.
Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau.
c)- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse et poster son rapport ici.
e)- Tutoriel : < http://www.bibou0007.com/tutos-f45/tutorial-de-hijackthis-v202-t108.htm >

Transmets-nous la réponse de chez MAD, si tu la reçois. SVP. Merci.

Bonne nuit.

Al.

afideg · Answer

Merci à l'équipe des modérateurs    ;)
Albert

Kssandr · Answer

MAD nous répond ? ...

afideg · Answer

Re,

Oui, en ce qui me concerne, j'ai déjà reçu la réponse si elle est importante.
Ne te tracasse pas avec ça; c'est eux qui travaillent sur l'analyse des fichiers qu'ils recoivent.

Merci
Al.

Kssandr · Answer

ok très bien. Et sinon ce rapport que donne-t-il ?

afideg · Answer

Bonsoir,

Infection il y a.

Je te propose d'abord cette application.
Imprime avant de commencer (ou sauve-la dans un dossier sur le bureau)

A)- Commencer par se débarrasser des outils utilisés à l'occasion, et devenus particulièrement caducs et obsolètes (parce que ce sont parfois des outils dangereux lorsqu'ils ne sont pas mis à jour), il y a lieu d'appliquer ceci:
Télécharge ToolsCleaner (de A.Rothstein) à l’aide de ce lien :
< http://pc-system.fr/ >, et enregistre-le sur le “Bureau”.
Et exécute-le.
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

B)- Ensuite, télécharger ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ]
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto.
---------------------------------------------

• Assure-toi que tous les programmes sont fermés avant de commencer.
• ==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
• ==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil).

------------------------------------------------------------------

• Double-clique combofix.exe afin de l'exécuter.
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
• Ou bien --> Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
• Laisse se dérouler le scan.
• /!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme. Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
• Copie-colle ce rapport dans ta prochaine réponse.
• Le rapport se trouve dans : C:\Combofix.txt (si jamais).

C)- Termine avec ceci.
Télécharge Malwarebytes' Anti-Malware (MBAM)
Enregistre-le sur ton bureau à partir de ce lien :
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
Double-clique sur l'icône "Download_mbam-setup.exe" sur ton bureau "pour démarrer le programme d'installation".
Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet).

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue.

Note : N'apporte aucune modification aux réglages par défaut, et en fin d'installation vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées ==> clic sur [Terminer]
*** NB : Si un message s’affiche signalant qu'il te manque COMCTL32.OCX alors télécharge-le ici : https://www.malekal.com/tutorial-aboutbuster/ ; et fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour")

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est gratuite >>> clique sur ok
Laisse les Mises à jour se télécharger

*** Referme le programme ***

Redémarre en "Mode sans échec"
Regarde ici pour exécuter le mode sans échec, sans stresser :
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >
Il faut laisser aller le PC à son rythme, pour que s'installe le bureau; après quoi, tu réutilises ta souris.
Quand tu as le curseur qui clignote, tu peux avoir un temps d'ouverture du mode sans échec qui va jusqu'à 15 minutes. Il faut donc être patient.
Choisir sa session habituelle, (pas le compte "Administrateur" ou une autre).

Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche « Exécuter un examen complet » >>> « Rechercher »
Sélectionne ton disque dur >>> clic sur « Lancer l'examen »

A la fin du scan >>> clique sur « Afficher les résultats » >>> « Enregistrer le Rapport »
Si des malwares ont été détectés, leur liste s'affiche.
Suppression des éléments détectés >>>> clique sur « Supprimer la sélection »
(MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine).
S'il t'est demandé de redémarrer >>> clique sur "Yes"
Sinon, arrêter puis redémarrer la PC.

