Malware win32.backdoor.vanbot Résolu

Question

Bonjour,

voila ce matin en allumant mon pc je n'ai pas réussi a me connecter sur le net 
j'ai lancer Ad Aware, ccleaner et spyboot et résultat plein de cheval de troie et malware win.32backdoor.vanbot. 
Comme antivirus j'ai Avast
Mais le soucis c'est que j'y comprend rien!!! est ca commence vraiment a me faire peur!!
j'ai tous mis en quarantaine mais que faut il faire de plus!!! car a chaque fois c'est pareil!!!!!
pouvez vous m'aidez ?
je vous remercie par avance.

verni29 · Answer

Bonjour,

Télécharges Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau. 
http://images.malwareremoval.com/random/RSIT.exe 

Double-clique sur " RSIT.exe " pour le lancer . 
dans la fenêtre qui va s’ouvrir choisis  2 months pour l'option "List files/folders created ..." , 
 cliques ensuite sur " Continue " pour lancer l'analyse ... 

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence. 

Attends jusqu’à la fin de l’analyse.
deux rapports vont être generés. 

Poste le contenu de " log.txt ", pour l'autre " info.txt " ( dans la barre des tâches), je n'en ai pas besoin pour l'instant.

Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier  C:\rsit.

A+

verni29 · Answer

Poste le rapport.
Je dois m'absenter. Je serais de retour en début d'après-midi.

A+

doudou9491 · Answer

Merci pour votre reponse rapide :
 bon j'espere que c'est ce rapport dont vous avez besoin ; 

Logfile of random's system information tool 1.05 (written by random/random)
Run by ****** at 2009-02-06 11:58:32
Microsoft Windows XP Professionnel Service Pack 2
System drive H: has 108 GB (93%) free of 117 GB
Total RAM: 958 MB (35% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:58:49, on 06/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\Explorer.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Program Files\Athan\Athan.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
H:\WINDOWS\wswc.exe
H:\Program Files\Hercules\WiFi Station\WifiStation.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\OpenOffice.org 3\program\soffice.exe
H:\Program Files\OpenOffice.org 3\program\soffice.bin
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcAppFlt.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcIp.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\WINDOWS\system32\wscntfy.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Documents and Settings\******\Bureau\RSIT.exe
H:\Program Files	rend micro\******.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free2article.info
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - H:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Athan] H:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Windows UDP's Control Service] wswc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "H:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [filecroc] "H:\Program Files\FileCroc\FileCroc.exe" -h
O4 - HKCU\..\Run: [TomTomHOME.exe] "H:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = H:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://H:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - H:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - H:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcAppFlt.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - H:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe

verni29 · Answer

Pour ta connexion à Internet, c'est seulement ce matin que tu n'as pas réussi à te connecter ?

1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es 

Tu choisis l'option " Fixchecked" en bas de la page.

2) Télécharge MSNfix (de !aur3n7) sur ton bureau. 
http://sosvirus.changelog.fr/MSNFix.zip 

Dézippe-le en faisant un clic droit puis extraire sur le bureau. 
Double-clique sur MSNfix.bat. 
Choisis l'option R. Si l'infection est détectée, il te suffit d'appuyer sur une touche du clavier.
Un redémarrage du PC peut être demandé. 

Le rapport est enregistré dans le même dossier que MSNfix (format date_heure.txt).
Copie-colle son contenu dans ta prochaine réponse.

A+

doudou9491 · Answer

Je vais surement paraitre bête mais comment lancer Hijackthis?
Pour la connexion internet c'était ce matin avant de lancer ad aware.

verni29 · Answer

Autant pour moi. Vu que je t'ai demandé d'utiliser RSIT , ce logiciel a téléchargé Hijackthis.

Ouvre le poste de travail --> navigue jusqu'à 
H:\Program Files	rend micro\
Hijackthis.exe a été renommé en ******.exe 
Double-clique sur ce fichier.

