Virus? Fermé

Question

Bonjour,

Je viens de faire un examen Malwarebytes, il me dit qu'un fichier semble infecte, j'aimerais savoir si je peux le supprimer?

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 2

1/27/2009 02:55:04
mbam-log-2009-01-27 (02-55-01).txt

Type de recherche: Examen rapide
Eléments examinés: 49644
Temps écoulé: 1 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Explorer.sm1 (Heuristics.Reserved.Word.Exploit) -> No action taken.
--------------------------------------------


Merci.
(J'ai eu deux trois virus, et j'aimerais les supprimer ^^')

pimprenelle27 · Answer

tu peux supprimer c'est deux là dans afficher rapport supprimer tou ensuite vider la quarantaine.

Ensuite faire ceci.

Télécharge le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la licence en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux (ne fixe rien pour le moment !!)

Mortarius · Answer

Okay, merci.

J'avais deja telecharger HijackThis avec un rapport.
Je le refais apres avoir supprime les deux.

Le deuxieme, je ne voulais pas le citer parceque c'est en rapport avec HijackThis justement...
C'est Hijack.system.Hidden.

Je supprime quand meme?

(J'attends ta reponse pour supprimer et faire le log d'Hijack)
Aufaite, merci pour ton aide.

pimprenelle27 · Answer

oui supprime tout.

Mortarius · Answer

C'est "Quarantined" et delete sucessfully.
Il m'as demander de re-demarrer mon PC pour que la supression soit totalement efficace, j'ai refuser, je le ferais apres.

Voici le log HijackThis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:23:41, on 1/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\V-Gear BEE\VBService.exe
D:\Free Music Zilla\FMZilla.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\utilman.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Startup: FMZilla.lnk = D:\Free Music Zilla\FMZilla.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

pimprenelle27 · Answer

non il fallait pas refuser. il faut le faire quand c'est demandé voyons. Maintenant fais le de suite. Merci.

pimprenelle27 · Answer

Fait ceci et poste moi le rapport à la suite de la question êtes vous aider par quelqu'un. Merci.

Télécharge GenProc sur ton bureau (Attention le fichier est un fichier zip)
Dézippe le dossier, double-clique sur GenProc.bat
En final, poste le contenu du rapport qui s'affiche.
Comment utiliser GenProc

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

Mortarius · Answer

Re-bonjour Pimprenelle.

Tout d'abord, desole pour hier soir, il est arrive ce que je craignais...
Lorsque j'ai re-demarrer mon PC, il s'est mis a laguer a fond les turbines des que j'ai lancer internet, CPU = 100%.
J'ai du l'eteindre en restant appuyer sur le bouton d'allumage... Super...

Je n'ai pas voulu insister et je me suis dit que je verrais demain (il etait 3h30 du matin pour moi quand tu m'as aider ^^. Je suis en Inde, + 4h30 de decalage)

Aujourd'hui, donc, je relance Malware apres avoir lancer mon PC, il re-detecte le Hijack.System.Hidden.
J'ai re-supprimer et cette fois ci j'ai accepter le re-demarrage.
Je ne me suis pas connecter desuite, j'ai reboot le PC et la je me suis connecte.
Je viens d'arriver sur le site, directement apres avoir lance internet.
Pour l'instant tout va bien, j'ai lance le gestionnaire des taches sur le cote, histoire de surveiller mon CPU. Il ne monte pas au dessus de 10%.
Tant mieux, mais je doute que ca soit finis.

Je suis en train de telecharger GenProc. Je vais faire comme tu me l'as dit, et, en attendant, je te poste le rapport HijackThis et Malware que je viens a l'instant de faire.
(Malware detecte toujours Hijack.system.hidden, il n'arrive pas a le supprimer, ou si il le supprime, le truc-chose-bidule reviens!)

Malware :
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 5.1.2600 Service Pack 2

1/27/2009 18:33:20
mbam-log-2009-01-27 (18-33-17).txt

Type de recherche: Examen rapide
Eléments examinés: 49460
Temps écoulé: 1 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

---------------------------------------------
HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:07, on 1/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
D:\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\V-Gear BEE\VBService.exe
D:\Free Music Zilla\FMZilla.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

pimprenelle27 · Answer

pour malware afficher rapport supprimer tout et vider la quarantaine. je regarde le hijackthis.

Mortarius · Answer

J'ai deja vider deux fois la quarantaine et supprimer tout. (+ redemarrer a chaque fois.)
Il me le re-detecte toujours.
Je le refait quand meme?

Genproc lague sur les derniers instant... j'en suis a 82% et il n'avance plus... Ou par petit bout.

Ca viendras, mais ce seras plus long que prevus, desole.

Mortarius · Answer

C'est bon pour GenProc, j'ai lu le tuto, seulement il s'est ferme et plus rien n'apparais.
Pas de rapport, pas de console.
Pas de Genproc.txt dans C:\
Ni dans le dossier Genproc en lui meme.

Je continue de chercher.

Mortarius · Answer

Je n'ai pas re-lance GenProc. Une seule fois, comme indique.

Mortarius · Answer

Non rien, GenProc.zip
et le dossier GenProc.

Je relance?

pimprenelle27 · Answer

regarde dans le dossier genproc dézippé tu dois avoir des dossiers et dans un dossier tu des fichiers .txt tu devrais trouver le rapport.

Mortarius · Answer

Non aucun.
J'ai regarder partout.

C:\ (ils disent GenProc.txt)
et ceux dans le dossier GenProc sont des TXT sur qq anti-virus, genre MSNfix etc.

Sinon Arguments.txt?

Mortarius · Answer

Re.

Je l'ai trouve.

C'est GenProc.HTML


...
C'est normal?
Je peux pas te poster le rapport, et je peux pas t'envoyer sur la page, vu qu'elle existe que sur mon PC.


Ah, j'essaie de copier coller la page en elle meme...
Voila : 



Télécharge :

CCleaner (FileHippo)
Ce logiciel va permettre de supprimer tous les fichiers temporaires.
Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

Toolbar-S&D (Team IDN) sur ton Bureau.

SmitfraudFix (S!Ri)
Double-clique sur le fichier "smitfraudfix.exe" et choisis l'option 1 ; il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.

MSNFix (!aur3n7) et décompresse-le sur le Bureau.


important Redémarre en mode sans échec comme indiqué ICI ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau.
Choisis ta session courante *** Administrator ***

Etape 2/

Lance Toolbar-S&D situé sur le Bureau.
Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

Etape 3/

Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.

Etape 4/

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

Etape 5/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

Etape 6/

Redémarre normalement et poste, dans la même réponse :
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
- Le contenu du rapport C:\TB.txt ;
- Un nouveau rapport HijackThis ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

_____

J'ai deja Ccleaner.
Merci de ton aide et desole de ne pas avoir trouve, j'ai l'air un peu con xD

Mortarius · Answer

Je fais comme indique pour l'instant?

Je telecharge les programmes, ca peut pas me faire de mal je pense, et cela feras avancer plus vite les choses en attendant ta reponse.

Mortarius · Answer

Voila le rapport SmitFraudFix.

SmitFraudFix v2.392

Rapport fait à 20:10:58.15, Tue 01/27/2009
Executé à partir de C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\V-Gear BEE\VBService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\autorun.inf PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 203.197.12.30
DNS Server Search Order: 202.54.1.18

HKLM\SYSTEM\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer=203.197.12.30 202.54.1.18
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer=203.197.12.30 202.54.1.18


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin





J'attends ta reponse pour savoir si je procede comme dit, j'ai tout telecharger, tout est pret.

Mortarius · Answer

Ne sachant que faire, (je sais je suis impatient ^^) j'ai fait ce que GenProc me demander (desole pour les accents).

Voici le rapport Toolbar - S & D


   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz )
   BIOS : Phoenix - AwardBIOS v6.00PG
   USER : Administrator ( Administrator )
   BOOT : Fail-safe boot
   C:\ (Local Disk) - NTFS - Total:29 Go (Free:16 Go)
   D:\ (Local Disk) - NTFS - Total:39 Go (Free:33 Go)
   E:\ (Local Disk) - NTFS - Total:39 Go (Free:17 Go)
   F:\ (Local Disk) - NTFS - Total:41 Go (Free:41 Go)
   G:\ (CD or DVD)
   H:\ (CD or DVD)
   I:\ (Local Disk) - FAT32 - Total:298 Go (Free:208 Go)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( Tue 01/27/2009|21:06 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - Tue 01/27/2009|21:06 - Option : [2]

   -----------\  Fin du rapport a 21:06:59.87




Voici le rapport SmitFraudFix


SmitFraudFix v2.392

Scan done at 21:07:53.79, Tue 01/27/2009
Run from C:\Documents and Settings\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\autorun.inf Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Et revoila un rapport HijackThis.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:16:15, on 1/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
D:\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\V-Gear BEE\VBService.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Mortarius · Answer

Comme je te l'ai dit, je pensais que mon disque dur externe etait infecte.
Ce qui est le cas. J'ai telecharger RAV et il me trouve toujours un fichier, Gy.exe + autorun.inf, qu'il supprime, mais ils se re-creer desuite... Ce qui fait donc qu'il supprime toujours les meme choses encore et encore.

Merci.

pimprenelle27 · Answer

Ne fait pas autre chose si je te 'ai pas demandé merci.

Télécharge Superantispyware (SAS) en cliquant sur ce lien :



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Preferences, clique sur le bouton "Preferences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

Mortarius · Answer

Merci.

Desole je pensais pas mal faire en agissant de mon propre chef...
Je fait ce que tu m'as demander desuite.
Encore merci!

Mortarius · Answer

Il est preferable que j'execute SAS en mode sans echec?

pimprenelle27 · Answer

non pour l'analyse non.

Mortarius · Answer

J'ai une mauvaise connection, 51% de telecharge.

Qu'en pense tu pour le disque dur externe?

Je sais que je me repete, tu doit de toute maniere entendre ca souvent, mais je te remercie. Tu m'aide enormement et tu me retire une vilaine epine du pied.

C'est quelque chose de recent hein? Je trouve aucun post sur ce virus (Gy.exe etc) datant d'avant 2009...

Mortarius · Answer

Impossible de DL SuperAntiSpyware :
C:\Documents and Settings\Administrator\Desktop\SUPERAntiSpyware(2).exe.part could not be saved, because the source file could not be read.

Apres deux essais...

pimprenelle27 · Answer

essaye ceci :

Etape 1/ Télécharge :

- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe  sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/

Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage


Si besoin: Tutoriel

Mortarius · Answer

Hummm...

Il a fallu que je poste que je ne pouvais pas telecharger SuperAntiSpyware pour que ca marche, evidemment... 

Je fait quoi? SuperAntiSpyware ou la seconde methode?

pimprenelle27 · Answer

Fait SAS si tu peux ensuite tu feras findykill.

Mortarius · Answer

"Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées. "



Quasiment toutes les autres lignes sont coches, je les decoches ou je les laisses?

pimprenelle27 · Answer

il as fini d'analyser?

