Sujet Précédent Sujet Suivant

Un cheval de troie m'attaque !!

Anonymous_1 Messages postés 65 Statut Membre -  
Anonymous_1 Messages postés 65 Statut Membre -
Bonjour, j’ai un problème dans mon PC. J’ai deux cheval de troie, quand j’essaie de le supprimé avec Avast, il réappara juste après quelques secondes (C:/Documents and Settings/Yvon/Application Data/_f0fec310bcb98f620cbdba49ce75fd88/down (ic007.exe (apparu une seule fois) et im001.exe infini !) Et après j’ai le cheval de troie (en trois versions), la première qui apparaît infini sauf c’est je pèse sur Rien faire (sur Avast), C:/Documents and Settings/Yvon/Local Settings/Temporary Internet Files/Content.IE5/FAFIKSBL , le deuxième qui est apparu une fois seulement : C:/Documents and Settings/Yvon/Local Settings/Temporary Internet Files/Content.IE5/626C29N0 et le troisième qui apparu une seule fois aussi C:/Documents and Settings/Yvon/Local Settings/Temporary Internet Files/Content.IE5/HYCDS2A5 .

J’ai fait un scan HiJackThis : Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:18, on 2009-02-07
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Yvon\Application Data\svchost.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%2f%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par INFO CLICK®
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
O4 - HKLM\..\Run: [*svchostBoot] "C:\Documents and Settings\Yvon\Application Data\svchost.exe"
O4 - HKLM\..\RunServices: [Windows Updates] update.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.infoclick.ca
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Home
O17 - HKLM\Software\..\Telephony: DomainName = Home
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Home
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Home
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

25 réponses

  • 1
  • 2
Réponse 1 / 25
Utilisateur anonyme
 
Salut,

Sinon :
Commence par donner un rapport plus détaillé stp.

En tous cas tu es infecté. C'est sûr.
C:\Documents and Settings\Yvon\Application Data\svchost.exe
Et le winupdate.

Fais ceci stp :
> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe
- Enregistre le programme sur ton bureau.
- Double clique sur RSIT.exe
- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>.
- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence.
- Une fois le scanne terminé tu obtiendras un rapport log.txt. Poste le sur le forum.
NB : Il se peut que tu obtiennes un second rapport nommé info.txt. Dans ce cas poste le aussi.

A+
1
Réponse 2 / 25
Templier Nocturne Messages postés 9989 Statut Membre 1 107
 
installe bill2 process manager et bloque le processus.ceci tu laissera le temps de supprimer tes chevaux de troie
0
Utilisateur anonyme
 
N'interviens pas pour une désinfection si tu ne sais pas... C'est certainement pas Avast qui va l'aider à supprimer ses virus... Même en bloquant les processus...

Merci de ta compréhension.
0
Templier Nocturne Messages postés 9989 Statut Membre 1 107 > Utilisateur anonyme
 
j'ai jamais parlé de supprimer avec avast!, d'aprés ce qu'il dit il a un logiciel de désinfection.Il devrait donc pouvoir, en bloquant le processus, laisser le temps à son logiciel de désinfection de faire son oeuvre.
0
Réponse 3 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
Je vais essayer et donner des news. Laissez vos réponses en attendant.
0
Réponse 4 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
Ça pourrait être une fausse alerte ? Et c'est ça le but de le dire le problème aux autres XD pour qui nous aide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 25
Utilisateur anonyme
 
Bon, DllD est arrivé, tu es en de bonnes mains, moi je vais dans mes plumes...

Et ton rapport HijackThis est bien alarmant, ça c'est clair!!
0
Réponse 6 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
Bon, j'ai faites ce que DiiD à dit voici le résultat :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Yvon at 2009-02-07 18:34:26
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 116 GB (76%) free of 153 GB
Total RAM: 2039 MB (63% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:18, on 2009-02-07
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Yvon\Application Data\svchost.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%2f%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par INFO CLICK®
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
O4 - HKLM\..\Run: [*svchostBoot] "C:\Documents and Settings\Yvon\Application Data\svchost.exe"
O4 - HKLM\..\RunServices: [Windows Updates] update.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.infoclick.ca
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Home
O17 - HKLM\Software\..\Telephony: DomainName = Home
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Home
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Home
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
0
Réponse 7 / 25
Utilisateur anonyme
 
Ok,
Thx.