Un rapport de scan s'ouvre, poste le rapport.
(MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet « Rapports/logs ». Fermer le bloc-notes.
Fermer MBAM en cliquant sur « Quitter »)

Si problèmes, suivre ce tutoriel < https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ >

Merci
Al

Kssandr · Answer

Alors alors.. j'ai tout fait, et MBAM a rien trouvé. En revanche j'ai les 2 autres rapports :

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\*.msnfix: trouvé !
C:\MsnFix: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Cassandre\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Cassandre\Recent\MSNFix.lnk: trouvé !
C:\MSNFIX\MsnFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Cassandre\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Cassandre\Recent\MSNFix.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\*.msnfix: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\MsnFix: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

et

ComboFix 09-01-21.04 - Cassandre 2009-01-24 13:00:52.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.159 [GMT 1:00]
Lancé depuis: c:\documents and settings\Cassandre\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090123-0] *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Cassandre\real.txt
c:\documents and settings\JeCaSe\real.txt
c:\documents and settings\Serge\real.txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-24 au 2009-01-24 ))))))))))))))))))))))))))))))))))))
.

2009-01-22 20:25 . 2009-01-24 12:51 <REP> d-------- c:\program files\Trend Micro
2009-01-11 22:42 . 2009-01-11 22:42 <REP> d-------- c:\program files\DVD Shrink
2009-01-11 22:28 . 2009-01-11 22:46 <REP> d-------- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-01-10 18:02 . 2009-01-10 18:02 <REP> d-------- c:\documents and settings\Serge\Application Data\Media Player Classic
2009-01-04 16:49 . 2009-01-04 16:49 <REP> d-------- c:\documents and settings\JeCaSe\Application Data\Media Player Classic
2009-01-03 12:41 . 2009-01-03 12:41 <REP> d-------- c:\documents and settings\Cassandre\Application Data\Media Player Classic
2009-01-01 17:58 . 2009-01-01 17:58 <REP> d-------- c:\program files\K-Lite Codec Pack
2009-01-01 17:56 . 2009-01-01 17:56 <REP> d-------- c:\windows\Video Converter
2009-01-01 17:56 . 2009-01-01 18:16 <REP> d-------- c:\program files\Video Converter

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-24 11:10 --------- d-----w c:\program files\eMule
2009-01-21 16:20 --------- d-----w c:\documents and settings\JeCaSe\Application Data\MEGAUPLOADTOOLBAR
2009-01-18 21:50 --------- d-----w c:\documents and settings\Serge\Application Data\MEGAUPLOADTOOLBAR
2009-01-18 12:06 --------- d-----w c:\documents and settings\Cassandre\Application Data\Canon
2009-01-16 18:11 --------- d-----w c:\program files\Windows Live Safety Center
2009-01-12 12:05 --------- d-----w c:\documents and settings\Serge\Application Data\DivX
2009-01-04 14:38 --------- d-----w c:\documents and settings\Serge\Application Data\Canon
2008-12-21 22:17 --------- d-----w c:\program files\AxBx
2008-08-02 13:11 62,800 ----a-w c:\documents and settings\JeCaSe\Application Data\GDIPFONTCACHEV1.DAT
2008-03-27 16:47 827 -c--a-w c:\documents and settings\Serge\znrmnh.exe
2007-04-25 20:38 62,800 -c--a-w c:\documents and settings\Serge\Application Data\GDIPFONTCACHEV1.DAT
2007-04-13 17:43 62,800 -c----w c:\documents and settings\Cassandre\Application Data\GDIPFONTCACHEV1.DAT
2007-04-03 17:40 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
1999-04-16 09:28 151,552 -c--a-w c:\windows\inf\Agfa\message.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-C39E-35F1D2A32EC8}]
2008-08-04 21:44 1947080 --a------ c:\progra~1\MEGAUP~2\MEGAUP~1.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A057A204-BACC-4D26-C39E-35F1D2A32EC8}"= "c:\progra~1\MEGAUP~2\MEGAUP~1.DLL" [2008-08-04 1947080]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]
[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-C39E-35F1D2A32EC8}"= "c:\progra~1\MEGAUP~2\MEGAUP~1.DLL" [2008-08-04 1947080]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-c39e-35f1d2a32ec8}]
[HKEY_CLASSES_ROOT\megauploadtoolbar.MEGAUPLOADTOOLBAR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"SystrayORAHSS"="c:\program files\OrangeHSS\Systray\SystrayApp.exe" [2007-01-04 90112]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-07-10 270648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-04-23 185896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2007-11-15 18:46 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.wmv3"= c:\progra~1\COMBIN~1\Filters\wmv9vcm.dll
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk
backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-07-10 08:18 270648 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]
--a------ 2006-12-28 18:09 20480 c:\program files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 14:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a--c--- 2005-06-08 15:24 458752 c:\program files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a--c--- 2005-06-08 15:14 217088 c:\program files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
--a--c--- 2006-02-13 17:33 214648 c:\program files\Octoshape Streaming Services\Cassandre\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a--c--- 2004-11-15 11:20 77824 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"iPod Service"=3 (0x3)
"FTRTSVC"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-03 111184]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-03 20560]
R4 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2008-02-04 46112]
R4 UPS2501;UPS2501;c:\windows\system32\drivers\ups2501.sys [2006-12-28 10783]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys --> c:\program files\LogMeIn\x86\RaInfo.sys [?]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18e3e9d5-e320-11dd-8143-001109cebbd1}]
\Shell\AutoRun\command - F:\start.exe
\Shell\Key\command - F:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2627348e-c22b-11dd-8117-001109cebbd1}]
\Shell\AutoRun\command - F:\start.exe
\Shell\Key\command - F:\start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3823c25a-f74f-11db-be11-00073a2aca9b}]
\Shell\AutoRun\command - F:\vt6e.cmd
\Shell\explore\Command - F:\vt6e.cmd
\Shell\open\Command - F:\vt6e.cmd
.
Contenu du dossier 'Tâches planifiées'