Mortarius · Answer

Je ne l'ai pas encore lancer, j'en suis a la phase de
Scanner Option
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining


Tu m'as dit de bien verifier que ces lignes soit coches, c'est fait, tu m'as dit aussi de laisser les autres lignes decoches, mais elles sont coches par defaut! Je les laisse coches, ou je les decoches?

pimprenelle27 · Answer

tu as bien regardé le tuto?

Mortarius · Answer

Le tuto ne parle pas de ca. Il parle de la quarantaine mais pas des preferences.

pimprenelle27 · Answer

pour aller dans préférences?

Mortarius · Answer

Non, je suis dans preference, mais il est marquer de cocher les cases
Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining


et de laisser les autres lignes decoches. Mais ces lignes la, chez moi, sont DEJA coches! Alors je les decoches ou je les laisse telle quelle?

Mortarius · Answer

Pour SAS hein.

pimprenelle27 · Answer

Close browsers before scanning
Scan for tracking cookies
Terminate memory threats before quarantining
- Laisse les autres lignes décochées.


Sélectionner que celle ci puis décocher les autres.

Mortarius · Answer

J'ai lancer le scan en decochant les lignes. Cela me parait plus logique, vu la teneur de la phrase =D

Il scan.
Il a trouve deja deux trucs.

(J'ai fait comme indique, scan complet etc)

TnT-soulja · Answer

t'as pas encore essayer l'anti-virus Spyterminator? tu trouveras ca sur www.vnunet.com. Ou encore le dernier Avast pour scanner completement l'ordinateur.

Mortarius · Answer

Pour l'instant il m'en a detecte 33...

J'attends de voir.

Le probleme de Gy.exe c'est que j'arrive pas a le supprimer qq chose le re-creer...

merci encore de ton aide, je te post le rapport des que possible, j'ai installer Findykill, j'attends la fin du scan de SAS pour te poster les deux rapports.

Mortarius · Answer

Voila, j'ai du reboot le PC, comme prevus.

Le rapport de FINDYKILL



###################### [ FindyKill V4.714 ]

# User : Administrator - USER
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours le 19/01/09 par Chiquitine29
# Recherche effectuée à  0:58:53 le Wed 01/28/2009
# Windows XP - Internet Explorer 6.0.2900.2180
 
# [ FindyKill V4.714 - Scan ] ############## 
 
\\\\\\\\\\  [ Processus actifs ]  ///////////////////  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
D:\Adobe\Acrobat 7.0\Readereader_sl.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\V-Gear BEE\VBService.exe
C:\WINDOWS\system32	askmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
 
\\\\\\\\\  [ Fichiers/Dossiers infectieux ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings\Administrator\Application Data ] 
 
 
################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ] 
 
 
\\\\\\\\\  [ Registre / Startup ]  ///////////////////  
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
   BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
   msnmsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
   DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
   cdoosoft=C:\WINDOWS\system32\olhrwef.exe
   SUPERAntiSpyware=C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionun]
   NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
   nwiz=nwiz.exe /install
   NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
   RemoteControl="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
   GrooveMonitor="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
   NeroFilterCheck=C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
   tsnpstd3=C:\WINDOWS	snpstd3.exe
   snpstd3=C:\WINDOWS\vsnpstd3.exe
 
 
\\\\\\\\\  [ Registre / Clés infectieuses ] ///////////////////  
 
 
 
 
\\\\\\\\\  [ Etat / Services ]  ///////////////////  
 

# Services : [ Auto=2 / Demande=3 / Désactivé=4 ] 

Ndisuio - # Type de démarrage = 3 
 
Ip6Fw - # Type de démarrage = 3 
 
SharedAccess - # Type de démarrage = 2 
 
wuauserv - # Type de démarrage = 2 
 
wscsvc - # Type de démarrage = 2 
 
 
\\\\\\\\\  [ Recherche dans supports amovibles]  ///////////////////  
 
 
# Informations : 

C: - Fixed Drive

D: - Fixed Drive

E: - Fixed Drive

F: - Fixed Drive

I: - Fixed Drive

 
# Contenu de l'autorun : C:\autorun.inf  

;1akrLlClqa0irds0wKDia2de4d4JiS2937oaa
[AutoRun]
;45AaKies3iaFSol8or2k3wedk4K4srnqkq9rDJAL0riS4krjpjoisdraeai2wDoL3AOsl6Zws0ce
open=gy.exe
;LcaKJwpeLjkd3dmXd2l12l2id3skwdl
shell\open\Command=gy.exe

 
# Contenu de l'autorun : D:\autorun.inf  

;1akrLlClqa0irds0wKDia2de4d4JiS2937oaa
[AutoRun]
;45AaKies3iaFSol8or2k3wedk4K4srnqkq9rDJAL0riS4krjpjoisdraeai2wDoL3AOsl6Zws0ce
open=gy.exe
;LcaKJwpeLjkd3dmXd2l12l2id3skwdl
shell\open\Command=gy.exe

 
# Contenu de l'autorun : E:\autorun.inf  

;1akrLlClqa0irds0wKDia2de4d4JiS2937oaa
[AutoRun]
;45AaKies3iaFSol8or2k3wedk4K4srnqkq9rDJAL0riS4krjpjoisdraeai2wDoL3AOsl6Zws0ce
open=gy.exe
;LcaKJwpeLjkd3dmXd2l12l2id3skwdl
shell\open\Command=gy.exe

 
# Contenu de l'autorun : F:\autorun.inf  

;1akrLlClqa0irds0wKDia2de4d4JiS2937oaa
[AutoRun]
;45AaKies3iaFSol8or2k3wedk4K4srnqkq9rDJAL0riS4krjpjoisdraeai2wDoL3AOsl6Zws0ce
open=gy.exe
;LcaKJwpeLjkd3dmXd2l12l2id3skwdl
shell\open\Command=gy.exe

 
# Contenu de l'autorun : I:\autorun.inf  

;1akrLlClqa0irds0wKDia2de4d4JiS2937oaa
[AutoRun]
;45AaKies3iaFSol8or2k3wedk4K4srnqkq9rDJAL0riS4krjpjoisdraeai2wDoL3AOsl6Zws0ce
open=gy.exe
;LcaKJwpeLjkd3dmXd2l12l2id3skwdl
shell\open\Command=gy.exe

 
# presence des fichiers :  

Found ! [01/28/2009 00:58][-r-hs----] - C:\autorun.inf 
Found ! [01/28/2009 00:58][-r-hs----] - D:\autorun.inf 
Found ! [01/28/2009 00:58][-r-hs----] - E:\autorun.inf 
Found ! [01/28/2009 00:58][-r-hs----] - F:\autorun.inf 
Found ! [01/28/2009 00:58][-r-hs----] - I:\autorun.inf 
 
 
\\\\\\\\\  [ Registre / Mountpoint2 ]  ///////////////////  
 
 
-> Not found ! 
 
 
################## [ ! Fin du rapport # FindyKill V4.714 ! ]  
 



Et maintenant le rapport de SAS...


Le fichier bug.
Il rame simplement, "Le programme ne reponds pas" je ne peux rien faire avec le rapport de SAS...
J'ai essayer plusieurs fois.

pimprenelle27 · Answer

je vois que fndykill à détecté le fichier en qestion

Etape 3/

Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
- Ensuite poste le rapport C:\FindyKill.txt

Mortarius · Answer

Je le fait de ce pas.

Merci.

Je le sens bien =D il va supprimer proprement tout ca! Detecte et tout le patali. =)

Mortarius · Answer

Me revoila!

Voila le rapport.
Parcontre, je n'ai eu qu'un seul reboot!

###################### [ FindyKill V4.714 ]

# User : Administrator - USER
# Executed from : C:\Program Files\FindyKill
# Update on 19/01/09 by Chiquitine29
# Start at  1:25:48 the Wed 01/28/2009
# Windows XP - Internet Explorer 6.0.2900.2180
 
# [ FindyKill V4.714 - Deleting ] ############### 
 
\\\\\\\\\  [ Active Processes ]  ///////////////////  
 

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
 
\\\\\\\\\  [ Infected Files / Folders ]  ///////////////////  
 
 
################## [ C:\ ] 
 
 
################## [ C:\WINDOWS ] 
 
 
################## [ C:\WINDOWS\Prefetch ] 
 
 
################## [ C:\WINDOWS\system32 ] 
 
 
################## [ C:\WINDOWS\system32\drivers ] 
 
 
################## [ C:\Documents and Settings\Administrator\Application Data ] 
 
 
################## [ C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp ] 
 
 
################## [ C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 ] 
 
 
\\\\\\\\\  [  Registry / Infected keys ]  ///////////////////  
 
 
\\\\\\\\\  [ States / Restarting of services ]  ///////////////////  
 

# Services : [ Auto=2 / Request=3 / Disable=4 ] 

Ndisuio - # Type of startup  = 3 
 
Ip6Fw - # Type of startup  = 2 
 
SharedAccess - # Type of startup  = 2 
 
wuauserv - # Type of startup  = 2 
 
wscsvc - # Type of startup  = 2 
 
 
\\\\\\\\\  [ Cleaning Removable drives ]  ///////////////////  
 
# Informations : 

C: - Fixed Drive

D: - Fixed Drive

E: - Fixed Drive

F: - Fixed Drive

I: - Fixed Drive

 
# deleting files : 
 
Deleted ! - C:\autorun.inf  
Deleted ! - D:\autorun.inf  
Deleted ! - E:\autorun.inf  
Deleted ! - F:\autorun.inf  
Deleted ! - I:\autorun.inf  
 
\\\\\\\\\  [ Registry / Mountpoint2 ]  ///////////////////  
 
 
 -> Not found ! 
 
 
\\\\\\\\\  [ Searching Other Infections ]  ///////////////////  
 
 
\\\\\\\\\  [ Searching Cracks / Keygen ]  ///////////////////  
 
 
################## [ ! End of report # FindyKill V4.714 ! ]   
 
                    
Qu'en pense tu?
Encore merci de ton aide!

pimprenelle27 · Answer

fait moi un nouvel hijackthis.

Mortarius · Answer

Re.

Voila le rapport.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:42:26, on 1/28/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

pimprenelle27 · Answer

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
comment demarrer en mode sans echec en images
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Déroule la liste des instructions ci-dessous :

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

Tuto d'instalation et de mise en oeuvre

Si SDfix ne se lance pas (ça arrive!)

* Démarrer->Exécuter
* Copie/colle ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Mortarius · Answer

Re.

Mon PC a totalement freeze lors du reboot en mode normale (Tout s'est bien deroule du cote du mode sans echec)

Le rapport s'est afficher et tout... Mais apres qq secondes, FREEZE.

J'ai du l'eteindre et le rallumer a la maniere dure...


Voici le rapport.