Poste les prochains rapports 1 par 1 stp.

J'ai un doute sur C:\Program Files\Iminent\IMBooster\IMBooster.exe

En tous cas,
Tu as SweeIm, et je te conseille de le supprimer (il ne s'agit pas d'une véritable infection, juste d'un programme pas très clair et net...) :
> Je te conseille de supprimer SweetIM car :
Extrait des conditions d'utilisation :
"Si vous choisissez d'utiliser le programme SweetIM ou l'un de ses services , vous serez exposé a une variété de risques tel que : Intrusion dans votre vie privée , et cela pour quiconque utilisera ce Service. L'exposition faite sans votre autorisation d'informations concernant votre matériel donné par vous même ou l'un des Services. Une potentielle exposition à des messages ( publicitaires ) pouvant choquer ou contenir des fichiers infectés. Ce qui peut entrainer : Usurpation d'identité electronique , écoute téléphonique , écoute du trafic sur le réseaux ,spamming , 'crackage' de mots de passe , harcélement , fraude , falsification , impostures , diverses atteintes electronique , hacking , nuking , contamination du système sans limitation d'utilisation de virus , les vers & les trojans causent des dégats ou intrusions non autorisés et/ou recouvrement d'informations des données présentes dans votre ordinateur ainsi que d'autres formes d'activitées qui peuvent être illégales."

Pour le supprimer :
- Lance Ccleaner puis clique sur <Outils>.
- Cherche SweetIM dans la liste puis sélectionne-le.
- Clique ensuite sur <Lancer la désinstallation>.

Si tu ne le trouves pas dans la liste :
- Télécharge puis lance ce fichier : http://www.sweetim.com/download/install/SweetImSetup.exe
- Laisse toi guider par l'assistant.
- Clique ensuite sur l'icône représentant une corbeille puis sur <next>.
NB : C'est là toute la sournoiserie du programme, à la limite du spyware : le programme ne propose pas de désinstallation directe.
En fait il faut lancer le programme d'installation pour que soit proposer la désinstallation (la désinstallation est dans le programme d'installation - je sais c'est tordu)

Ensuite,
> Télécharge Navilog1 de Il Mafioso : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.zip
- Enregistre-le sur ton Bureau puis décompresse-le en faisant un clic droit dessus puis « extraire-tout ».
- Double clique sur Navilog1.exe (NB : Si tu es sous Vista : clique-droit sur le programme et choisis "Exécuter en tant qu' Administrateur").
- Choisis pour la langue le français, puis l'option 1 et valide.
Attention : n’utilise surtout pas les options 2,3 ou 4 maintenant. (tu risquerais d’endommager ton PC)
- Patiente jusqu'au message : < Analyse Terminée le ..... > Ensuite appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir.
- Fais un copier coller du rapport généré et poste-le ici.
NB : Le rapport se trouve aussi à la racine de ton disque : fixnavi.txt

Puis,
> Télécharge SDFix sur ton bureau
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (par défaut à la racine du disque dur) nommé SDFix).
- Démarre en mode sans échec (impératif) sans passer par MSconfig : (image) Si problème : tuto ici.
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commence....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
- Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse
NB : Le rapport se trouve aussi dans le dossier SDFix sous le nom Report.txt
- Si SDFix ne se lance pas :
- Clique sur Démarrer => Exécuter
- Copie/colle ceci : %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
- Clique sur <Ok>.
- Redémarre et essaie de relance SDFix.

Pour finir je veux bien un nouveau RSIT.

Merci !

A+
0
Réponse 8 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
J'ai réussi l'étape du Navilog mais pas SDFix (à chaque fois que je le mets sur le bureau pour l'installer, le virus le supprime).
0
Réponse 9 / 25
Utilisateur anonyme
 
Ok,

> Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau.
Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement.
- Double clique combofix.exe puis accepte le contrat de licence.
- Si Combofix ne trouve pas de console de récupération système d'installée alors accepte son installation.
- A la fin de l'installation de la console de récupération Combofix va te proposer de lancer une recherche de nuisibles. Clique alors sur <Oui>.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine.
- Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).

A+

;)
0
Réponse 10 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
La même chose est arrivé :'(.
0
Réponse 11 / 25
Utilisateur anonyme
 
Humm...