Pour MSNFix, on verra pour le rapport ( il y avait ces derniers temps des soucis avec l'édition du rapport ).

A+

doudou9491 · Answer

J'ai fait ce que vous m'avez demander il y avait une infection puis j'ai appuyer sur une touche et éteint le pc 
en rallumant windows me dit que le logiciel (windows xp) et peut être victime d'une contrefaçon dont le fond de mon écran et noir.

Pour ce qui est du rapport du dossier MSNfix
Je ne trouve aucun rapport
 
Il y a une page avec un fond bleu
 " infection absente"

l'infection n'a pas été détectée

A. Afficher le rapport et quitter
B. nettoyer le registre et quitter
C .quitter

Que doit je faire maintenant ? merci

verni29 · Answer

C quitter.

Puis tu passeras cet outil.

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
Clique sur lancer l’examen. 

A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

Le scan dure en moyenne 50 mn.

A+

doudou9491 · Answer

MalwareBytes et en train de scanner il y a déjà 4 élément infectes est ça ne fait de 4 minutes!!! je me demande ce que ce sera dans 55 minutes!!
Est ce que je garde les éléments que vous m'avez demander de téléchargés sur mon bureau ou faut les enlevés?

verni29 · Answer

On fera le ménage à la fin.

A+

doudou9491 · Answer

Merci
 
juste pour info car c'est la première fois que je fait tous ce ménage sur mon pc il faut faire ce genres de choses souvent?

doudou9491 · Answer

Voici le rapport

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1733
Windows 5.1.2600 Service Pack 2

06/02/2009 16:01:35
mbam-log-2009-02-06 (16-01-35).txt

Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 138059
Temps écoulé: 35 minute(s), 34 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
H:\WINDOWS\wswc.exe (Backdoor.Bot) -> Failed to unload process.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://www.hotinfolink.com) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
H:\WINDOWS\wswc.exe (Backdoor.Bot) -> Delete on reboot.
C:\efdx.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\pap.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{782EE69F-FDF5-4F3C-B324-F16E0C5B213D}\RP74\A0011738.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
H:\Documents and Settings\******\Local Settings\Temporary Internet Files\Content.IE5\GHIJKLMN\pap[1].jpg (Backdoor.Bot) -> Quarantined and deleted successfully.
H:\System Volume Information\_restore{782EE69F-FDF5-4F3C-B324-F16E0C5B213D}\RP72\A0010597.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\iexplore.exe (Backdoor.Bot) -> Delete on reboot.

verni29 · Answer

Non, sorcément, si ton PC est bien protégé, cela ne doit presque jamais arrivé.
On peut être infecté occasionnellement en installant un logiciel ou en surfant ( publicités ).

Ou alors, pour ceux qui prennent des risques ( P2P, sites pas clean ), c'est autre chose. Le risque est bien plus élévé.

Sur ton PC, tu as Avast et Spybot. Il y a mieux comme configuration de sécurité sur le PC.
Je te proposerais d'autres solutions mais par exemple, malwarebytes sera à garder car très utile.

A+

doudou9491 · Answer

Merci pour vos réponses vous m'avez beaucoup appris aujourd'hui!!!

Que doit je faire de plus ?

verni29 · Answer

Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/ 

Il faut que tu redémarres en mode sans échec. 
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.

A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.

Ton ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.

Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.

Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

Avec un nouveau log RSIT!

A+

doudou9491 · Answer

Avec un nouveau log RSIT! 