[b]SDFix: Version 1.240 [/b]
Run by Administrator on Wed 01/28/2009 at 02:01

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-28 02:05:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:68,cd,4d,10,d1,71,9e,93,cf,0e,26,d5,6f,92,d0,73,00,42,03,2f,45,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d5,7a,1c,a6,c2,5d,91,f0,15,5d,6f,f7,73,40,36,e5,ab,..
"khjeh"=hex:48,01,b2,5c,14,65,6b,92,58,bd,1c,0f,77,8d,38,c7,7a,74,6b,bc,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:87,7a,6a,7a,dc,99,9b,20,b5,68,11,c0,df,4d,87,4e,b1,1d,5f,06,01,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:68,cd,4d,10,d1,71,9e,93,cf,0e,26,d5,6f,92,d0,73,00,42,03,2f,45,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d5,7a,1c,a6,c2,5d,91,f0,15,5d,6f,f7,73,40,36,e5,ab,..
"khjeh"=hex:48,01,b2,5c,14,65,6b,92,58,bd,1c,0f,77,8d,38,c7,7a,74,6b,bc,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:87,7a,6a,7a,dc,99,9b,20,b5,68,11,c0,df,4d,87,4e,b1,1d,5f,06,01,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"D:\Free Music Zilla\FMZilla.exe"="D:\Free Music Zilla\FMZilla.exe:*:Enabled:FMZilla Module"
"D:\Warcraft III\Warcraft III.exe"="D:\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\Program Files\Warcraft III\Warcraft III.exe"="C:\Program Files\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\Documents and Settings\Administrator\Desktop\ABC\abc.exe"="C:\Documents and Settings\Administrator\Desktop\ABC\abc.exe:*:Enabled:abc"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"E:\Painkiller Overdose\Bin\Overdose.exe"="E:\Painkiller Overdose\Bin\Overdose.exe:*:Enabled:Painkiller Overdose"
"E:\Painkiller Overdose\Bin\OverdoseEditor.exe"="E:\Painkiller Overdose\Bin\OverdoseEditor.exe:*:Enabled:Painkiller Overdose Editor"
"E:\Painkiller Overdose\Bin\OverdoseServer.exe"="E:\Painkiller Overdose\Bin\OverdoseServer.exe:*:Enabled:Painkiller Overdose Console Server"
"I:\Thomas\CSCZ\czero.exe"="I:\Thomas\CSCZ\czero.exe:*:Enabled:Condition Zero Launcher"
"I:\Thomas\THQ\Dawn of War - Soulstorm\Soulstorm.exe"="I:\Thomas\THQ\Dawn of War - Soulstorm\Soulstorm.exe:*:Enabled:Soulstorm"
"C:\Program Files\V-Gear BEE\VBService.exe"="C:\Program Files\V-Gear BEE\VBService.exe:*:Enabled:V-Gear Bee Service"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Disabled:Run a DLL as an App"
"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Wed 21 Jan 2009       108,869 ..SHR --- "C:\gy.exe"
Wed 21 Jan 2009       108,869 ..SHR --- "C:\WINDOWS\system32\olhrwef.exe"
Wed 28 Jan 2009       559,144 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\35666fd9a45d70bda95959f830bf7304\BIT2.tmp"

[b]Finished![/b]

P.S: il est 2h15 du mat, je ne vais pas tarder a aller dodo, pas tout de suite mais je prefere te prevenir (au cas ou si, comme hier soir, je rencontre encore de gros problemes, tu sache que j'ai eu des soucis et que je suis aller me coucher.)

Mortarius · Answer

Je n'en peux plus, je ne tiens plus debout...

Merci de ton aide.
On remet ca demain si tu peux, s'il te plait? Merci beaucoup.
3-4 jours que je me couche apres 2h du mat =D Ca deviens dur a force...

Bonne soiree, encore merci, et bravo pour tes competences.

A demain!

Mortarius · Answer

Bonjour Pimprenelle27.

Je ne sais pas si tu es la et si tu es disposee a continuer, mais moi je le suis.
Que dois-je faire?
Je telecharge avast (mon ancien avast etait perimee). Histoire de voir si c'est encore la, mais tu doit deja le savoir avec les rapports...?

Merci.

pimprenelle27 · Answer

Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :


/!\ Déconnectes toi et fermes toutes applications en cours

&#9679; Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
&#9679; Double clique sur l'icône Ad-removersituée sur ton bureau
&#9679; Au menu principal choisi l'option "A"
&#9679; Postes le rapport qui apparait à la fin .

( le rapport est sauvegardé aussi sous C:\Ad-report(date).log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Mortarius · Answer

Re Pimprenelle27.

Coupure de courant, desole. Je n'ai meme pas eu le temps de te prevenir (UPS de 2 minutes, j'avais fermer la page...)
Je fait ca desuite, merci.

Mortarius · Answer

Voila.

Petit soucis :
J'ai tout ferme, je clique sur A.
Le programme change de fenetre en un dixieme de seconde et se ferme. Plus rien.

Aucun rapport ne s'affiche.
Aucun rapport dans C:/ s'appelant Ad-report29-01-2009.log ou comportant ad-report dans son nom.

J'ai lancer une recherche avec "Ad-report" comme nom.

Mortarius · Answer

Rien du tout.

Aucun log, j'ai desinstaller et re-installer, il refait pareille.
Pourtant j'ai suivis a la lettre, tout ferme, internet etc etc, meme les programmes minimize dans la petite barre en bas a droite (Je sais pus comment elle s'appele)...

Que faire? ^^

J'attends.
Encore merci.

pimprenelle27 · Answer

*   Téléchargez et enregistrez Navilog1 sur le bureau.
    * Sous XP : double-cliquez dessus pour l'installer et le lancer.
    * Sous vista : faites un clic droit sur Navilog1 présent sur le bureau et choisissez "exécuter en tant qu'administrateur".
    * Quand il sera installé, appuyez sur F pour Français.
    * Appuyez sur une touche jusqu'à ce que vous arriviez au menu des options.
    * Tapez 1 pour exécuter une recherche.
    * Laissez le programme travailler, il pourrait durer une dizaine de minutes.
    * Un rapport va être généré dans le bloc note à la fin de l'analyse
    * Il sera aussi enregistré automatiquement sur votre disque C ( C:\fixnavi.txt )
    * Voici un tutoriel qui vous explique le fonctionnement de Navilog1 :


http://il.mafioso.pagesperso-orange.fr/Navifix/presentation.htm

Mortarius · Answer

Re.

Voila.

Search Navipromo version 3.7.1 commencé le Wed 01/28/2009 à 22:49:50.73

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 02.01.2009 à 19h00 par IL-MAFIOSO

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  E2200  @ 2.20GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrator ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:29 Go (Free:16 Go)
D:\ (Local Disk) - NTFS - Total:39 Go (Free:33 Go)
E:\ (Local Disk) - NTFS - Total:39 Go (Free:17 Go)
F:\ (Local Disk) - NTFS - Total:41 Go (Free:41 Go)
G:\ (CD or DVD)
H:\ (CD or DVD)
I:\ (Local Disk) - FAT32 - Total:298 Go (Free:208 Go)


Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1\programs" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\startm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrator\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrator\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrator\startm~1\programs" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrator\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***
!! Les clés trouvées ne sont pas forcément infectées !!


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrator\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche autres dossiers et fichiers connus :



*** Analyse terminée le Wed 01/28/2009 à 22:51:26.26 ***


Merci.

pimprenelle27 · Answer

*   Télécharger ComboFix (par sUBs) sur le Bureau.
    * Double-cliquer combofix.exe.
    * Il est vivement recommandé d'installer la Console de récupération !
    * Appuyer sur la touche Y (Yes) pour démarrer le scan.
    * Le rapport sera crée dans: C:\Combofix.txt.
    * Refaire un rapport HijackThis, et fixer les lignes correspondantes comme indiqué plus haut.



Le tutoriel officiel se trouve à cette adresse :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Sous Vista :

    * Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    * Aller dans démarrer puis panneau de configuration.
    * Double-cliquer sur l'icône Comptes d'utilisateurs.
    * Cliquer ensuite sur désactiver et valider.
    * Faire un clic-droit sur ComboFix présent sur le Bureau et choisir Exécuter en tant qu'administrateur.
    * Double-cliquer sur combofix.exe.
    * Appuyer sur la touche Y (Yes) pour démarrer le scan.
    * Le rapport sera crée dans: C:\Combofix.txt
          o En cas de difficulté à dépouiller les résultats du rapport seul, il est conseillé de le poster en forum afin qu'une personne avertie vous guide dans l'utilisation et l'analyse des rapports. La "puissance" et la difficulté à analyser les résultats des rapports en font un fix à utiliser avec précaution.

Mortarius · Answer

"* Il est vivement recommandé d'installer la Console de récupération ! "

Qu'est-ce?
Comment l'installer?
N'est-elle pas deja sur le PC?
Tu pense que je doit le faire?

"* Refaire un rapport HijackThis, et fixer les lignes correspondantes comme indiqué plus haut. "

Je refais simplement un Rap HijackThis? J'ai pas compris pour "Fixer les lignes correspondantes" ? Ca n'as rien a voir, vu que rien n'est indique plus haut?

Merci.
ComboFix se telecharge.

^^Marie^^ · Answer

Bonsoir

Avant de faire Combofix, pourrais tu faire ce qui suit -- stp
Pour alleger ton PC

•	Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner 
•	Clique sur Recherche et laisse le scan se terminer.
•	Clique, sur Suppression pour finaliser.
•	Tu peux, si tu le souhaites, te servir des Options facultatives.
•	Clique sur Quitter, pour que le rapport puisse se créer.
•	Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

+ un nouveau log hijackthis

Merci

Mortarius · Answer

Vi, je le fait desuite.

Mortarius · Answer

Euh...

Je n'ai pas pu m'empecher de lire le rapport avant de supprimer, et il m'affiche des programmes recemment telecharges :
Les anti-virus et cleaner que j'ai telecharges. (Notamment combofix)


J'aimerais pas me les voir supprimes =D
Je le fait quand meme?

^^Marie^^ · Answer

Tu supprimes TOUT

Mortarius · Answer

Merci de ton aide, voila le rapport.


[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\fixnavi.txt: trouvé !
C:\TB.txt: trouvé !
C:\*.msnfix: trouvé !
C:\FindyKill.txt: trouvé !
C:\SDFIX: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Documents and Settings\Administrator\Desktop\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\SdFix.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Msnfix.zip: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\GenProc.zip: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Navilog1.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Navilog1.lnk: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\ToolBarSD.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\hijackthis.log: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\MsnFix: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\SmitFraudfix: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\GenProc: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\GenProc\Page\GenProc[*].html: trouvé !
C:\Documents and Settings\Administrator\Start Menu\Programs\FindyKill: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1\Navilog1.lnk: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !


Corbeille vidée!
Fichiers temporaires nettoyés !
---------------------------------
-->- Suppression: 
C:\Documents and Settings\Administrator\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\SdFix.exe: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Msnfix.zip: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\GenProc.zip: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Navilog1.exe: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Navilog1.lnk: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\SmitFraudFix.exe: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\ToolBarSD.exe: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1\Navilog1.lnk: supprimé !
C:\Program Files\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\fixnavi.txt: supprimé !
C:\TB.txt: supprimé !
C:\*.msnfix: ERREUR DE SUPPRESSION !!
C:\FindyKill.txt: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\hijackthis.log: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\SDFIX: supprimé !
C:\Combofix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\MsnFix: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\SmitFraudfix: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\GenProc: supprimé !
C:\Documents and Settings\Administrator\Start Menu\Programs\FindyKill: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\Navilog1: supprimé !
C:\Program Files\Navilog1: supprimé !
C:\Program Files\FindyKill: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !




Je refais un Hijack This :


... Que je n'ai plus ^^

Je le re-telecharge pour te re-faire un log?
A moins qu'il soit encore dans mon PC mais plus de raccourcis bureau?

^^Marie^^ · Answer

O con de l'âne !!!! ;))
Comment veux tu travailler avec tout ça ??? ;)

Je le re-telecharge pour te re-faire un log? >> OUIiiiii

Mortarius · Answer

J'ai oublie de dire que j'ai utilise les fonctions optionelles :

Fichier temp vides, et corbeille aussi, mais ca vous l'avez vu sur le rapport ^^\

Aufaite, je crois l'avoir deja dit mais je suis sur qwerty donc pas d'accents, je sais que ca fait un peu mal ecris mais je ne suis pas fort en conjugaison (Beschrelle : Absent... Lol!) j'ai toujours du mal...

J'aurais du bosser a l'ecole! ^^

Mortarius · Answer

Voili voilou :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36, on 2009-01-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\CF6222.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\ComboFix\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

^^Marie^^ · Answer

Tu ne lances rien du tout pour l'instant

Je re

Mortarius · Answer

Okay.

Merci beaucoup!

^^Marie^^ · Answer

Re

C'est bien ce qu'il me semblait (après avoir lu encore une fois le topikk)


Tu navigues sans anti-virus, sans pare-feu. Pas etonnant que ton PC merdouille

DONC 

Dans l'urgence, première chose a faire (en plus tu as l'air de jouer )))

Installer un Anti-virus


Je te propose Antivir puisqu'il est a la mode ;))

ANTIVIR
https://www.avira.com/
https://www.commentcamarche.net/s/antivir francais
Tuto
http://speedweb1.free.fr/frames2.php?page=tuto5 
http://mr.dodo.perso.cegetel.net/tuto21.htm 
https://www.malekal.com/tutorial-sur-lantivirus-antivir/

Tu l'installes
Tu fais un scan 
Tu postes le scan ici
Tu refais un log hijackthis dans la foulée

Mortarius · Answer

Sans anti-virus c'est vrai, mais je ne telecharge rien et pour le pare-feu j'utilise celui de windows.

Je telecharge desuite!
Je te remercie de la diligence dont tu fait preuve. Encore merci.

Pour tout dire, j'ai su que j'avais un virus quand j'ai installer avast.
Il m'as notifier un virus et la mon PC a ramer, encore et encore, j'avais beaux tout faire, le rallumer etc...

Alors j'ai demarrer en mode sans echec et j'ai restorer un point de sauvegarde.
J'ai re-essayer de prendre avast, et il m'as refait le meme coup.
Bim, re-point de sauvegarde.

Utilisant CCM depuis le debut du mois, je me suis dit que j'allais faire un tour sur le forum anti-virus.
J'ai pris Malware et HijackThis, et me voila.

Donc... Ce PC est tres recent, il n'est connecter a internet que depuis 2 semaines au grand max.

Merci de ton aide, je telecharge l'anti-virus desuite (J'ai 213kb de co, ca prendras du temps)

^^Marie^^ · Answer

Salut

BipBiippp !!

Mortarius · Answer

Re Marie!
Desole pour hier... Si c'est pas le PC qui me lache, c'est l'internet.
Vois-tu, pour te prevenir je vais t'expliquer :
Si je ne parle plus, si je reponds pas quoi, c'est que soit :
-Mon PC bug, il se fait tard, je go dodo.
Et/ou
-Mon internet bug.

Donc voila... Autrement, si je doit partir, je te previendrais toujours.

Antivir me detecte Nmdfgds0.dll encore et encore et encore, comme d'hab, je le supprime, le met en quarantaine, le bloque, il reviens toujours.


AVIRA REPORT :


Avira AntiVir Personal
Report file date: 2009-01-29  01:07

Scanning for 1038808 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Boot mode:        Normally booted
Username:         Administrator
Computer name:    USER

Version information:
BUILD.DAT     : 8.2.0.337      16934 Bytes  2008-11-18 13:05:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  2008-11-18 03:51:26
AVSCAN.DLL    : 8.1.4.0        40705 Bytes  2008-05-26 03:26:40
LUKE.DLL      : 8.1.4.5       164097 Bytes  2008-06-12 08:14:19
LUKERES.DLL   : 8.1.4.0        12033 Bytes  2008-05-26 03:28:52
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  2008-10-27 07:00:36
ANTIVIR1.VDF  : 7.1.0.56      411136 Bytes  2008-11-09 12:27:13
ANTIVIR2.VDF  : 7.1.0.89      221184 Bytes  2008-11-16 11:46:47
ANTIVIR3.VDF  : 7.1.0.97       45056 Bytes  2008-11-17 12:08:59
Engineversion : 8.2.0.31  
AEVDF.DLL     : 8.1.0.6       102772 Bytes  2008-10-14 05:35:56
AESCRIPT.DLL  : 8.1.1.15      332156 Bytes  2008-11-11 09:30:07
AESCN.DLL     : 8.1.1.5       123251 Bytes  2008-11-07 10:36:41
AERDL.DLL     : 8.1.1.3       438645 Bytes  2008-11-04 09:28:38
AEPACK.DLL    : 8.1.3.4       393591 Bytes  2008-11-11 05:11:39
AEOFFICE.DLL  : 8.1.0.30      196986 Bytes  2008-11-07 10:36:41
AEHEUR.DLL    : 8.1.0.71     1487222 Bytes  2008-11-07 10:36:41
AEHELP.DLL    : 8.1.1.3       119157 Bytes  2008-11-07 10:36:41
AEGEN.DLL     : 8.1.1.0       319859 Bytes  2008-11-07 10:36:41
AEEMU.DLL     : 8.1.0.9       393588 Bytes  2008-10-14 05:35:56
AECORE.DLL    : 8.1.4.1       172405 Bytes  2008-11-07 10:36:41
AEBB.DLL      : 8.1.0.3        53618 Bytes  2008-10-14 05:35:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  2008-07-09 04:10:05
AVPREF.DLL    : 8.0.2.0        38657 Bytes  2008-05-16 04:58:01
AVREP.DLL     : 8.0.0.2        98344 Bytes  2008-07-31 07:32:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  2008-05-09 06:56:40
AVARKT.DLL    : 1.0.0.23      307457 Bytes  2008-02-12 03:59:23
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  2008-06-12 07:57:49
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  2008-01-22 12:58:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  2008-06-12 08:19:40
NETNT.DLL     : 8.0.0.1         7937 Bytes  2008-01-25 07:35:10
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  2008-06-12 09:18:07
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  2008-06-27 09:04:37

Configuration settings for the scan:
Jobname..........................: Windows System Directory
Configuration file...............: C:\Program Files\Avira\AntiVir PersonalEdition Classic\setupprf.dat
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: 2009-01-29  01:07

The scan of running processes will be started
Scan process 'guardgui.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'wmplayer.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'taskmgr.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'NMIndexingService.exe' - '1' Module(s) have been scanned
Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned
Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'GrooveMonitor.exe' - '1' Module(s) have been scanned
Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned
Scan process 'rundll32.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
36 processes with 36 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!
Master boot sector HD1
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '59' files ).


Starting the file scan:

Begin scan in 'C:\WINDOWS\system32'
C:\WINDOWS\system32
mdfgds0.dll
    [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
    [WARNING]   An error has occurred and the file was not deleted. ErrorID: 26003
    [WARNING]   The file could not be deleted!
    [NOTE]      Attempting to perform action using the ARK lib.
    [NOTE]      The file was moved to '4b49cc56.qua'!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNING]   The file could not be opened!


End of the scan: 2009-01-29  01:09
Used time: 01:16 Minute(s)

The scan has been done completely.

    237 Scanning directories
   6675 Files were scanned
      1 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      1 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
   6673 Files not concerned
      5 Archives were scanned
      2 Warnings
      1 Notes

Et maintenant HIJACKTHIS REPORT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50, on 2009-01-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\V-Gear BEE\VBService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Mortarius · Answer

Pitit up, si tu as le temps de regarder? ^^
Sait-on jamais que tu ne l'ai pas vu ... ^^

Je deco 30/40 minutes, histoire de manger...
Bisous!

^^Marie^^ · Answer

Re


Cool !!! Respire ..... ;))
T'affole pas ;))

Télécharge SDFix sur ton bureau : 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. 

--->Double-clique sur SDFix.exe et choisis "Install" . 

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ ) 

Puis une fois l'installe faite, redémarre en mode sans échec . 

Comment aller en Mode sans échec : 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
--->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc : 
presse une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normal), après le chargement du Bureau presse une touche lorsque "Finished" s'affiche . 

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt". 

Poste ce dernier dans ta prochaine réponse. 
 

Si SDfix ne se lance pas (ça arrive!)

* Démarrer->Exécuter
* Copie/colle ceci:
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDfix.

Mortarius · Answer

O.k.

J'ai compris.
Mon fournisseur me bloque tout les soirs a partir d'une certaine heure.
Je l'ai appele ce matin, je l'ai proprement engeule comme c'est pas permis (C'est vrai quoi, c'est pas sense arriver!).
M'as rappeler une demie heure plus tard "Oui oui enfaite c'etait la machine qui croyait que vous aviez pas payer tout les soirs..."
Bon. C'est regle, ca devrait pus arriver. Sauf si leurs serveurs sautent... xDD

Je fait ce que tu m'as demander desuite!
Encore desole pour hier, la meme chose que l'autre fois...

Je ne te presse pas hein ^^ note le bien, c'est juste que j'ai cru que tu n'avais pas vu ma reponse, ca peut arriver ;)

Encore merci!!

Mortarius · Answer

Voila le rapportt SDfix en mode sans echec, encore merci!