> Télécharge MalwareByte's Anti-Malware :
- Installe le programme puis lance le.
NB : S'il te manque COMCTL32.OCX alors télécharge le ici
- Fais les mises à jour (clique sur "Mises à jour" puis "Recherche de mises à jour") puis ferme le programme.
NB : Si tu as besoin : Tuto

> Télécharge et installe Ccleaner (N'installe pas la Yahoo Toolbar) :
- Puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux : ici, ici et là.

> Commence par faire un copier/coller de ce poste (cette manip.): (conseillé car tu vas ne pas avoir avoir accès au web pendant les manip.)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras alors y avoir accès même déconnecté ou en mode sans échec.

> Démarre en mode sans échec sans passer par MSconfig : (image). Si problème : tuto ici

> Lance MalwareByte's Anti-Malware,
- Clique sur "Executer un examen rapide" puis "Rechercher" et sélectionne tous tes disques durs => le scan débute....patiente...
- A la fin du scanne, clique sur "supprimer" (Si des éléments sont difficiles à supprimer, un message te demandera de redémarrer : clique sur "Oui" alors)
- après suppression des infections : un rapport va être généré : sauvegarde le et poste le sur forum.

> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, réponds oui et enregistre sous 'Bureau'
- Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

> Relance ton PC en mode normal

> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,
Et envoie moi, par collier/coller, ton log Hijackthis,

0
Réponse 12 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
Mauvaise nouvelle, quand je veux l'ouvrir, il veut pas s'ouvrir. Et deux, quand je vais sur le site officiel, click sur Download et paf, la page se ferme sans téléchargement :'(.
0
Réponse 13 / 25
Utilisateur anonyme
 
Ok,

> Télécharge OTMoveIT_3 (de Old_Timer) : http://oldtimer.geekstogo.com/OTMoveIt3.exe sur ton bureau...
- Double-clique sur OTMoveIt3.exe pour le lancer.
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé < Paste standard List of Files/Folders to be moved > ( Image ). 

:processes
explorer.exe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"*svchostBoot"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"C:\WINDOWS\system32\update.exe"=-
"C:\WINDOWS\system32\[Emoticons-plus.com] Winkaa 2.0.exe"=-

:files
C:\Documents and Settings\Yvon\Application Data\svchost.exe 
C:\WINDOWS\system32\update.exe
C:\Program Files\Emoticons-plus.com   
C:\Program Files\SweetIM     
C:\Documents and Settings\All Users\Application Data\SweetIM     
C:\RESTORE 
C:\WINDOWS\DUMP4a38.tmp  
C:\WINDOWS\DUMP58ce.tmp

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

- Clique sur < MoveIt! > pour lancer la suppression.
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour (souvent C:\_OTMoveIt\MovedFiles\), copie-colle-le dans ta réponse suivante.

Ensuite,
j'ai un doute sur un/des fichier(s), donc :
> Rends toi sur le site Virus Total : https://www.virustotal.com/gui/ et fais analyser le/les fichier(s) suivant(s) : (Clique sur <parcourir> puis copie/colle la/les ligne(s) dans le cadre "Nom du Fichier", ensuite valide par <Ouvrir>. Clique alors sur <Envoyer un fichier>) 

C:\Documents and Settings\Yvon\Application Data\_f0fec310bcb98f620cbdba49ce75fd88\down\mini000.exe

et poste le/les résultat(s) par copier/coller (ou le/les lien(s) http, c'est plus rapide et préférable).
N.B. : Les fichiers doivent être analysés un par un. Ouvrir plusieurs fenêtres sur Virus Total peut bloquer les envois.
Si Virus total te dit que le fichier a déjà été analysé alors demande une nouvelle analyse.

A+
0
Réponse 14 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
1-Voilà le log :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\*svchostBoot deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\update.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\[Emoticons-plus.com] Winkaa 2.0.exe deleted successfully.
========== FILES ==========
File move failed. C:\Documents and Settings\Yvon\Application Data\svchost.exe scheduled to be moved on reboot.
File/Folder C:\WINDOWS\system32\update.exe not found.
C:\Program Files\Emoticons-plus.com\Winkaa 1.0 moved successfully.
C:\Program Files\Emoticons-plus.com moved successfully.
File/Folder C:\Program Files\SweetIM not found.
File/Folder C:\Documents and Settings\All Users\Application Data\SweetIM not found.
C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013 moved successfully.
C:\RESTORE moved successfully.
C:\WINDOWS\DUMP4a38.tmp moved successfully.
C:\WINDOWS\DUMP58ce.tmp moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_62c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_7d0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

2-OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02072009_194527

http://www.virustotal.com/fr/reanalisis.html?a380927c4c3cacc1c695e9c010e9ea44

Dans la page ça dit :

Le fichier a déjà été analysé:
MD5:
First received:
Date
Résultats
Permalink:

        
0
Réponse 15 / 25
Utilisateur anonyme
 
Très bien mais c'est encore infecté.