Qu'est ce que ca veut dire ?
je suis vraiment pas calé en informatique!!

verni29 · Answer

Le premier rapport que tu as envoyé :
http://www.commentcamarche.net/forum/affich 10899225 malware win32 backdoor vanbot?#1

doudou9491 · Answer

[b]SDFix: Version 1.240 [/b]
Run by ****** on 06/02/2009 at 17:12

Microsoft Windows XP [version 5.1.2600]
Running From: H:\sdfix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP1.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP2.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP3.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP3E.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP3F.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP4.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP40.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP41.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP42.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP43.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP5.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP6.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP7.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP8.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMP9.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMPA.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMPB.tmp - Deleted
H:\DOCUME~1\******~1\LOCALS~1\Temp\TMPC.tmp - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-06 17:14:41
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\Program Files\Messenger\msmsgs.exe"="H:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"H:\Program Files\Windows Live\Messenger\msnmsgr.exe"="H:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"H:\Program Files\Windows Live\Messenger\livecall.exe"="H:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"H:\Program Files\Bonjour\mDNSResponder.exe"="H:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"H:\Program Files\iTunes\iTunes.exe"="H:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"H:\Program Files\FileCroc\FileCroc.exe"="H:\Program Files\FileCroc\FileCroc.exe:*:Enabled:FileCroc"
"H:\WINDOWS\system32\winIogon.exe"="H:\WINDOWS\system32\winIogon.exe:*:Disabled:winIogon"
"H:\WINDOWS\system32\algs.exe"="H:\WINDOWS\system32\algs.exe:*:Disabled:algs"
"H:\WINDOWS\system32\iexplore.exe"="H:\WINDOWS\system32\iexplore.exe:*:Disabled:iexplore"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\Program Files\Windows Live\Messenger\msnmsgr.exe"="H:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"H:\Program Files\Windows Live\Messenger\livecall.exe"="H:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - H:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon  7 Jul 2008     1,429,840 A.SHR --- "H:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008     4,891,472 A.SHR --- "H:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon  7 Jul 2008     2,156,368 A.SHR --- "H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Thu 22 Jan 2009     9,934,392 A..H. --- "H:\Program Files\Google\Picasa3\setup.exe"

[b]Finished![/b]

doudou9491 · Answer

Avec un nouveau log RSIT

Logfile of random's system information tool 1.05 (written by random/random)
Run by ***** at 2009-02-06 17:21:57
Microsoft Windows XP Professionnel Service Pack 2
System drive H: has 108 GB (92%) free of 117 GB
Total RAM: 958 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:22:06, on 06/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\WgaTray.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcAppFlt.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcIp.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\system32
otepad.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Program Files\Athan\Athan.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Hercules\WiFi Station\WifiStation.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\OpenOffice.org 3\program\soffice.exe
H:\Program Files\OpenOffice.org 3\program\soffice.bin
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Documents and Settings\*****\Bureau\RSIT.exe
H:\Program Files	rend micro\******.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - H:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Athan] H:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Windows UDP's Control Service] wswc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "H:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [filecroc] "H:\Program Files\FileCroc\FileCroc.exe" -h
O4 - HKCU\..\Run: [TomTomHOME.exe] "H:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = H:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://H:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - H:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - H:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcAppFlt.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - H:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe

doudou9491 · Answer

voila les rapports j'espere que tous ce que vous m'avez demander et la?

verni29 · Answer

Désolé pour l'absence.

Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous  Paste Instructions for Items to be Moved. 


:Processes
explorer.exe

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"H:\WINDOWS\system32\winIogon.exe"=-
"H:\WINDOWS\system32\iexplore.exe"=-
"H:\WINDOWS\system32\algs.exe"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Windows UDP's Control Service"=-

:Files
H:\WINDOWS\system32\winIogon.exe
H:\WINDOWS\system32\algs.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Ton ordinateur va redémarrer. Après le redémarrage, un rapport s'ouvrira.
poste le contenu.