2008-12-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 17:13]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-mfcd this - c:\docume~1\CASSAN~1\APPLIC~1\ISODEN~1\warnsurflove.exe
HKLM-Run-LogMeIn GUI - c:\program files\LogMeIn\x86\LogMeInSystray.exe

.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.exalead.fr/search??definition=homepage
uInternet Settings,ProxyOverride = localhost
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Cassandre\Application Data\Mozilla\Firefox\Profiles\[u]0/u4nwcxkc.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ethicle.org/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npitunes.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npoctoshape.dll
FF - plugin: c:\program files\Octoshape Streaming Services\Cassandre\octoprogram-L03-N00-U00-C00_070507A_000\npoctoshape.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-24 13:06:15
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll

- - - - - - - > 'winlogon.exe'(3372)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll
.
Heure de fin: 2009-01-24 13:08:44
ComboFix-quarantined-files.txt 2009-01-24 12:08:36

Avant-CF: 12 248 854 528 octets libres
AprÞs-CF: 13,468,397,568 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

181

voilà.. que vois-tu ?!

afideg · Answer

Re,
Merci

A)- O4 - HKUS\S-1-5-21-1220945662-963894560-725345543-1003\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480
BackWeb est un outil client-serveur.
-Il est identifié pour être livré, au moins, par les vendeurs IBM, Compaq, HP Hewlett-Packard, Network Associates, Real Networks, Logitec (dans ses drivers!) , F-Secure, McAffee, Western Digital, Kodak digital camera sync software, Kodak Software Updater (Kodak Easyshare digital cameras), Packard Bell ActivSurf...etc....
-C'est un prog espion qui soi-disant sert à faire des mises à jour...mais rien n'est prouvé et il semblerait qu'il soit plus espion que programme de mise à jour.
-Mais il peut aussi se trouver dans d'autres programmes.
-Le problème majeur étant qu'il provoque une faille de sécurité.

-• Pour résoudre ce type de problèmes en dehors du fait qu'il expose votre vie privée aux fournisseurs, il faut:
désinstaller "Logitech Desktop Messenger" dans « Panneau de Configuration » > "Ajout/Suppr.de programmes" et le prog « backweb-8876480.exe » disparaîtra.