Le PC doit aller mieux quand même.

Reessaye de faire ceci stp :
http://www.commentcamarche.net/forum/affich 10929313 un cheval de troie m attaque?#13

Si ça marche pas réessaye Combofix.

Je vais au lit. A demain.
Bye.
0
Réponse 16 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
Au début, Malawarebytes voulait pas démarrer, alors j'ai pris Combofix (qui a bien marché), après tout avec Combofix, j'ai essayer d'installer Malawarebytes, et ça marche (j'ai rien fait, à part l'installer) !!! Qu'est-ce que je fais maintenant ?

        
0
Utilisateur anonyme
 
Poste les rapports stp !
0
Réponse 17 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
ComboFix 09-02-06.04 - Yvon 2009-02-08 8:06:38.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2039.1508 [GMT -5:00]
Lancé depuis: c:\documents and settings\Yvon\Mes documents\Downloads\ComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090207-0] *On-access scanning disabled* (Updated)
* Un nouveau point de restauration a été créé
.
[i] ADS - WINDOWS: deleted 24 bytes in 1 streams. /i

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Yvon\Application Data\inst.exe
c:\windows\system32\x64
D:\resycled

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-08 au 2009-02-08 ))))))))))))))))))))))))))))))))))))
.

2009-02-08 08:07 . 2009-02-08 08:07 53,248 --a------ c:\temp\catchme.dll
2009-02-07 19:45 . 2009-02-07 19:45 <REP> d-------- C:\_OTMoveIt
2009-02-07 18:56 . 2009-02-07 19:01 <REP> d-------- c:\program files\Navilog1
2009-02-07 18:53 . 2009-02-07 18:53 <REP> d-------- c:\program files\CCleaner
2009-02-07 18:34 . 2009-02-07 18:34 <REP> d-------- C:\rsit
2009-02-07 08:31 . 2009-02-07 10:22 <REP> d-------- C:\ZIMMERTWINS_2007
2009-02-06 17:02 . 2009-02-06 21:16 <REP> d-------- c:\program files\ESET
2009-02-06 16:30 . 2009-02-06 16:31 <REP> d-------- c:\documents and settings\Yvon\Application Data\_f0fec310bcb98f620cbdba49ce75fd88
2009-02-06 16:30 . 2009-02-06 16:33 1,406,931 --a------ c:\documents and settings\Yvon\Application Data\svchost.exe
2009-02-05 17:44 . 2009-02-07 11:05 <REP> d-------- c:\windows\cfig
2009-02-03 07:14 . 2009-02-03 07:14 <REP> d-------- c:\documents and settings\Yvon\Application Data\HiYo
2009-02-02 12:26 . 2009-02-02 12:26 <REP> d-------- c:\windows\Vbox
2009-02-02 12:26 . 2009-02-02 12:26 <REP> d-------- c:\windows\Noslip
2009-02-02 12:26 . 2009-02-02 12:26 <REP> d-------- c:\program files\Ulead Systems
2009-02-02 12:26 . 2009-02-02 12:26 <REP> d-------- c:\documents and settings\Yvon\Application Data\Ulead Systems
2009-02-02 12:26 . 2009-02-04 06:51 <REP> d-------- c:\documents and settings\All Users\Application Data\Ulead Systems
2009-02-02 12:26 . 2009-02-02 12:32 542 --ah-c--- c:\windows\system32\ws073247.ocx
2009-02-02 12:26 . 2009-02-02 12:32 542 --ah----- C:\os357577.bin
2009-02-01 20:42 . 2009-02-02 17:02 <REP> d-------- c:\program files\Easy Gif Animator Extension
2009-01-31 17:52 . 2009-01-31 17:52 <REP> d-------- c:\documents and settings\LocalService\Application Data\agi
2009-01-31 17:52 . 2009-01-31 17:52 2,117,632 --a--c--- c:\windows\system32\python25.dll
2009-01-31 17:52 . 2008-09-16 11:26 1,332,197 --a--c--- c:\windows\system32\pythondll.zip
2009-01-31 17:52 . 2009-01-31 17:52 339,968 --a--c--- c:\windows\system32\pythoncom25.dll
2009-01-31 17:52 . 2009-01-31 17:52 114,688 --a--c--- c:\windows\system32\pywintypes25.dll
2009-01-25 08:21 . 2009-02-01 20:07 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-22 18:13 . 2001-05-11 13:18 420,240 --a--c--- c:\windows\system32\mpg4c32.dll
2009-01-22 18:13 . 2001-05-16 17:54 309,616 --a--c--- c:\windows\system32\wmv8dmod.dll
2009-01-22 18:13 . 2001-03-26 04:41 245,760 --a--c--- c:\windows\system32\mp4sds32.ax
2009-01-21 16:55 . 2009-01-21 16:55 <REP> d-------- c:\program files\SANYO
2009-01-21 16:55 . 2009-01-21 16:55 <REP> d-------- c:\documents and settings\Yvon\Application Data\Kodak
2009-01-21 07:29 . 2009-01-21 07:29 <REP> dr-h----- c:\documents and settings\Yvon\Application Data\SecuROM
2009-01-20 19:57 . 2009-02-06 19:58 <REP> d-------- c:\program files\Total Video Converter
2009-01-20 19:57 . 2000-05-22 22:58 608,448 --a--c--- c:\windows\system32\comctl32.ocx
2009-01-20 17:57 . 2009-01-20 17:57 <REP> d-------- c:\program files\Real
2009-01-20 17:57 . 2009-01-20 17:57 <REP> d-------- c:\program files\Fichiers communs\xing shared
2009-01-13 17:37 . 2009-01-13 17:37 4,096 --a--c--- c:\windows\system32\drivers\nocashio.sys
2009-01-13 16:11 . 2009-01-13 16:13 <REP> d-------- c:\program files\NDSROM Player