Sinon, il est situé dans C:\_OTMoveIt\MovedFiles. ( fichier .log )

A+

doudou9491 · Answer

Bonsoir,

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shared­access\parameters\firewallpolicy\standardprofile\authorizeda­pplications\list not found.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shared­access\parameters\firewallpolicy\standardprofile\authorizeda­pplications\list not found.
Registry key HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shared­access\parameters\firewallpolicy\standardprofile\authorizeda­pplications\list not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Windows UDP's Control Service deleted successfully.
========== FILES ==========
File/Folder H:\WINDOWS\system32\winIogon.exe not found.
File/Folder H:\WINDOWS\system32\algs.exe not found.
========== COMMANDS ==========
File delete failed. H:\DOCUME~1\******~1\LOCALS~1\Temp\etilqs_xZ0lltyglZpL0477TBla scheduled to be deleted on reboot.
File delete failed. H:\DOCUME~1\******~1\LOCALS~1\Temp\etilqs_xZ0lltyglZpL0477TBla-journal scheduled to be deleted on reboot.
File delete failed. H:\DOCUME~1\******~1\LOCALS~1\Temp\etilqs_Z4tHib6NH3lWOeC5F3qN scheduled to be deleted on reboot.
File delete failed. H:\DOCUME~1\******~1\LOCALS~1\Temp\~DF55C1.tmp scheduled to be deleted on reboot.
File delete failed. H:\DOCUME~1\*******~1\LOCALS~1\Temp\~DFFF96.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. H:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. H:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. H:\WINDOWS	emp\Perflib_Perfdata_538.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
File delete failed. H:\Documents and Settings\*******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\OfflineCache\index.sqlite scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\********\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\*******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\*******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\*******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. H:\Documents and Settings\*******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02062009_235822

Files moved on Reboot...
File H:\DOCUME~1\*****~1\LOCALS~1\Temp\etilqs_xZ0lltyglZpL0477TBla not found!
File H:\DOCUME~1\******~1\LOCALS~1\Temp\etilqs_xZ0lltyglZpL0477TBla-journal not found!
File H:\DOCUME~1\*******~1\LOCALS~1\Temp\etilqs_Z4tHib6NH3lWOeC5F3qN not found!
H:\DOCUME~1\*******~1\LOCALS~1\Temp\~DF55C1.tmp moved successfully.
H:\DOCUME~1\*******~1\LOCALS~1\Temp\~DFFF96.tmp moved successfully.
File move failed. H:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File move failed. H:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File move failed. H:\WINDOWS	emp\Perflib_Perfdata_538.dat scheduled to be moved on reboot.
H:\Documents and Settings\*******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\OfflineCache\index.sqlite moved successfully.
H:\Documents and Settings\*****\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_001_ moved successfully.
H:\Documents and Settings\******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_002_ moved successfully.
H:\Documents and Settings\*****\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_003_ moved successfully.
H:\Documents and Settings\******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_MAP_ moved successfully.
H:\Documents and Settings\******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\urlclassifier3.sqlite moved successfully.
H:\Documents and Settings\******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\XUL.mfl moved successfully.

verni29 · Answer

Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Uniquement avec Internet Explorer

Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

Un tuto : https://forum.pcastuces.com/default.asp

A+

doudou9491 · Answer

Bonjour,
voici le rapport :
KASPERSKY ON-LINE SCANNER REPORT
 Saturday, February 07, 2009 2:49:20 PM
 Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Kaspersky On-line Scanner version : 5.0.84.2
 Dernière mise à jour de la base antivirus Kaspersky :  7/02/2009
 Enregistrements dans la base antivirus Kaspersky : 1590463
-------------------------------------------------------------------------------

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: standard
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	C:\
	E:\
	F:\
	G:\
	H:\
	I:\
	J:\

Statistiques de l'analyse:
	Total d'objets analysés: 107572
	Nombre de virus trouvés: 2
	Nombre d'objets infectés: 4 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 01:36:41