[b]SDFix: Version 1.240 [/b]
Run by Administrator on 2009-01-30 at 13:37

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\autorun.inf - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-30 13:40:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:68,cd,4d,10,d1,71,9e,93,cf,0e,26,d5,6f,92,d0,73,00,42,03,2f,45,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d5,7a,1c,a6,c2,5d,91,f0,15,5d,6f,f7,73,40,36,e5,ab,..
"khjeh"=hex:48,01,b2,5c,14,65,6b,92,58,bd,1c,0f,77,8d,38,c7,7a,74,6b,bc,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:87,7a,6a,7a,dc,99,9b,20,b5,68,11,c0,df,4d,87,4e,b1,1d,5f,06,01,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:68,cd,4d,10,d1,71,9e,93,cf,0e,26,d5,6f,92,d0,73,00,42,03,2f,45,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d5,7a,1c,a6,c2,5d,91,f0,15,5d,6f,f7,73,40,36,e5,ab,..
"khjeh"=hex:48,01,b2,5c,14,65,6b,92,58,bd,1c,0f,77,8d,38,c7,7a,74,6b,bc,15,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:87,7a,6a,7a,dc,99,9b,20,b5,68,11,c0,df,4d,87,4e,b1,1d,5f,06,01,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"D:\Free Music Zilla\FMZilla.exe"="D:\Free Music Zilla\FMZilla.exe:*:Enabled:FMZilla Module"
"D:\Warcraft III\Warcraft III.exe"="D:\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\Program Files\Warcraft III\Warcraft III.exe"="C:\Program Files\Warcraft III\Warcraft III.exe:*:Enabled:Warcraft III"
"C:\Documents and Settings\Administrator\Desktop\ABC\abc.exe"="C:\Documents and Settings\Administrator\Desktop\ABC\abc.exe:*:Enabled:abc"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"E:\Painkiller Overdose\Bin\Overdose.exe"="E:\Painkiller Overdose\Bin\Overdose.exe:*:Enabled:Painkiller Overdose"
"E:\Painkiller Overdose\Bin\OverdoseEditor.exe"="E:\Painkiller Overdose\Bin\OverdoseEditor.exe:*:Enabled:Painkiller Overdose Editor"
"E:\Painkiller Overdose\Bin\OverdoseServer.exe"="E:\Painkiller Overdose\Bin\OverdoseServer.exe:*:Enabled:Painkiller Overdose Console Server"
"I:\Thomas\CSCZ\czero.exe"="I:\Thomas\CSCZ\czero.exe:*:Enabled:Condition Zero Launcher"
"I:\Thomas\THQ\Dawn of War - Soulstorm\Soulstorm.exe"="I:\Thomas\THQ\Dawn of War - Soulstorm\Soulstorm.exe:*:Enabled:Soulstorm"
"C:\Program Files\V-Gear BEE\VBService.exe"="C:\Program Files\V-Gear BEE\VBService.exe:*:Enabled:V-Gear Bee Service"
"C:\WINDOWS\system32\dpvsetup.exe"="C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\WINDOWS\system32\rundll32.exe"="C:\WINDOWS\system32\rundll32.exe:*:Disabled:Run a DLL as an App"
"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe:*:Enabled:Malwarebytes' Anti-Malware"
"I:\Thomas\Hellgate London\Launcher.exe"="I:\Thomas\Hellgate London\Launcher.exe:*:Enabled:Hellgate : London"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Thu 29 Jan 2009    15,452,536 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4f79e01ce8ee10a7556514a051f797f4\BIT1E.tmp"
Fri 30 Jan 2009     8,822,672 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\adcebe53c9a3a7af3f6702e528bbb746\BIT10.tmp"
Thu 29 Jan 2009     9,237,440 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e716d682d02fa2ad9ede26c52c60faa9\BIT1.tmp"
Thu 29 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2bc0b3c55e0c166e04844934d1c7c342\download\BIT5F.tmp"

[b]Finished![/b]

Je ne serais pas la ce matin, mais en fin d'aprem, oui, vers 15h.
Encore merci!

Mortarius · Answer

Je refait un hijackthis, au cas ou, ca ne mange pas de pain et ca pourrait t'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:12, on 2009-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\V-Gear BEE\VBService.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32	askmgr.exe
I:\Thomas\Hellgate London\SP_x86\Hellgate_sp_dx9_x86.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe


End of file - 5301 bytes

Je serais la jusque 21h, heure francaise, environ. Peut-etre apres ;)

Encore merci de ton aide!!
(21h heure francaise = 1h30 du mat pour moi xP Mais demain c'est week-end alors ca va, les autres jours, ce fut dur! ^^)

Mortarius · Answer

Re-bonjour ^^ tu doit etre occupee ! Je te soupconne fortement d'avoir une vie sociale!!!!! HA HA tu es demasquee! (Je rigole ;) sait on jamais que tu le prenne mal) J'ai fait un scan complet de mon PC avec antivir... Surprise! C'est comme dans les Kinders, il m'as trouve, tiens toi bien, 247 trucs a foutre a la poubelle! J'ai tout mis en quarantaine, principalement les virus etc se ressemblent, comme tu le verras, mais certain different, je te met ceux qui changent de la "normale" en italique, question de visibilite. Avira AntiVir Personal Report file date: 2009-02-01 19:40 Scanning for 1302306 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: USER Version information: BUILD.DAT : 8.2.0.337 16934 Bytes 2008-11-18 13:05:00 AVSCAN.EXE : 8.1.4.10 315649 Bytes 2008-11-18 03:51:26 AVSCAN.DLL : 8.1.4.0 40705 Bytes 2008-05-26 03:26:40 LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 08:14:19 LUKERES.DLL : 8.1.4.0 12033 Bytes 2008-05-26 03:28:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 07:00:36 ANTIVIR1.VDF : 7.1.1.113 2817536 Bytes 2009-01-14 13:58:12 ANTIVIR2.VDF : 7.1.1.207 1359360 Bytes 2009-01-30 16:46:36 ANTIVIR3.VDF : 7.1.1.208 2048 Bytes 2009-01-30 16:46:38 Engineversion : 8.2.0.70 AEVDF.DLL : 8.1.1.0 106868 Bytes 2009-01-30 16:50:31 AESCRIPT.DLL : 8.1.1.39 344443 Bytes 2009-01-30 16:50:22 AESCN.DLL : 8.1.1.6 127348 Bytes 2009-01-30 16:49:59 AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-04 09:28:38 AEPACK.DLL : 8.1.3.5 393588 Bytes 2009-01-29 14:10:24 AEOFFICE.DLL : 8.1.0.33 196987 Bytes 2009-01-29 14:09:51 AEHEUR.DLL : 8.1.0.89 1569143 Bytes 2009-01-30 16:49:36 AEHELP.DLL : 8.1.2.0 119159 Bytes 2009-01-29 14:06:27 AEGEN.DLL : 8.1.1.12 328053 Bytes 2009-01-30 16:47:48 AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 05:35:56 AECORE.DLL : 8.1.6.3 176501 Bytes 2009-01-30 16:47:03 AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 05:35:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 04:10:05 AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 04:58:01 AVREP.DLL : 8.0.0.2 98344 Bytes 2008-07-31 07:32:15 AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 06:56:40 AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 03:59:23 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 07:57:49 SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 12:58:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 08:19:40 NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 07:35:10 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-06-12 09:18:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-06-27 09:04:37 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, D:, E:, F:, I:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: 2009-02-01 19:40 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'taskmgr.exe' - '1' Module(s) have been scanned Scan process 'NMIndexingService.exe' - '1' Module(s) have been scanned Scan process 'VBService.exe' - '1' Module(s) have been scanned Scan process 'SUPERAntiSpyware.exe' - '1' Module(s) have been scanned Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned Scan process 'daemon.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'wscntfy.exe' - '1' Module(s) have been scanned Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'vsnpstd3.exe' - '1' Module(s) have been scanned Scan process 'tsnpstd3.exe' - '1' Module(s) have been scanned Scan process 'GrooveMonitor.exe' - '1' Module(s) have been scanned Scan process 'PDVDServ.exe' - '1' Module(s) have been scanned Scan process 'rundll32.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 36 processes with 36 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'D:\' [INFO] No virus was found! Boot sector 'E:\' [INFO] No virus was found! Boot sector 'F:\' [INFO] No virus was found! Boot sector 'I:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '55' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023629.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb17.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023666.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb1c.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP71\A0023683.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb1e.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0023695.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb20.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0024666.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb23.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP73\A0025749.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb27.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0026973.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb37.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0028024.sys [DETECTION] Contains recognition pattern of the RKIT/Agent.NM root kit (Note de ma part : Agent root kit? Kezako?) [NOTE] The file was moved to '49b5bb3e.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029020.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bb41.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029022.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc2a.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029046.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc2c.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP75\A0030043.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc2e.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP75\A0030054.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc31.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030949.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc42.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030964.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc43.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP77\A0030975.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc45.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031011.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc47.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP79\A0031061.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc4a.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031072.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc59.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031120.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc5b.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP81\A0031153.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc5e.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031185.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc61.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031240.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc63.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031271.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc65.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031291.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc68.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0032294.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c679.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033903.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc73.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033916.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c664.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033963.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc74.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034009.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc75.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034061.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc76.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035037.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc77.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035523.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc7c.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035539.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c66d.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035625.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc7e.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036598.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c66f.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036613.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc60.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037614.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c671.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037633.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc7f.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037674.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c690.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP89\A0037849.dll [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc81.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP89\A0037871.dll [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c692.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP90\A0038895.sys [DETECTION] Contains recognition pattern of the RKIT/Agent.NM root kit (note de ma part : Agent.NM root kit, encore.) [NOTE] The file was moved to '49b5bc82.qua'! (note de ma part : fichier .SYS et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP90\A0038896.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc83.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0038909.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c694.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0039007.dll [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc85.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0039014.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc86.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0039998.dll [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c697.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0040001.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc88.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0040998.dll [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc87.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041001.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c698.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041016.dll [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc89.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041019.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c69a.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0042017.dll [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c699.qua'! (note de ma part : fichier .DLL et non .EXE) C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0042019.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc8a.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP92\A0042066.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc8b.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP92\A0042263.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc8d.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP93\A0042369.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bc90.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP93\A0042381.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c681.qua'! C:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP94\A0043519.exe [DETECTION] Contains recognition pattern of the WORM/Generic.4084 worm (note de ma part : C'est un WORM...?) [NOTE] The file was moved to '49b5bc96.qua'! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! Begin scan in 'D:\' D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023631.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdf5.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023668.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c7e6.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP71\A0023685.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdf7.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0023697.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdf6.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0024668.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c7e7.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0026975.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdf8.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029024.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdf9.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029048.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c7ea.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP75\A0030908.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdfb.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030951.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c7ec.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030966.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdfc.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP77\A0030977.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c7ed.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031013.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdfd.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP79\A0031063.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c7ee.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031074.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdfe.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031122.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c7ef.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP81\A0031155.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5bdff.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031187.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be00.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031242.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c411.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031273.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be02.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031293.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c413.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0032296.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be01.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033630.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c412.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033905.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be03.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033918.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c414.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033965.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be04.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034011.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c415.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034063.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be06.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035267.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be05.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035525.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c416.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035541.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be07.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035627.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c418.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036600.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c417.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036615.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be08.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037616.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c419.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037635.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be0a.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037815.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be09.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP90\A0038897.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c41a.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0038911.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be0b.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0039016.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c41b.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0040003.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be0c.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041003.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c41d.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041021.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c41c.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0042021.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be0d.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP92\A0042068.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41c41e.qua'! D:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP93\A0042371.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5be0e.qua'! Begin scan in 'E:\' E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023633.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c17a.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023670.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb6b.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP71\A0023687.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c17b.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0023699.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb6c.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0024670.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c17d.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP73\A0026555.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb6e.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0026977.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c186.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029026.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c187.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029050.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb98.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP75\A0030924.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c189.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030953.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb9a.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030968.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c188.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP77\A0030979.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb99.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031015.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c18a.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP79\A0031065.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c18b.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031076.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb9c.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031124.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c18d.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP81\A0031157.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb9b.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031189.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c18c.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031244.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb9d.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031275.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c18e.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031295.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb9e.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0032298.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c18f.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033633.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb80.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033907.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb9f.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033920.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b0.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033967.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba1.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034013.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b2.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034065.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c191.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035270.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb82.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035527.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c193.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035543.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba3.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035629.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b4.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036602.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba5.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036617.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb84.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037618.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c195.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037637.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb86.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037817.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c197.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP90\A0038898.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c190.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0038913.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb81.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0039018.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c192.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041005.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb88.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041023.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c199.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0042023.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb8a.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP92\A0042070.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c19b.qua'! E:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP93\A0042373.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb83.qua'! Begin scan in 'F:\' F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023635.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c194.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023672.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb8c.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP71\A0023689.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c19d.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0023701.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb8e.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0024672.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c19f.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP73\A0026705.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb85.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0026979.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c196.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029028.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb87.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0029052.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb0.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP75\A0030927.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a1.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030955.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb2.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030970.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a3.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP77\A0030981.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c198.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031017.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb89.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP79\A0031067.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c19a.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031078.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb8b.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031126.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb4.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP81\A0031159.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a5.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031191.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb6.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031246.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a7.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031277.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c19c.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031297.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb8d.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0032300.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c19e.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033636.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb8.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033909.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a9.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033922.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbba.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033969.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1ab.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034015.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb8f.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034067.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c180.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035273.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb91.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035529.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbbc.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035545.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1ad.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035631.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbbe.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036604.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1af.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036619.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c182.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037620.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb93.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037639.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c184.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037819.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb95.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP90\A0038899.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba0.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0038915.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b1.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0039020.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba2.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0040007.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bb97.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041007.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b6.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041025.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba7.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP92\A0042072.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b8.qua'! F:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP93\A0042375.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b3.qua'! Begin scan in 'I:\' I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP69\A0023625.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a2.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023637.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb3.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP70\A0023674.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a4.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP71\A0023691.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba4.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0023703.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b5.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP72\A0024674.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb5.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP73\A0026708.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a6.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP73\A0026910.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba6.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP74\A0026981.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b7.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP75\A0030935.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1aa.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030957.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba8.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP76\A0030972.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1b9.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP77\A0030983.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbaa.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031019.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1ac.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031055.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbbd.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031057.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1bb.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP78\A0031059.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbac.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031081.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1bd.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031128.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1ae.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP80\A0031131.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbbf.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP81\A0031161.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1d0.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031193.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbae.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP82\A0031248.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bba9.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031279.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1ba.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP83\A0031299.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1bf.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033639.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbd0.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP84\A0033911.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1c1.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033924.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbab.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP85\A0033971.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbd2.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP86\A0034017.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1c3.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035277.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbd4.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP87\A0035531.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1bc.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035547.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbad.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0035633.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1c5.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036606.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbd6.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0036621.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1c7.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037622.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1be.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037641.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbaf.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037821.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a0.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP88\A0037845.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbd8.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP90\A0038900.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1c9.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0038917.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbda.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0039022.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb1.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0040009.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbb7.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041009.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1a8.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0041027.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1cb.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP91\A0042026.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4d41bbdc.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP92\A0042074.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1cd.qua'! I:\System Volume Information\_restore{180D1410-6F44-4983-8AB3-E532D825F947}\RP93\A0042377.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49b5c1c0.qua'! End of the scan: 2009-02-01 21:44 Used time: 2:03:50 Hour(s) The scan has been done completely. 6055 Scanning directories 922945 Files were scanned 247 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 247 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 922696 Files not concerned 2854 Archives were scanned 2 Warnings 247 Notes