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-08 12:52 --------- d-----w c:\program files\LogMeIn
2009-02-07 15:08 --------- d-----w c:\documents and settings\Yvon\Application Data\LimeWire
2009-02-07 01:03 --------- d-----w c:\program files\NCH Swift Sound
2009-02-07 00:58 --------- d-----w c:\program files\Free FLV to AVI MP4 3GP WMV MP3 Converter
2009-02-04 11:52 --------- d-----w c:\program files\Yahoo!
2009-02-04 11:52 --------- d-----w c:\documents and settings\All Users\Application Data\Yahoo!
2009-02-04 11:51 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-02 01:09 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-02-01 23:34 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-01-22 00:48 --------- d-----w c:\program files\Sanny Builder 3
2009-01-21 21:44 9,464 -c----w c:\windows\system32\drivers\cdralw2k.sys
2009-01-21 21:44 9,336 -c----w c:\windows\system32\drivers\cdr4_xp.sys
2009-01-21 21:44 43,528 -c----w c:\windows\system32\drivers\PxHelp20.sys
2009-01-21 21:44 129,784 -c----w c:\windows\system32\pxafs.dll
2009-01-21 21:44 118,520 -c----w c:\windows\system32\pxinsi64.exe
2009-01-21 21:44 116,472 -c----w c:\windows\system32\pxcpyi64.exe
2009-01-20 22:57 --------- d-----w c:\program files\Fichiers communs\Real
2009-01-18 22:14 --------- d-----w c:\program files\Rockstar Games
2009-01-09 22:26 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-01-07 11:19 --------- d-----w c:\program files\Creative
2009-01-06 22:48 --------- d-----w c:\documents and settings\All Users\Application Data\Creative
2009-01-06 20:44 --------- d-----w c:\program files\MediaCoder
2009-01-06 00:27 --------- d-----w c:\documents and settings\All Users\Application Data\River Past G5
2009-01-06 00:19 --------- d-----w c:\documents and settings\Yvon\Application Data\River Past G5
2009-01-06 00:04 --------- d-----w c:\program files\Riva
2009-01-06 00:04 --------- d-----w c:\program files\Fichiers communs\SWF Studio
2009-01-05 22:04 --------- d-----w c:\program files\Apowersoft
2009-01-05 22:04 --------- d-----w c:\documents and settings\All Users\Application Data\Apowersoft
2009-01-05 21:51 --------- d-----w c:\documents and settings\All Users\Application Data\Video Converter Studio
2009-01-05 17:04 --------- d-----w c:\documents and settings\Yvon\Application Data\Malwarebytes
2009-01-05 17:04 --------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-05 14:42 --------- d-----w c:\documents and settings\Yvon\Application Data\SystemRequirementsLab
2009-01-04 23:23 --------- d-----w c:\program files\Modules VST
2009-01-04 23:23 --------- d-----w c:\documents and settings\Yvon\Application Data\Publish Providers
2009-01-04 23:22 --------- d-----w c:\documents and settings\Yvon\Application Data\Sony
2009-01-04 23:20 --------- d-----w c:\program files\Sony Setup
2009-01-04 19:35 --------- d--h--w c:\program files\Creative Installation Information
2009-01-01 12:20 --------- d-----w c:\program files\Rewards1 Hack
2008-12-30 23:54 --------- d-----w c:\documents and settings\All Users\Application Data\LogMeIn
2008-12-30 17:45 98,304 -c--a-w c:\windows\system32\CmdLineExt.dll
2008-12-29 22:55 25,568 -c--a-w c:\documents and settings\Yvon\Application Data\GDIPFONTCACHEV1.DAT
2008-12-29 16:31 --------- d-----w c:\program files\SystemRequirementsLab
2008-12-28 21:26 --------- d-----w c:\documents and settings\Yvon\Application Data\DAEMON Tools Pro
2008-12-28 21:26 --------- d-----w c:\documents and settings\Yvon\Application Data\DAEMON Tools
2008-12-28 21:25 --------- d-----w c:\documents and settings\Yvon\Application Data\DAEMON Tools Lite
2008-12-28 20:49 --------- d-----w c:\program files\Alt WAV MP3 WMA OGG Converter
2008-12-28 19:02 --------- d-----w c:\documents and settings\Yvon\Application Data\Creative
2008-12-28 18:15 --------- d-----w c:\program files\Windows Media Connect 2
2008-12-28 18:15 --------- d-----w c:\program files\Windows Live Toolbar
2008-12-28 18:15 --------- d-----w c:\program files\LimeWire
2008-12-28 16:27 --------- d-----w c:\program files\Auslogics
2008-12-28 16:27 --------- d-----w c:\documents and settings\Yvon\Application Data\Auslogics
2008-12-28 15:55 --------- d-----w c:\program files\Belarc
2008-12-28 14:41 --------- d-----w c:\program files\Fichiers communs\DVDVideoSoft