Par ailleurs:
- Il ne sert pas à grand-chose sinon à bouffer de la mémoire et de la bande passante internet.
- Les mises à jour de logiciels "Logitech" se font aisément à partir des programmes eux-mêmes ( en manuel : tu cliques sur la miniature de ta WebCam près de l’horloge ), donc pas de souci de ce côté.
-• Une fiche bien détaillée :< http://assiste.com.free.fr/p/parasites/backweb.html >

B)- start.exe est un process appartenant à un programme publicitaire par Secret-Crush.
Ce process surveille vos habitudes de furetage et distribue les données de nouveau aux serveurs de l'auteur pour l'analyse.
Ceci incite également annoncer des popups.
Ce processus est un risque pour la sécurité et devrait être retiré de votre système.

Ensuite vas là :
< http://www.virustotal.com/en/indexf.html >
•- sur la page qui s'affiche tu cliques sur "Parcourir"
Copie ce qui suit, et colle-le dans l'espace (en face de « Parcourir ») :
c:\documents and settings\Serge\znrmnh.exe <-- afin de faire analyser ce fichier douteux.
•- et tu attends le résultat (il faut parfois patienter)

Dans l'encadré: "Situation actuelle: terminé", cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => Sélectionner tout, puis encore clic-droit => Copier... Enfin , clic-droit => Colle-le résultat dans le WordPad ou Bloc-Notes.

C)- Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Enregistre Flash_Disinfector.exe sur ton bureau.
Ferme les applications (word, etc) : car explorer.exe va être arrêté puis relancé (on perd les icônes du bureau).
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur Ok
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuies ensuite sur OK, pour faire réapparaître le bureau.
S'il y a plusieurs clés USB ou disques durs externes à désinfecter, renouvelle l'opération en branchant les clés non traitées une par une.

D)- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

killall::

File::
F:\vt6e.cmd
F:\start.exe
c:\program files\isoden~1\warnsurflove.exe
C:\ Documents and Settings\Cassandre\ Application Data\ISODEN~1\warnsurflove.exe

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"mfcd this"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3823c25a-f74f-11db-be11-00073a2aca9b}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18e3e9d5-e320-11dd-8143-001109cebbd1}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2627348e-c22b-11dd-8117-001109cebbd1}]

4°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ gras>CFScript1.txt</gras> ” sur le fichier “ComboFix.exe” comme sur la capture: < http://apu.mabul.org/up/apu/2008/08/12/img-210914jjufm.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC

E)- Encore, remplace AVAST comme ceci:
Avast ne te sert pas à grand-chose (sinon à t'avertir qu'il a laissé infecter ton PC !!).

1)- Télécharger ANTIVIR à partir de ce lien et tuto [ http://www.libellules.ch/tuto_antivir.php ]
http://www.zebulon.fr/actualites/3001-antivir-francais.html
Autres TUTORIELS :
< [ https://www.astucesinternet.com/modules/news/article.php?storyid=253 ] > ==> enregistre-le sur ton bureau pour y accéder facilement.
- ou < [ http://www.malekal.com/tutorial_antivir.html ] >
- ou < [ http://www.vista-xp.fr/forum/topic227.html ] >
Vidéo de configuration par Angélique https://www.malekal.com/fichiers/antivir/ConfigurationAntivir.avi
2)- Désinstaller AVAST: <
https://www.avast.com/fr-fr/uninstall-utility >

3)- Attention, après le téléchargement, il faut se déconnecter du Net ( débrancher éventuellement le modem ) avant de lancer l'installation.