Mortarius · Answer

Mais dit moi, c'est que tu commence a m'inquieter!!
J'espere qu'il ne t'ai rien arriver o0 ?

^^Marie^^ · Answer

Bonjour

Rien de mechant

Ton infection se situe dans la resto-systeme

Donc pour verifier si c'est clean


> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe 
- Enregistre le programme sur ton bureau. 
- Double clique sur RSIT.exe 
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>. 
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence. 
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum. 
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi.

trytup · Answer

trytup,one,two,three

Mortarius · Answer

Merci ^^Marie^^.
Je le fait desuite!

Mortarius · Answer

Voila le LOG.TXT :


Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrator at 2009-02-04 23:44:33
Microsoft Windows XP Professional Service Pack 2
System drive C: has 16 GB (55%) free of 30 GB
Total RAM: 2046 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44, on 2009-02-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\V-Gear BEE\VBService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Free Music Zilla\FMZilla.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\DfrgNtfs.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\WINDOWS\system32\DfrgFat.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrator.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Startup: FMZilla.lnk = D:\Free Music Zilla\FMZilla.exe
O4 - Startup: Free Music Zilla.lnk = C:\Program Files\Free Music Zilla\FMZilla.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

^^Marie^^ · Answer

Re

Pour tous les lecteurs :
-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure : dangereux!

Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.
Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
Sous XP
https://support.microsoft.com/en-us/help/310994 
Sous Vista
http://www.commentcamarche.net/faq/sujet 13735 console de recuperation vista sur cd bootable 
**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.



Télécharges ComboFix à partir d'un de ces liens : 
En premier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Et important, enregistre le sur le bureau. 

Avant d'utiliser ComboFix : 

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Mortarius · Answer

Je doit rester connecter au net pour qu'il m'installe la console de recuperation? Il la telecharge ou il l'as deja? (Je vais tenter de le lancer sans internet, ca peut pas me faire de mal, alors que avec...)