2008-12-28 14:35 --------- d-----w c:\program files\DAP
2008-12-24 17:15 --------- d-----w c:\documents and settings\All Users\Application Data\Autodesk
2008-12-24 16:55 796,672 -c--a-w c:\windows\GPInstall.exe
2008-12-23 22:59 --------- d-----w c:\program files\NCH Software
2008-12-23 17:43 --------- d-----w c:\program files\San Andreas Mod Installer
2008-12-23 16:48 --------- d-----w c:\program files\Gta Save
2008-12-23 16:41 73,216 -c--a-w c:\windows\ST6UNST.EXE
2008-12-23 16:41 249,856 -c----w c:\windows\Setup1.exe
2008-12-21 13:00 --------- d-----w c:\program files\Google
2008-12-21 00:59 --------- d-----w c:\documents and settings\Yvon\Application Data\Blender Foundation
2008-12-21 00:56 --------- d-----w c:\program files\ZModeler
2008-12-20 22:41 --------- d-----w c:\program files\GTATools
2008-12-20 15:28 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink
2008-12-19 23:30 81,920 -c--a-w c:\windows\system32\frapsvid.dll
2008-12-17 18:26 --------- d-----w c:\program files\IncrediMail
2008-12-17 16:49 --------- d-----w c:\program files\Windows Live
2008-12-17 12:30 --------- d-----w c:\program files\Mango Plumo
2008-12-17 12:30 --------- d-----w c:\program files\Mango Espace
2008-12-17 12:30 --------- d-----w c:\program files\LibUSB-Win32-0.1.10(2).1
2008-12-16 13:13 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller
2008-12-14 21:46 --------- d-----w c:\documents and settings\Yvon\Application Data\MSNInstaller
2008-12-12 00:11 --------- d-----w c:\documents and settings\Yvon\Application Data\uTorrent
2008-12-11 23:59 --------- d-----w c:\program files\LucasArts
2008-12-11 10:57 333,952 -c--a-w c:\windows\system32\drivers\srv.sys
2008-12-09 00:44 --------- d-----w c:\program files\Fichiers communs\Vbox
2008-12-07 21:25 94,208 -c--a-w c:\documents and settings\Yvon\Application Data\ezplay.sys
2008-12-07 21:25 47,360 -c--a-w c:\documents and settings\Yvon\Application Data\pcouffin.sys
2008-12-03 00:31 410,984 -c--a-w c:\windows\system32\deploytk.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
"Google Update"="c:\documents and settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2008-11-02 133104]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-02 136600]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]
"LVCOMSX"="c:\program files\Fichiers communs\Logitech\LComMgr\LVComSX.exe" [2006-11-15 244512]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-28 98304]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-01-20 185872]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"*svchostBoot"="c:\documents and settings\Yvon\Application Data\svchost.exe" [2009-02-06 1406931]
"RTHDCPL"="RTHDCPL.EXE" [2008-04-10 c:\windows\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 20:35 87352 c:\windows\system32\LMIinit.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Yvon^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Yvon\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]
--a--c--- 2008-04-09 10:00 826880 c:\program files\dvd43\DVD43_Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
--a--c--- 2008-11-09 18:21 243072 c:\program files\IncrediMail\bin\IncMail.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a--c--- 2006-11-15 20:58 746520 c:\program files\Logitech\QuickCam10\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a--c--- 2008-10-28 05:51 98304 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a--c--- 2008-10-27 15:58 171448 c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\IncrediMail\\bin\\IncMail.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Documents and Settings\\Yvon\\Application Data\\_f0fec310bcb98f620cbdba49ce75fd88\\down\\mini000.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-12-17 111184]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-12-17 20560]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2008-12-30 47640]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [2006-11-03 13592]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [2008-07-24 12856]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [2008-12-21 16512]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [2008-12-19 33792]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
.
Contenu du dossier 'Tâches planifiées'