- Attention : Sers-toi du tutoriel pour installer ANTIVIR,

4)- Procédure d'utilisation:
Après l'installation du programme et avant de lancer l'analyse, ...
...il faut redémarrer le PC en mode sans échec, comme ceci:
< http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 >

L'analyse:
- Lancer Antivir en Scan complet (analyse avancée) en faisant un click-droit sur l’icône d’Antivir dans la « barre des taches » en bas à droite (= Systray, à côté de l’horloge) et choisis « Configure Antivir »
Dans la fenêtre, coche la case Expert Mode
Juste en dessous, clique sur le menu SCAN
Sur le panneau de droite, coche la case Search for Rootkits before scan
Vérifier pour « Manuelle détection » (en développant avec la petite croix devant chacun d'eux) que tous les disques durs soient bien cochés, puis cliquer sur la loupe (en dessous de statut) .
- Une fenêtre va s’ouvrir « Luke Filewalker »
- Le scan va démarrer.
- Mettre tout ce qu il trouve en "quarantine"

Le rapport:
Une fois le scan achevé, fermer les deux fenêtres d'Antivir et sauvegarder sur le bureau le rapport qui vient d'apparaître.
Redémarrer en mode normal puis poster le rapport d'Antivir (qui est sur le bureau).

F)- O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0
==> grosse faille de sécurité .
Il faut faire la mise à jour version 9 https://get2.adobe.com/reader/otherversions/
L'installation d' une nouvelle version désinstallera l' ancienne si besoin est.
- Décocher "Téléchargez également :Adobe Photoshop® Album Édition"
- Dans Ajout/Suppression des programmes tu supprimes toutes les autres versions.

Bonne chance
Al.

afideg · Answer

Allo ?
J'ai des crampes ...

Kssandr · Answer

Raah tout ça encore xD. Je suis désolée je peux pas tout faire ce soir, mais j'y travaille, promis !
Ca me brise le coeur de voir qu'Avast est inutile.. 
Et sinon, j'y connais rien en infection mais je sais quand même me servir d'un ordi, genre "sélectionner" et tout. Bref pas la peine d'expliquer des trucs comme ça, avec un peu de chance ça t'épargneras des crampes !

afideg · Answer

Salut  Kssandr,

Il faut savoir, que pour gagner en vitesse d'exécution, et afin de ne pas avoir à retaper bêtement 50 fois le même texte, les helpers se concoctent de petits "canned speeches" bien utiles.

Donc, désolé, mais il va valoir encore supporter un moment (le temps de la désinfection du PC que tu as laissé pollué) des recommandations que tu pourrais éventuellement parfaitement connaître.

Le plus important est d'avancer dans cette foutue désinfection.
Je ne puis que t'y encourager.
À toi de voir ce qui te convient le mieux.

Bonne nuit
Al.

Kssandr · Answer

Ah en effet ç'eut été con de tout taper. Sympa le jeu de mot sur "canned speeches" ! Bref.

ComboFix 09-01-21.04 - Cassandre 2009-01-26 21:08:23.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.165 [GMT 1:00]
Lancé depuis: c:\documents and settings\Cassandre\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Cassandre\Bureau\CFScript1.txt
AV: avast! antivirus 4.8.1296 [VPS 090126-0] *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé

FILE ::
c:\ documents and settings\Cassandre\ Application Data\ISODEN~1\warnsurflove.exe
c:\program files\isoden~1\warnsurflove.exe
F:\start.exe
F:\vt6e.cmd
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-26 au 2009-01-26 ))))))))))))))))))))))))))))))))))))
.

2009-01-24 16:38 . 2009-01-24 16:38 50 --a------ c:\windows\MegaManager.INI
2009-01-24 13:45 . 2009-01-24 13:45 <REP> d-------- c:\documents and settings\Cassandre\Application Data\Malwarebytes
2009-01-24 13:45 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-24 13:45 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-24 13:44 . 2009-01-24 13:45 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-24 13:44 . 2009-01-24 13:44 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-22 20:25 . 2009-01-24 12:51 <REP> d-------- c:\program files\Trend Micro
2009-01-11 22:42 . 2009-01-11 22:42 <REP> d-------- c:\program files\DVD Shrink
2009-01-11 22:28 . 2009-01-11 22:46 <REP> d-------- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-01-10 18:02 . 2009-01-10 18:02 <REP> d-------- c:\documents and settings\Serge\Application Data\Media Player Classic
2009-01-04 16:49 . 2009-01-04 16:49 <REP> d-------- c:\documents and settings\JeCaSe\Application Data\Media Player Classic
2009-01-03 12:41 . 2009-01-03 12:41 <REP> d-------- c:\documents and settings\Cassandre\Application Data\Media Player Classic
2009-01-01 17:58 . 2009-01-01 17:58 <REP> d-------- c:\program files\K-Lite Codec Pack
2009-01-01 17:56 . 2009-01-01 17:56 <REP> d-------- c:\windows\Video Converter
2009-01-01 17:56 . 2009-01-01 18:16 <REP> d-------- c:\program files\Video Converter