Mortarius · Answer

Re, voila le rapport, il semblerait qu'il ai tout desinstaller, comme un pro... Enfin, c'est toi l'experte, a toi de me dire! Peut-etre que je devrais tenter de re-demarrer le PC (Si c'est clean) voir si ces mechancetes ne reviennent pas...? ComboFix 09-02-04.04 - Administrator 2009-02-05 1:02:54.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.2046.1579 [GMT 5.5:30] Running from: c:\documents and settings\Administrator\Desktop\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\tmp.reg D:\Autorun.inf E:\Autorun.inf F:\Autorun.inf I:\Autorun.inf . ((((((((((((((((((((((((( Files Created from 2009-01-04 to 2009-02-04 ))))))))))))))))))))))))))))))) . 2009-02-04 23:44 . 2009-02-04 23:44 d-------- C:\rsit 2009-02-04 22:27 . 2009-02-04 22:27 d-------- c:\program files\Electronic Arts 2009-02-04 22:26 . 2009-02-04 22:26 1,142 --a------ c:\windows\system32\ealregsnapshot1.reg 2009-02-04 22:23 . 2009-02-04 22:23 d-------- c:\documents and settings\Administrator\Application Data\InstallShield Installation Information 2009-02-04 22:19 . 2009-02-04 22:19 d-------- c:\documents and settings\Administrator\Application Data\AdobeUM 2009-02-04 22:10 . 2009-02-04 22:10 d-------- C:\ADOBEAPP 2009-02-04 21:42 . 2009-02-04 21:47 d-------- c:\windows\LastGood 2009-02-04 21:42 . 2009-02-04 21:42 669,184 --a------ c:\windows\system32\pbsvc.exe 2009-02-04 21:42 . 2009-02-04 21:42 103,736 --a------ c:\windows\system32\PnkBstrB.exe 2009-02-04 21:42 . 2009-02-04 21:42 66,872 --a------ c:\windows\system32\PnkBstrA.exe 2009-02-04 21:42 . 2009-02-04 21:42 22,328 --a------ c:\windows\system32\drivers\PnkBstrK.sys 2009-02-04 21:42 . 2009-02-04 21:42 22,328 --a------ c:\documents and settings\Administrator\Application Data\PnkBstrK.sys 2009-02-03 19:20 . 2009-02-03 19:20 d-------- c:\program files\IVCsoft 2009-02-01 18:56 . 2009-02-01 18:56 d---s---- c:\documents and settings\Administrator\UserData 2009-02-01 18:49 . 2009-02-01 18:50 d-------- c:\program files\Hero Editor 2009-02-01 18:49 . 2009-02-01 18:49 249,856 --------- c:\windows\Setup1.exe 2009-02-01 18:49 . 2009-02-01 18:49 73,216 --a------ c:\windows\ST6UNST.EXE 2009-01-31 20:18 . 2009-02-04 22:31 21,840 --a----t- c:\windows\system32\SIntfNT.dll 2009-01-31 20:18 . 2009-02-04 22:31 17,212 --a----t- c:\windows\system32\SIntf32.dll 2009-01-31 20:18 . 2009-02-04 22:31 12,067 --a----t- c:\windows\system32\SIntf16.dll 2009-01-31 19:45 . 2009-01-31 19:45 d-------- c:\windows\Start Menu 2009-01-31 19:45 . 2009-01-31 19:45 d-------- c:\program files\Starcraft 2009-01-31 19:33 . 2009-01-31 19:33 94,208 --a------ c:\windows\DIIUnin.exe 2009-01-31 19:33 . 2009-02-01 19:14 31,193 --a------ c:\windows\DIIUnin.dat 2009-01-31 19:33 . 2009-01-31 19:33 2,829 --a------ c:\windows\DIIUnin.pif 2009-01-30 13:01 . 2009-01-30 13:41 d-------- C:\SDFix 2009-01-29 01:06 . 2009-01-29 01:06 d-------- c:\program files\Avira 2009-01-29 01:06 . 2009-01-29 01:06 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-01-29 00:58 . 2009-01-29 01:01 d-------- c:\windows\system32\CatRoot_bak 2009-01-28 19:03 . 2009-01-28 21:10 d-------- c:\program files\Ad-remover 2009-01-28 02:49 . 2008-06-13 18:40 272,128 --------- c:\windows\system32\drivers\bthport.sys 2009-01-28 02:49 . 2008-06-13 18:40 272,128 -----c--- c:\windows\system32\dllcache\bthport.sys 2009-01-28 01:59 . 2009-01-28 23:27 d-------- c:\windows\ERUNT 2009-01-28 01:59 . 2009-01-28 02:06 d-------- C:\Backups 2009-01-28 01:57 . 2009-01-28 03:01 d--h----- c:\windows\$hf_mig$ 2009-01-28 01:57 . 2009-01-28 03:01 1,374 --a------ c:\windows\imsins.BAK 2009-01-28 01:27 . 2009-01-28 01:27 1,606 --a------ c:\windows\system32\PerfStringBackup.TMP 2009-01-27 23:33 . 2009-01-27 23:33 d-------- c:\program files\SUPERAntiSpyware 2009-01-27 23:33 . 2009-01-27 23:33 d-------- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com 2009-01-27 23:33 . 2009-01-27 23:33 d-------- c:\documents and settings\Administrator\Application Data\SUPERAntiSpyware.com 2009-01-27 23:32 . 2009-02-04 21:46 d-------- c:\program files\Common Files\Wise Installation Wizard 2009-01-27 20:26 . 2009-01-27 20:28 230,424 --a------ C:\img2-001.raw 2009-01-27 20:10 . 2009-01-27 21:07 0 --a------ c:\windows\system32\tmp.MSNFix 2009-01-27 02:49 . 2009-01-27 02:49 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-27 02:49 . 2009-01-27 02:49 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-01-27 02:49 . 2009-01-27 02:49 d-------- c:\documents and settings\Administrator\Application Data\Malwarebytes 2009-01-27 02:49 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-27 02:49 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-27 00:12 . 2009-01-28 23:36 d-------- c:\program files\Trend Micro 2009-01-26 18:37 . 2004-08-03 22:58 5,504 --a------ c:\windows\system32\drivers\MSTEE.sys 2009-01-26 18:37 . 2004-08-03 22:58 5,504 --a--c--- c:\windows\system32\dllcache\mstee.sys 2009-01-22 17:48 . 2009-01-22 17:48 d-------- c:\windows\system32\AGEIA 2009-01-22 17:48 . 2009-02-04 21:46 d-------- c:\program files\AGEIA Technologies 2009-01-22 14:01 . 2009-01-22 14:01 d-------- c:\program files\Common Files\Blizzard Entertainment 2009-01-21 21:25 . 2009-01-22 13:54 d-------- c:\program files\V-Gear BEE 2009-01-21 21:25 . 2009-01-21 21:25 796,672 --a------ c:\windows\GPInstall.exe 2009-01-21 21:24 . 2009-01-21 21:24 d-------- c:\program files\Common Files\snpstd3 2009-01-21 21:24 . 2009-01-21 21:24 d-------- c:\documents and settings\Administrator\Application Data\InstallShield 2009-01-21 21:24 . 2007-01-02 15:14 10,180,096 --a------ c:\windows\system32\drivers\snpstd3.sys 2009-01-21 21:24 . 2006-09-18 14:12 843,776 --a------ c:\windows\vsnpstd3.exe 2009-01-21 21:24 . 2006-11-29 16:28 262,144 --a------ c:\windows\tsnpstd3.exe 2009-01-21 21:24 . 2006-04-12 12:11 147,456 --a------ c:\windows\system32\rsnpstd3.dll 2009-01-21 21:24 . 2006-07-03 10:31 94,208 --a------ c:\windows\amcap.exe 2009-01-21 21:24 . 2006-10-05 09:50 61,440 --a------ c:\windows\system32\vsnpstd3.dll 2009-01-21 21:24 . 2005-11-23 13:55 53,248 --a------ c:\windows\system32\csnpstd3.dll 2009-01-21 21:24 . 2005-11-23 13:55 53,248 --a------ c:\windows\csnpstd3.dll 2009-01-21 21:24 . 2004-02-27 17:36 15,498 --a------ c:\windows\snpstd3.ini 2009-01-21 21:24 . 2004-02-27 17:36 13,023 --a------ c:\windows\snpstd3.src 2009-01-21 16:42 . 2009-01-21 16:42 69,232 --a------ c:\windows\system32\GDIPFONTCACHEV1.DAT 2009-01-21 01:20 . 2009-01-21 01:20 d-------- c:\documents and settings\All Users\Application Data\Blizzard 2009-01-20 19:20 . 2009-01-20 19:20 d-------- c:\documents and settings\All Users\Application Data\Ubisoft 2009-01-20 15:33 . 2009-02-04 22:45 d--h-c--- c:\documents and settings\All Users\Application Data\{0691F710-1ECA-4B5A-9727-25554F1BFDC6} 2009-01-20 15:17 . 2009-01-20 15:17 d-------- c:\program files\Electronic Arts(2) 2009-01-20 08:35 . 2006-09-18 14:12 843,776 --a------ c:\windows\vsnpstd3(2).exe 2009-01-19 23:13 . 2009-01-19 23:13 d-------- c:\documents and settings\All Users\Application Data\DVD Shrink 2009-01-19 21:16 . 2009-02-02 22:02 d-------- c:\program files\Alcohol Soft 2009-01-19 17:29 . 2009-01-21 17:56 d-------- c:\program files\MPEGTOWAV 2009-01-17 19:16 . 2009-01-17 19:16 d-------- c:\program files\GameSpy 2009-01-17 19:14 . 2009-01-21 17:57 d-------- c:\windows\system32\URTTemp 2009-01-17 19:13 . 2009-01-17 19:13 d-------- c:\windows\system32\LogFiles 2009-01-13 02:23 . 2009-01-21 17:57 d-------- c:\documents and settings\Administrator\Application Data\DivX 2009-01-12 21:41 . 2009-01-21 17:57 d-------- c:\program files\WowCartographe 2009-01-11 23:30 . 2009-01-11 23:30 d-------- c:\program files\Alwil Software 2009-01-11 00:56 . 2009-01-11 00:56 d-------- C:\Valve 2009-01-10 20:11 . 2009-02-03 20:06 d-------- c:\program files\eMule 2009-01-10 20:11 . 2009-01-10 20:11 d-------- c:\documents and settings\Administrator\Application Data\eMule 2009-01-10 20:10 . 2009-01-21 17:58 d-------- c:\program files\Orbitdownloader 2009-01-10 20:10 . 2009-01-21 17:58 d-------- c:\documents and settings\Administrator\Application Data\Orbit 2009-01-10 18:18 . 2009-02-02 01:06 d-------- c:\program files\Free Music Zilla 2009-01-10 15:16 . 2009-01-23 23:06 d-------- c:\program files\RADVideo 2009-01-09 21:41 . 2003-05-23 13:28 1,060,864 --a------ c:\windows\system32\mfc71.dll 2009-01-09 21:36 . 2003-03-15 23:15 90,112 --a------ c:\windows\unvise32.exe 2009-01-08 17:05 . 2009-01-24 22:22 d-------- c:\documents and settings\All Users\Application Data\Messenger Plus! 2009-01-07 23:25 . 2009-01-07 23:25 d-------- c:\program files\Windows Live 2009-01-07 22:25 . 2009-01-07 22:25 268 --ah----- C:\sqmdata01.sqm 2009-01-07 22:25 . 2009-01-07 22:25 244 --ah----- C:\sqmnoopt01.sqm 2009-01-07 21:36 . 2009-01-14 22:29 d-------- c:\documents and settings\Administrator\Contacts 2009-01-07 21:35 . 2009-01-07 23:25 d-------- c:\program files\MSN Messenger 2009-01-07 20:00 . 2009-01-07 20:26 d-------- c:\program files\Huawei 2009-01-07 20:00 . 1998-09-24 13:03 171,967 --a------ c:\windows\system32\Odbcjet.hlp 2009-01-07 20:00 . 2005-07-26 10:46 65,152 --a------ c:\windows\system32\drivers\ewusbser.sys 2009-01-07 20:00 . 2005-07-26 10:46 65,152 --a------ c:\windows\system32\drivers\ewusbmdm.sys 2009-01-07 20:00 . 2005-07-26 10:46 65,152 --a------ c:\windows\system32\drivers\ewusbapp.sys 2009-01-07 20:00 . 1998-09-24 13:03 7,348 --a------ c:\windows\system32\Odbcjet.cnt 2009-01-07 20:00 . 2005-04-07 11:22 2,560 --a------ c:\windows\system32\E600CoInstaller.dll 2009-01-07 18:41 . 2009-01-12 20:26 d-------- c:\documents and settings\Administrator\Application Data\.ABC 2009-01-07 18:34 . 2009-01-07 18:34 d-------- c:\documents and settings\Administrator\Application Data\DAEMON Tools Pro 2009-01-07 18:34 . 2009-01-07 18:34 d-------- c:\documents and settings\Administrator\Application Data\DAEMON Tools 2009-01-07 18:32 . 2009-01-07 18:41 d-------- c:\program files\DAEMON Tools Lite 2009-01-07 18:32 . 2009-01-07 18:32 d-------- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite 2009-01-07 18:30 . 2009-01-07 18:35 d-------- c:\documents and settings\Administrator\Application Data\DAEMON Tools Lite 2009-01-07 18:30 . 2009-01-07 18:30 717,296 --a------ c:\windows\system32\drivers\sptd.sys 2009-01-07 12:55 . 2009-01-07 12:55 d-------- c:\documents and settings\Administrator\Application Data\CyberLink 2009-01-07 09:38 . 2009-01-07 09:38 244 --ah----- C:\sqmnoopt00.sqm 2009-01-07 09:38 . 2009-01-07 09:38 232 --ah----- C:\sqmdata00.sqm 2009-01-07 09:35 . 2009-01-07 23:25 d-------- c:\program files\Messenger Plus! Live 2009-01-07 08:53 . 2009-02-04 22:49 107,888 --a------ c:\windows\system32\CmdLineExt.dll 2009-01-07 08:52 . 2009-01-07 08:52 d-------- C:\downloads 2009-01-07 08:52 . 2009-01-08 02:14 d-------- c:\documents and settings\Administrator\Application Data\FMZilla 2009-01-07 08:33 . 2004-08-03 23:08 31,616 --a------ c:\windows\system32\drivers\usbccgp.sys 2009-01-07 08:33 . 2004-08-03 23:08 31,616 --a--c--- c:\windows\system32\dllcache\usbccgp.sys 2009-01-07 08:25 . 2009-02-04 22:46 69 --a------ c:\windows\NeroDigital.ini 2009-01-07 08:15 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys 2009-01-07 08:02 . 2009-01-07 08:02 d-------- c:\documents and settings\All Users\Application Data\Ahead 2009-01-07 08:00 . 2009-01-07 08:00 d-------- c:\documents and settings\All Users\Application Data\Nero . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-21 14:16 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-09 16:10 11,973 ----a-w c:\windows\system32\drivers\secdrv.sys 2009-01-07 00:47 --------- d-----w c:\program files\Common Files\InstallShield 2009-01-07 00:42 --------- d-----w c:\program files\Winamp 2009-01-07 00:34 --------- d-----w c:\program files\Common Files\Adobe 2009-01-05 22:29 --------- d-----w c:\program files\VideoLAN 2009-01-05 22:26 --------- d-----w c:\program files\CyberLink 2009-01-05 22:20 --------- d-----w c:\program files\Common Files\L&H 2009-01-05 22:11 --------- d-----w c:\program files\microsoft frontpage 2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-21 148776] "msnmsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-29 687560] "SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128] "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 52\axcmd.exe" [2008-11-23 203208] "eMuleAutoStart"="c:\program files\eMule\emule.exe" [2008-08-01 5480448] "EA Core"="c:\program files\Electronic Arts\EADM\Core.exe" [2008-07-22 2772992] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-07 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-07 81920] "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016] "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-06-11 153136] "tsnpstd3"="c:\windows\tsnpstd3.exe" [2006-11-29 262144] "snpstd3"="c:\windows\vsnpstd3.exe" [2006-09-18 843776] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "nwiz"="nwiz.exe" [2007-11-07 c:\windows\system32\nwiz.exe] c:\documents and settings\Administrator\Start Menu\Programs\Startup\ BEE Service.lnk - c:\program files\V-Gear BEE\VBService.exe [2009-01-21 1393664] FMZilla.lnk - d:\free music zilla\FMZilla.exe [2009-01-07 626688] Free Music Zilla.lnk - c:\program files\Free Music Zilla\FMZilla.exe [2009-02-02 732352] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Adobe Reader Speed Launch.lnk - d:\adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 11:05 356352 c:\program files\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk /r \??\I:\[u]0/uautocheck autochk * [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"= "c:\Program Files\Microsoft Office\Office12\GROOVE.EXE"= "c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"= "d:\Free Music Zilla\FMZilla.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= "i:\Thomas\CSCZ\czero.exe"= "i:\Thomas\THQ\Dawn of War - Soulstorm\Soulstorm.exe"= "c:\Program Files\V-Gear BEE\VBService.exe"= "c:\WINDOWS\system32\dpvsetup.exe"= "c:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"= "i:\Thomas\Hellgate London\Launcher.exe"= "i:\Thomas\World of Warcraft\Repair.exe"= "c:\Program Files\Free Music Zilla\FMZilla.exe"= "c:\Program Files\eMule\emule.exe"= "i:\Thomas\Electronic Arts\Crytek\Crysis\Bin32\Crysis.exe"= "i:\Thomas\Electronic Arts\Crytek\Crysis\Bin32\CrysisDedicatedServer.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "i:\Thomas\Unreal Tournament 3\Binaries\UT3.exe"= R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944] R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024] R3 hwcdcmdm0;HUAWEI Mobile Connect - 3G Modem;c:\windows\system32\drivers\ewusbmdm.sys [2009-01-07 65152] R3 hwusbser;HUAWEI Mobile Connect - 3G Application Interface;c:\windows\system32\drivers\ewusbser.sys [2009-01-07 65152] R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408] --- Other Services/Drivers In Memory --- *NewlyCreated* - IDRIVERT *NewlyCreated* - PNKBSTRA *NewlyCreated* - PNKBSTRB [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2400feea-f11c-11dd-8cd6-00218568338f}] \Shell\AutoRun\command - x2tpc.cmd \Shell\open\Command - x2tpc.cmd [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30b5919a-ebaa-11dd-8cbb-00218568338f}] \Shell\AutoRun\command - J:\gy.exe \Shell\open\Command - J:\gy.exe . - - - - ORPHANS REMOVED - - - - HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe . ------- Supplementary Scan ------- . uStart Page = hxxp://www.google.fr mWindow Title = IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Administrator\Application Data\Mozilla\Firefox\Profiles\r6injuvc.default\ FF - prefs.js: browser.startup.homepage - hxxp://google.fr . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-05 01:03:40 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(756) c:\program files\SUPERAntiSpyware\SASWINLO.dll . Completion time: 2009-02-05 1:04:19 ComboFix-quarantined-files.txt 2009-02-04 19:34:17 Pre-Run: 17,236,127,744 bytes free Post-Run: 17,249,357,824 bytes free WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 267 --- E O F --- 2009-01-27 21:31:15