2009-02-08 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2749157708-1151735276-660995637-1005.job
- c:\documents and settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2008-11-02 18:29]

2009-02-08 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]

2009-02-08 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
HKLM-Run-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe
HKLM-RunServices-Windows Updates - update.exe
MSConfigStartUp-Messenger (Yahoo!) - c:\program files\Yahoo!\Messenger\YahooMessenger.exe

.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://sympatico.msn.ca/
mStart Page = hxxp://home.sweetim.com
IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-08 08:07:36
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
msnmsgr = "c:\program files\Windows Live\Messenger\msnmsgr.exe" /background??s

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-2749157708-1151735276-660995637-1005\Software\SecuROM\License information*]
"datasecu"=hex:7c,7a,8a,c1,7c,e8,2c,41,c8,17,75,e8,1c,dd,87,89,f8,95,6d,a8,88,
6c,e4,e7,b2,fb,92,f5,61,c0,e1,55,cc,a7,9c,81,a0,48,20,7b,b8,5e,df,36,33,ac,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
.
Heure de fin: 2009-02-08 8:08:38
ComboFix-quarantined-files.txt 2009-02-08 13:08:36

Avant-CF: 121,605,836,800 octets libres
Après-CF: 121,866,842,112 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

268 --- E O F --- 2009-02-06 11:19:51

Excuse-moi d'avoir oublié.
0
Réponse 18 / 25
Utilisateur anonyme
 
Ok,
il y a encore des choses qui ne vont pas.

Fais ceci stp :

> Télécharge ATF Cleaner par Atribune sur ton bureau.
- Démarre ATF-Cleaner et coche toutes les cases.
- Clique sur <Empty Selected> et au message "Done Cleaning" sur <Ok>
NB : Si tu utilises Firefox ou Opera :
- Clique sur Firefox ou Opera en haut puis choisis <Select All>.
- Clique sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de passe sauvegardés alors clique sur <No> à l'invite).
- Clique sur <Main> pour revenir à menu principal
- Clique sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.
NB : Si le prefetch est nettoyé le redémarrage du PC sera plus lent.