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-26 19:06 --------- d-----w c:\program files\eMule
2009-01-25 19:40 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-25 19:39 --------- d-----w c:\program files\Logitech
2009-01-24 15:37 --------- d-----w c:\program files\AxBx
2009-01-21 16:20 --------- d-----w c:\documents and settings\JeCaSe\Application Data\MEGAUPLOADTOOLBAR
2009-01-18 21:50 --------- d-----w c:\documents and settings\Serge\Application Data\MEGAUPLOADTOOLBAR
2009-01-18 12:06 --------- d-----w c:\documents and settings\Cassandre\Application Data\Canon
2009-01-16 18:11 --------- d-----w c:\program files\Windows Live Safety Center
2009-01-12 12:05 --------- d-----w c:\documents and settings\Serge\Application Data\DivX
2009-01-04 14:38 --------- d-----w c:\documents and settings\Serge\Application Data\Canon
2008-08-02 13:11 62,800 ----a-w c:\documents and settings\JeCaSe\Application Data\GDIPFONTCACHEV1.DAT
2008-03-27 16:47 827 -c--a-w c:\documents and settings\Serge\znrmnh.exe
2007-04-25 20:38 62,800 -c--a-w c:\documents and settings\Serge\Application Data\GDIPFONTCACHEV1.DAT
2007-04-13 17:43 62,800 -c----w c:\documents and settings\Cassandre\Application Data\GDIPFONTCACHEV1.DAT
2007-04-03 17:40 278,528 -c--a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
1999-04-16 09:28 151,552 -c--a-w c:\windows\inf\Agfa\message.exe
.

((((((((((((((((((((((((((((( snapshot@2009-01-24_13.07.26,45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-01-26 20:13:31 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_5e8.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOKIT"="c:\program files\Wanadoo\Shell.exe" [2004-08-23 122880]
"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"SystrayORAHSS"="c:\program files\OrangeHSS\Systray\SystrayApp.exe" [2007-01-04 90112]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-07-10 270648]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-04-23 185896]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2007-11-15 18:46 87352 c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.wmv3"= c:\progra~1\COMBIN~1\Filters\wmv9vcm.dll
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk
backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-07-10 08:18 270648 c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
--a------ 2005-06-08 14:44 196608 c:\program files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
--a--c--- 2005-06-08 15:24 458752 c:\program files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
--a--c--- 2005-06-08 15:14 217088 c:\program files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]
--a--c--- 2006-02-13 17:33 214648 c:\program files\Octoshape Streaming Services\Cassandre\OctoshapeClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a--c--- 2004-11-15 11:20 77824 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"usnjsvc"=3 (0x3)
"iPod Service"=3 (0x3)
"FTRTSVC"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-03 111184]
R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-03 20560]
R4 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2008-02-04 46112]
R4 UPS2501;UPS2501;c:\windows\system32\drivers\ups2501.sys [2006-12-28 10783]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys --> c:\program files\LogMeIn\x86\RaInfo.sys [?]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
.
Contenu du dossier 'Tâches planifiées'