^^Marie^^ · Answer

Bonjour

Relance un log hijackthis -- stp

Mortarius · Answer

Salut!

Voila le rapport HIJACKTHIS :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:54, on 2/5/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS	snpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\V-Gear BEE\VBService.exe
D:\Free Music Zilla\FMZilla.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32	askmgr.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS	snpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Startup: FMZilla.lnk = D:\Free Music Zilla\FMZilla.exe
O4 - Startup: Free Music Zilla.lnk = C:\Program Files\Free Music Zilla\FMZilla.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

^^Marie^^ · Answer

Bonjour

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Faudrait faire les mises a jour avec IE 7

 C:\Program Files\Adobe\Acrobat 7.0\
Télécharger Adobe Reader 9 pour Windows 
https://get2.adobe.com/reader/otherversions/
(lien direct) 
Décocher devant "Téléchargez également : Adobe Photoshop® Album Édition" 
Dans Ajout/Suppression des programmes, supprimer toutes les autres versions. 


1/ Télécharge et installe CCleaner 
(attention à l'installation penser à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

http://www.clubic.com/lancer-le-telechargement-20932-0-ccleaner-crap-cleaner-.html

2/ Télécharge AVG 
http://www.commentcamarche.net/telecharger/avg anti spyware 218 avis opinions.php3#avis
Lance AVG Anti-Spyware et clique sur le bouton Mise à jour. 
Tu fermes

3/ Redémarre en mode sans échec
 (Pour cela : démarrer le PC en tapotant sur la touche F8 du clavier jusqu'à ce que le menu des options avancées de Windows apparaisse puis avec les touches fléchées du clavier, sélectionner Mode sans échec puis appuyer sur la touche Entrée...) 
Attention tu n'as pas accès à Internet dans ce mode donc note ou imprime les consignes qui suivent. 
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253 
 https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

4/ Lance HijackThis 
puis --> Do a system scan only 
coche les lignes indiquées ci-dessous 
puis --> Fix checked 
puis oui à la question de confirmation

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install        
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"        
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe          
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe       

7/ Lance CCleaner puis bouton Analyse ensuite Bouton Lancer le Nettoyage 

8/ Lance AVG
Lance AVG Anti-Spyware 
Clique sur le bouton Analyse (de la barre d'outils) 
Puis sur l'onglets Comment réagir, clique sur Actions recommandées. 
Reviens à l'onglet Analyse. Clique sur Analyse complète du système. 
/!\ Si un fichier est infecté en fin d'analyse /!\
choisis l'option " Appliquer toutes les actions " en bas. 
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous" 
Enregistre ce fichier texte sur ton bureau.
Copie/colle le rapport 



9/ Redémarre normalement

 et poste un nouveau rapport HijackThis. 
 
as-tu encore des dysfonctionnements ?

Mortarius · Answer

Je n'utilise pas IE!
Firefox only ^^ je l'aurais d'ailleurs desinstaller si cet idiot de messenger n'en avait pas besoin pour lancer sa page de mail...

Tu pense qu'il est necessaire de mettre a jour adobe-acrobat?
C'est que avec ma connection ca prendras du temps...
Pis j'utilise pas trop, juste pour LIRE les PDF, pas en creer ou autre...

Ma connection a vraiment des problemes la, je vais mettre beaucoup de temps a telecharger AVG... J'ai note les consignes ^^ mais CTFMON et NWIZ sont des fichiers necessaires hein, c'est pas des virus... ?

Pour les disfonctionement, je n'en ai jamais eu, enfin si pour mon CPU, mais je pense que c'etait lie a autre chose, plus niveaux OS en lui meme... Mon virus, c'est ou c'etait un keylogger, donc faut que je teste voir si il est toujours la...

Merci de ton aide!
Bon surf, a toute!

^^Marie^^ · Answer

Re

Pour Adobe tu le fais comme tu le sens, sachant que la ou tu es, doit pas etre facile d'avoir une connexion rapide.
Pour IE, il est nécessaire de le garder, pour les mises a jour.
Perso je n'utilise aussi que FF
Si c'est trop long pour télécharger, laisse tomber
Supprime les lignes qui ne servent a rien au démarrage de ton PC
Sachant que tu télécharges un strict minimum, pas de soucis pour la suite

Par contre essaie de faire ce qui suit pour supprimer tous les Fix que je t'ai fait passer

•	Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pc-system.fr/
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner 
•	Clique sur Recherche et laisse le scan se terminer.
•	Clique, sur Suppression pour finaliser.
•	Tu peux, si tu le souhaites, te servir des Options facultatives.
•	Clique sur Quitter, pour que le rapport puisse se créer.
•	Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Mortarius · Answer

49% apres tout ce temps...

Sachant que en plus, je viens de perdre le courant (J'ai un UPS de 10 minutes)...
Je deco, et je ferais ce que tu m'as dit des que je reco!

Encore merci, bonne aprem pour toi!!

Mortarius · Answer

Voila pour avant de deco...

Des que je reco, j'irais en mode Sans Echec et je ferais le scan Hijack avec les lignes coches, + scan Ccleaner...

A plus!

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\SDFIX: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Administrator\Desktop\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\HijackThis.lnk: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\ComboFix.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\HJTInstall.exe: trouvé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Rsit.exe: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: trouvé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Administrator\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\HijackThis.lnk: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\HJTInstall.exe: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Administrator\Desktop\Anti-Virus\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
C:\SDFIX: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Start Menu\Programs\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Mortarius · Answer

Arf lol!
Tcleaner a supprime mon HijackThis, donc quand j'ai reboot j'ai pas pu faire un scan...

Je le re-telecharge et je fait la manip?
Tu veux un rapport?
Aufaite, j'ai deja superantispyware, il peut remplir la meme office que AVG non?

^^Marie^^ · Answer

Re

Pour supprimer les lignes, ben ! oui -- faudrait le re-installer ;))

superantispyware je ne le connais pas trop, donc je ne m;en sert pas ;))
Je préfère les outils que je maitrise.

++

Mortarius · Answer

Re... Encore une coupure... Supeeeeeeeer!

Enfin bon.

Aufaite, j'y pensais, CTFMON.exe et NWIZ.exe, j'en ai besoin hein, me les fait pas supprimer pour rien ^^

je le fait quand meme?

Mortarius · Answer

Vivi j'en ai besoin, Nwiz.exe c'est en rapport avec ma carte graphique, je n'en ai pas specialement besoin mais si un jour j'en ai besoin, je prefere l'avoir sous la main, plutot que de ne pas savoir comment le re-activer xD

Pour Ctfmon.exe je prefere le garder, au cas ou...

Je relance en mode sans echec et ces lignes coches (sauf ctfmon et nwiz ^^)

Sinon, ce ne sont que des processus sans rapport avec mon virus... Ce qui veux donc dire que mon virus est partie? Qu'en pense-tu?

Encore merci de ton aide ;)

Mortarius · Answer

C'est fait!

Apres? finis? ^^

^^Marie^^ · Answer

Salut

Comment se comporte ton PC ?
Supprime hijackthis

++

Mortarius · Answer

Hello!

Mon PC va ... Bien.
pas de probleme, mais si c'est un keylogger, va falloir que je fasse un essais... Et bon...

Il serait partis alors?
Bonne soiree!

Virus?

100 réponses

Discussions similaires