Puis,
> Avec Combofix :
- Crée un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copie/colle dedans les lignes suivantes : 

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
"*svchostBoot"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"=-

File::
c:\documents and settings\Yvon\Application Data\svchost.exe 

DirLook::
c:\documents and settings\Yvon\Application Data\_f0fec310bcb98f620cbdba49ce75fd88  
c:\windows\cfig  
c:\windows\Vbox  
c:\windows\Noslip
c:\documents and settings\LocalService\Application Data\agi  
c:\program files\Rewards1 Hack

- Enregistre ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)
- Ferme tous tes navigateurs web (donc copie ou imprime les instructions suivantes avant si besoin est).
- Désactive ton antivirus et tes autres protections résidentes (ex : Spybot) si tu en as (c'est important).
- Fait un glisser/déposer de ce fichier CFScript sur le programme ComboFix.exe comme sur cette image
(Explications du glisser/coller : Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relâche alors le bouton de la souris).
- Combofix va démarrer puis une fenêtre bleue va apparaître. Au message qui s'affiche (Type 1 to continue, or 2 to abort) : tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste le stp.
PS : Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
PS2 : Il peut s'avérer que le rapport Combofix soit trop long pour être supporter par CCM.net. Dans ce cas utilise ce service http://www.cijoint.fr pour me l'envoyer (dépose le fichier puis poste le lien sur le forum).

Bon courage !
0
Réponse 19 / 25
Anonymous_1 Messages postés 65 Statut Membre 3
 
Mon ordi est correct, Avast n'a pas dit qu'ils avaient des virus, j'ai faites ce que tu avais dit dans le message #13. Et voici le log Maladwarebytes :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1738
Windows 5.1.2600 Service Pack 3

2009-02-08 11:10:21
mbam-log-2009-02-08 (11-10-19).txt

Type de recherche: Examen rapide
Eléments examinés: 49188
Temps écoulé: 5 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*svchostboot (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Yvon\Application Data\svchost.exe (Trojan.Agent) -> No action taken.

(Ils sont en quarantaine)

Et HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:31:09, on 2009-02-08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Yvon\Mes documents\Downloads\HiJackThis (1).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%2f%3f
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Fichiers communs\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Yvon\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.infoclick.ca
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Home
O17 - HKLM\Software\..\Telephony: DomainName = Home
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Home
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Home
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
0
Réponse 20 / 25
Utilisateur anonyme
 
Oui, c'est bien mieux.
Mais c'est pas tout à fait fini.

:)

Alors,
Puis,
> Lance Hijackthis :
- Puis sélectionne <Do a system scan only>
- Coche les cases des lignes suivantes : 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com 

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) 
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)     

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"     
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime     
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet).
- Clic sur <Fixe checked>

Ensuite,
> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
N.B. : Le scan ne marche que sous Internet Explorer.
- Commence par connecter tout ton matériel de stockage à ton PC (clés USB, DD amovible...). Allume les si nécessaire.
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
- On va te demander de télécharger un contrôle active x, accepte .
- Dans le menu < Choisissez la cible de l'analyse >, sélectionne < Poste de travail >. Le scan va commencer.
- Poste le rapport qui sera généré (voir cette image) (clique sur <enregistrer le rapport> puis sauvegarde-le sur ton bureau en choisissant "fichier texte (*.txt)" pour l'extension).
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
Pour le rapport Kaspersky il faut que tu choisisses "Afficher le rapport" puis que tu l'enregistres sur ton bureau sous forme de fichier texte (type de fichier "tous les fichiers").

Puis après je te libère si tout va bien :)

A+

~~~~~~~~~~~~~~~~
Les lignes ci-dessous sont pour moi (un pense-bête)

c:\documents and settings\Yvon\Application Data\_f0fec310bcb98f620cbdba49ce75fd88
c:\windows\cfig
c:\windows\Vbox
c:\windows\Noslip
c:\documents and settings\LocalService\Application Data\agi
c:\program files\Rewards1 Hack
0

Discussions similaires

Cheval de troie comment le supprimer?
sonia -
^^Marie^^ -

28 réponses
expressions francaises
bifaka -
lanonyme -

4 réponses
virus: comment supprimer ccxprocess (virus cheval de troie)
grrlesang -
bazfile -

1 réponse
comment se debarasser d un cheval de troie
jennyfer1 -
MrMaDGaME -

66 réponses
cheval dans oblivion
sernaldo53 -
sernaldo53 -

12 réponses