2008-12-12 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-10-10 17:13]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.exalead.fr/search??definition=homepage
uInternet Settings,ProxyOverride = localhost
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Cassandre\Application Data\Mozilla\Firefox\Profiles\[u]0/u4nwcxkc.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ethicle.org/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npitunes.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npoctoshape.dll
FF - plugin: c:\program files\Octoshape Streaming Services\Cassandre\octoprogram-L03-N00-U00-C00_070507A_000\npoctoshape.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-26 21:15:04
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(648)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\LMIinit.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\MegaTec\RUPS 2000\Rupsd.exe
c:\windows\system32\ati2evxx.exe
c:\windows\system32\wscntfy.exe
c:\program files\MegaTec\RUPS 2000\Rupsw32.exe
c:\program files\CASIO\Photo Loader\Plauto.exe
c:\program files\VIA\RAID\raid_tool.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2009-01-26 21:18:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-26 20:18:07
ComboFix2.txt 2009-01-26 20:01:06
ComboFix3.txt 2009-01-24 12:08:45

Avant-CF: 15 516 463 104 octets libres
AprÞs-CF: 15,507,226,624 octets libres

175

et

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 27 janvier 2009 20:16

La recherche porte sur 1284973 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :UNICORNI-878F50

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 14/01/2009 17:07:21
ANTIVIR2.VDF : 7.1.1.172 958464 Bytes 23/01/2009 17:07:29
ANTIVIR3.VDF : 7.1.1.188 188416 Bytes 27/01/2009 17:07:31
Version du moteur: 8.2.0.60
AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 10:05:56
AESCRIPT.DLL : 8.1.1.32 340347 Bytes 27/01/2009 17:07:49
AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.5 393588 Bytes 27/01/2009 17:07:47
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 27/01/2009 17:07:45
AEHEUR.DLL : 8.1.0.86 1552759 Bytes 27/01/2009 17:07:43
AEHELP.DLL : 8.1.2.0 119159 Bytes 27/01/2009 17:07:36
AEGEN.DLL : 8.1.1.10 323957 Bytes 27/01/2009 17:07:35
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 27/01/2009 17:07:32
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : mardi 27 janvier 2009 20:16

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Rupsd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'logonui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'22' processus ont été contrôlés avec '22' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '52' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{21A43D73-3A81-4C68-A196-B6BF7C7DDF41}\RP575\A0378326.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Generic.4084
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49b2788e.qua' !

Fin de la recherche : mardi 27 janvier 2009 22:17
Temps nécessaire: 2:00:45 Heure(s)

La recherche a été effectuée intégralement

7107 Les répertoires ont été contrôlés
168233 Des fichiers ont été contrôlés
1 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
1 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
168231 Fichiers non infectés
1655 Les archives ont été contrôlées
1 Avertissements
1 Consignes

afideg · Answer

Re,
Bonsoir
Tout ça est encourageant.
Comment se comprte ton PC ?

Supprime ComboFix de ton PC comme ceci:
- Supprime le dossier Qoobox. (il est à la racine de ton disque dur c:\) 
- Supprime l'application téléchargée sur le bureau (ComboFix.exe)
- Fais Démarrer/Exécuter copie-colle la commande suivante,  puis valide par [OK]
 "%userprofile%\Bureau\combofix.exe" /u 
Ca désinstallera ComboFix, supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.

Reviens quand tu veux.
Bonne nuit.
Al.

Kssandr · Answer

Le PC il continue à déconnecter d'msn à toute heure :/ c'est le problème..
Sinon il va bien merci !

afideg · Answer

Re,
Bonsoir  Kssandr
Content de savoir que le PC fonctionne correctement.

Pour la messagerie, hier je suis resté plus d'une heure sans connection.
==>  erreurs 81000378, 81000306 et 80048820.
Cela venait de leur serveur.

Ce soir, peux-tu te connecter à MSN (ou WLM) ?

Al.



Patience-Vigilance-Amour.

Kssandr · Answer

Non non chez moi ce n'est pas leur faute.. je me connecte sans problème mais je déconnecte sans le vouloir du tout ! C'est fort agaçant. Et sinon aussi, quand on m'envoie un lien (sur outlook ou msn, partout) si je clique dessus j'obtiens une page internet explorer blanche qui ne charge pas. Ce n'est pas trèès grave mais.. c'est agaçant. Voilà..

Virus msn du réveillon, bonne année !

18 réponses

Discussions similaires

Newsletters