Nom de l'objet infecté / Nom du virus / Dernière action
C:\System Volume Information\_restore{782EE69F-FDF5-4F3C-B324-F16E0C5B213D}\RP72\A0011657.exe	Infecté : Trojan-Downloader.Win32.Agent.ayxy	ignoré
C:\System Volume Information\_restore{782EE69F-FDF5-4F3C-B324-F16E0C5B213D}\RP74\A0011744.exe	Infecté : Trojan-Downloader.Win32.Agent.ayxy	ignoré
C:\System Volume Information\_restore{782EE69F-FDF5-4F3C-B324-F16E0C5B213D}\RP74\A0011746.exe	Infecté : Trojan.Win32.Agent2.cwh	ignoré
C:\sihw.exe	Infecté : Trojan-Downloader.Win32.Agent.ayxy	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\cert8.db	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\content-prefs.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\cookies.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\downloads.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\*******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\formhistory.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\key3.db	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\parent.lock	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\permissions.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\places.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\places.sqlite-journal	L'objet est verrouillé	ignoré
H:\Documents and Settings\*******\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\search.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\****\Cookies\index.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\********\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\*********\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
H:\Documents and Settings\*******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_001_	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_002_	L'objet est verrouillé	ignoré
H:\Documents and Settings\********\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_003_	L'objet est verrouillé	ignoré
H:\Documents and Settings\*****\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\Cache\_CACHE_MAP_	L'objet est verrouillé	ignoré
H:\Documents and Settings\****\Local Settings\Application Data\Mozilla\Firefox\Profiles\3v4i15co.default\urlclassifier3.sqlite	L'objet est verrouillé	ignoré
H:\Documents and Settings\*******\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\*****\Local Settings\Temp\etilqs_DF72O4SDlXr6P07a1Xuw	L'objet est verrouillé	ignoré
H:\Documents and Settings\******\Local Settings\Temp\~DFC38B.tmp	L'objet est verrouillé	ignoré
H:\Documents and Settings\*******\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\********\NTUSER.DAT	L'objet est verrouillé	ignoré
H:\Documents and Settings\*****
tuser.dat.LOG	L'objet est verrouillé	ignoré
H:\Documents and Settings\LocalService\Cookies\index.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
H:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\LocalService\NTUSER.DAT	L'objet est verrouillé	ignoré
H:\Documents and Settings\LocalService
tuser.dat.LOG	L'objet est verrouillé	ignoré
H:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat	L'objet est verrouillé	ignoré
H:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG	L'objet est verrouillé	ignoré
H:\Documents and Settings\NetworkService\NTUSER.DAT	L'objet est verrouillé	ignoré
H:\Documents and Settings\NetworkService
tuser.dat.LOG	L'objet est verrouillé	ignoré
H:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat	L'objet est verrouillé	ignoré
H:\Program Files\Alwil Software\Avast4\DATA\Avast4.db	L'objet est verrouillé	ignoré
H:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws	L'objet est verrouillé	ignoré
H:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log	L'objet est verrouillé	ignoré
H:\Program Files\Alwil Software\Avast4\DATA\log
shield.log	L'objet est verrouillé	ignoré
H:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log	L'objet est verrouillé	ignoré
H:\Program Files\Alwil Software\Avast4\DATAeport\Protection résidente.txt	L'objet est verrouillé	ignoré
H:\System Volume Information\MountPointManagerRemoteDatabase	L'objet est verrouillé	ignoré
H:\System Volume Information\_restore{782EE69F-FDF5-4F3C-B324-F16E0C5B213D}\RP75\change.log	L'objet est verrouillé	ignoré
H:\WINDOWS\Debug\PASSWD.LOG	L'objet est verrouillé	ignoré
H:\WINDOWS\SchedLgU.Txt	L'objet est verrouillé	ignoré
H:\WINDOWS\SoftwareDistribution\ReportingEvents.log	L'objet est verrouillé	ignoré
H:\WINDOWS\Sti_Trace.log	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\CatRoot2\edb.log	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\CatRoot2	mp.edb	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\Antivirus.Evt	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\AppEvent.Evt	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\default	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\default.LOG	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\SAM	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\SAM.LOG	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\SecEvent.Evt	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\SECURITY	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\SECURITY.LOG	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\software	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\software.LOG	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\SysEvent.Evt	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\system	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\config\system.LOG	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\h323log.txt	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	L'objet est verrouillé	ignoré
H:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	L'objet est verrouillé	ignoré
H:\WINDOWS\Temp\Perflib_Perfdata_52c.dat	L'objet est verrouillé	ignoré
H:\WINDOWS\Temp\_avast4_\Webshlock.txt	L'objet est verrouillé	ignoré
H:\WINDOWS\Temp\~DF1545.tmp	L'objet est verrouillé	ignoré
H:\WINDOWS\wiadebug.log	L'objet est verrouillé	ignoré
H:\WINDOWS\wiaservc.log	L'objet est verrouillé	ignoré
H:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré

Analyse terminée.

verni29 · Answer

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous  Paste Instructions for Items to be Moved. 


:Files
C:\sihw.exe

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers.

Les autres fichiers infectés se trouvent dans la restauration système qu'il faudra nettoyer.

Comment se comporte le PC ?

A+

doudou9491 · Answer

========== FILES ==========
C:\sihw.exe moved successfully.
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02072009_164727

le pc fonctionne normalement j'ai juste le message " vous etes victime d'une contrefacon " de windows et mon fond d'ecran noir depuis hier.

verni29 · Answer

Peux-tu faire une capture d'écran où on voit le message ?
Il faut appuyer sur ImpEcran.
Ouvre ensuite Paint ( Démarrer --> Tous les programmes --> Accessoires --> Paint )
Menu Edition --> Coller .
Enregistre le fichier au format jpg

Envoie le fichier via https://www.sendspace.com/
Tu m'indiqueras le lien crée dans Download link.

A+

doudou9491 · Answer

"Tu m'indiqueras le lien crée dans Download link. "
Desolé mais j'ai pas compris ce que je dois faire?

verni29 · Answer

Poste moi un dernier rapport Hijackthis.

A+

doudou9491 · Answer

bonjour,
j'ai lancer RSIT.exe
voici le rapport :
Logfile of random's system information tool 1.05 (written by random/random)
Run by ****** at 2009-02-08 13:38:03
Microsoft Windows XP Professionnel Service Pack 2
System drive H: has 107 GB (92%) free of 117 GB
Total RAM: 958 MB (36% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:08, on 08/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\Explorer.EXE
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Program Files\Athan\Athan.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\iTunes\iTunesHelper.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
H:\Program Files\Hercules\WiFi Station\WifiStation.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Program Files\Bonjour\mDNSResponder.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcAppFlt.exe
H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcIp.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\Program Files\iPod\bin\iPodService.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Google\Google Earth\googleearth.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Documents and Settings\*****\Bureau\LOGICIEL VIRUS\RSIT.exe
H:\Program Files	rend micro\*****.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - H:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Athan] H:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "H:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "H:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [filecroc] "H:\Program Files\FileCroc\FileCroc.exe" -h
O4 - HKCU\..\Run: [TomTomHOME.exe] "H:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = H:\Program Files\Logitech\QuickCam\eReg.exe
O4 - Startup: OpenOffice.org 3.0.lnk = H:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = H:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://H:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - H:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32
vlsp.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - H:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - H:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcAppFlt.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - H:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - H:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - H:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32
SvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe

doudou9491 · Answer

j'ai lancé MalwareBytes
voici le rapport : 
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1733
Windows 5.1.2600 Service Pack 2

08/02/2009 14:45:08
mbam-log-2009-02-08 (14-45-01).txt

Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 141148
Temps écoulé: 38 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
H:\Documents and Settings\****\Local Settings\Temp\Generate Genuine Serial For WinXP.exe (Malware.Tool) -> No action taken.

verni29 · Answer

Citation : Fichier(s) infecté(s):
H:\Documents and Settings\****\Local Settings\Temp\Generate Genuine Serial For WinXP.exe (Malware.Tool) -> No action taken.

C'est un fichier pour cracker XP !!
Tu l'as téléchargé dernièrement ?? On essaye de nettoyer ton ordinateur. ce n'est pas pour que tu télécharges des cracks. C'est ce genre de paratique qui amène les gens sur le forum pour se faire désinfecter.

1) télécharge AFT Cleaner et enregistre-le sur le bureau. 
http://www.atribune.org/ccount/click.php?id=1 

Ferme ton navigateur. Double clique sur ATF-Cleaner.exe. 
Si Tu as Firefox, clique dans le menu sur ce nom. 

Choisis l'option Select All puis valide.

2) Relance malwarebytes et tu fais un examen complet.
Poste le rapport.

A+

doudou9491 · Answer

le logiciel windows que j'ai est celui que l'on ma vendu avec l'ordinateur 
au sujet du message " contrefacon" il est parti hier. 
une amie me la enlever avec RemoveWGA

verni29 · Answer

D'accord. Je comprends mieux.

Relance malwarebytes.

A+

doudou9491 · Answer

voici le rapport 

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1733
Windows 5.1.2600 Service Pack 2

08/02/2009 18:18:22
mbam-log-2009-02-08 (18-18-22).txt

Type de recherche: Examen complet (C:\|H:\|)
Eléments examinés: 140781
Temps écoulé: 29 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

verni29 · Answer

Tu vas mettre à jour ton PC.

1) Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/

2) Installe IE8. Même si tu ne l'utilises que rarement, c'est nécessaire.
http://www.commentcamarche.net/telecharger/telecharger 34058667 internet explorer 8

3) Installe le SP3 à moins que tu ne mettes régulièrement et installes les correctifs de sécurité.
http://www.commentcamarche.net/telecharger/telecharger 34055430 windows xp sp3
C'est assez long mais essentiel.

4) Tu vas vérifier pour ta version de Java. 
Pour cela, tu vas installer JavaRa qui tu pourras garder ou désinstaller après.
Ce logiciel va aussi nettoyer et enlever toutes les anciennes versions présentes.

Télécharge JavaRa de PaulMcLain et Fred De Vries.
http://raproducts.org/click/click.php?id=1

Click droit sur l’archive JavaRa.zip et extraire sur le bureau.
Un dossier sera crée. L’ouvrir et double-cliquer sur JavaRa.exe pour le lancer

Choisis la langue ( anglais )
Une fenêtre va s’ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.
 
- Mise à jour :
clique sur Search for Updates et choisis l’option Update Using jucheck.exe. Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
Si oui, clique sur Installer puis suis les invites.

- Suppression des anciennes versions :
Relance JavaRa.exe s’il le faut et choisis Remove Older Versions.
Suis les invites.
Il te sera précisé de la suppression les versions trouvées et supprimées.

Un rapport a été crée. Poste le.

A+

doudou9491 · Answer

Pour la mise a jour de Acrobat Reader c'est bon

Pour le logiciel IE8 : je l'ai installer mais voici le message que je reçoit :"  Internet Explorer 8 n'est pas pris en charge sur ce système d'exploitation"

verni29 · Answer

Désolé, je n'avais pas vérifié l'info ( uniquement pour Vista )

IE7 : http://www.commentcamarche.net/telecharger/telecharger 220 internet explorer

A+

doudou9491 · Answer

voici le rapport pour javaRa

JavaRa 1.13 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun Feb 08 20:23:19 2009

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

------------------------------------

Finished reporting.

verni29 · Answer

1) On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

2) Tu vas utiliser CCleaner. 
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

3) Les points de restauration : 
-  Panneau de configuation --> Système --> Restauration du sytème 
cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système
- Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

Après tout ca, ton PC devrait être propre. 
Si tu as le moindre problème, poste un message.

Peux-tu mettre le sujet en résolu ? Merci.

@+

doudou9491 · Answer

MERCI BEAUCOUP POUR TON AIDE !!!!!

doudou9491 · Answer

[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

H:\SDFIX: trouvé !
H:\_OtMoveIt: trouvé !
H:\Rsit: trouvé !
H:\Documents and Settings\****\Bureau\LOGICIEL VIRUS\SdFix.exe: trouvé !
H:\Documents and Settings\*****\Bureau\LOGICIEL VIRUS\Msnfix.zip: trouvé !
H:\Documents and Settings\****\Bureau\LOGICIEL VIRUS\OTMoveIt3.exe: trouvé !
H:\Documents and Settings\***\Bureau\LOGICIEL VIRUS\Rsit.exe: trouvé !
H:\Documents and Settings\*****\Bureau\LOGICIEL VIRUS\MsnFix: trouvé !
H:\Documents and Settings\****\Bureau\LOGICIEL VIRUS\MSNFix\MsnFix: trouvé !
H:\Documents and Settings\****\Recent\MSNFix.lnk: trouvé !
H:\Program Files	rend micro\HijackThis.exe: trouvé !
H:\Program Files	rend micro\hijackthis.log: trouvé !
H:\WINDOWS\msnfix.txt: trouvé !
H:\WINDOWS\system32\*.msnfix: trouvé !

---------------------------------
-->- Suppression: 

H:\Documents and Settings\****\Bureau\LOGICIEL VIRUS\SdFix.exe: supprimé !
H:\Documents and Settings\****\Bureau\LOGICIEL VIRUS\Msnfix.zip: supprimé !
H:\Documents and Settings\*****\Recent\MSNFix.lnk: supprimé !
H:\Program Files	rend micro\HijackThis.exe: supprimé !
H:\Documents and Settings\*****\Bureau\LOGICIEL VIRUS\OTMoveIt3.exe: supprimé !
H:\Documents and Settings\****\Bureau\LOGICIEL VIRUS\Rsit.exe: supprimé !
H:\Program Files	rend micro\hijackthis.log: supprimé !
H:\WINDOWS\msnfix.txt: supprimé !
H:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !!
H:\SDFIX: supprimé !
H:\_OtMoveIt: supprimé !
H:\Rsit: supprimé !
H:\Documents and Settings\*****\Bureau\LOGICIEL VIRUS\MsnFix: supprimé !

doudou9491 · Answer

H:\WINDOWS\system32\*.msnfix: ERREUR DE SUPPRESSION !! 
C'est normal?

doudou9491 · Answer

j'ai relancer  ToolsCleane
voici le rapport
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

H:\RECYCLER\S-1-5-21-436374069-1547161642-725345543-1003\*.msnfix: trouvé !

---------------------------------
-->- Suppression: 

H:\RECYCLER\S-1-5-21-436374069-1547161642-725345543-1003\*.msnfix: ERREUR DE SUPPRESSION !!

verni29 · Answer

L'outil qui supprime les logiciels ne peut pas toujours supprimer complètement tous les outils et les dossiers/fichiers associés.

fais ceci pour les supprimer :

Tu vas donc rechercher des fichiers qui s'appellent *.msnfix
Ouvrir  le poste de travail, clique sur Recherche .

Une fenêtre va s'ouvrir sur ta gauche.
Clique sur options avancées et sélectionne :

    * Vérifier que " "Rechercher dans les fichiers et les dossiers cachés "." est coché.
    *  Vérifier que  " Rechercher dans les dossiers systèmes" est coché.

Fais une recherche sur les fichiers ou dossiers. Tape *.msnfix
Supprime-les ensuite ( click droit --> supprimer ).

A+

Malware win32.backdoor.vanbot

45 réponses

Votre réponse

Discussions similaires

Newsletters