Fichier "hosts" infecté par "Win32/

Résolu/Fermé
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010
- 17 févr. 2009 à 23:39
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010
- 5 mars 2009 à 20:51
Bonsoir à tous,

Depuis deux jours, mon PC (sous XP) est victime de l'intrusion d'un cheval de Troie que nod32 identifie dans le fichier hosts (dossier C:\WINDOWS\system32\drivers\etc). Or, une fois n'est pas coutume, impossible de supprimer le machin, et en mode sans échec je déboule (Après défilage express d'un écran de lignes de commandes pendant deux secondes.) sur un le sempiternel écran noir, tiret clignotant, et vas-y donc que je te plante là-dessus. Bien entendu, après redémarrage en mode normal, le machin est toujours là et plus en forme que jamais, et nod32 m'envoie des alertes toutes les cinq minutes, vu que ce fichier est utilisé par plusieurs protocoles...

N.B. : Nod32 (Et Firefox maintenant.) affiche(nt) régulièrement, après échec d'une suppression dudit fichier, une boîte de dialogue ayant pour titre "Error" et pour contenu "Runtime error 230 at 131058F6". Aussi, à titre informatif, j'ai noté que, quand à certains moments, le fichier hosts finissait par être détruit pour une raison qui m'a échappée, il finissait également par revenir de lui-même, ce qui, malgré mes compétences relativement inexistantes en antiviralisme, m'a vaguement laissé penser que nod32 avait laissé passer des fichiers suspects dans la machine, et qui permettait au truc de repousser... Oui, je fait de la botanique là, m'enfin...

Voici ci-dessous un rapport HiJackThis de mes mésaventures, merci d'avance aux âmes éclairées qui pourront me venir en aide.
Pidjey.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:31:20, on 17/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\wciactrl.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://flashmail.club-internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PowerArchiver Tray] C:\Program Files\PowerArchiver\PASTARTER.EXE
O4 - HKCU\..\Run: [EPSON Stylus DX8400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICEE.EXE /FU "d:\Temp\E_S185.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: CleanTemps.cmd.lnk = C:\CleanTemps.cmd
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://tiragesphoto.fnac.com/
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS\system\svhost.exe (file missing)
A voir également:

31 réponses

jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
23 févr. 2009 à 00:18
bon je viens d'avoir un contact avec destrio5 et il propose que tu fasses otmoveit avec ce qu'il m'a donner comme cript , Merci

Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

:processes
explorer.exe

:services
WindowsTelephony

:files
C:\windows\wciactrl.exe
C:\windows\system32\txsocm32.dll
C:\windows\system32\frnscli32.dll
C:\windows\http.dll
c:\windows\system32\18.scr

:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Run]
"Intel Physical Address Aventis 1.3"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WindowsTelephony]

:commands
[emptytemp]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
1
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
18 févr. 2009 à 00:09
bonjour, passes malwarebytes, postes le rapport et réparres ton fichiers hosts qui ne m'a pas l'aire corompu mais bon , Merci

1) Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Il va se mettre à jour une fois faite
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés)

. cliques sur Supprimer la sélection

. Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller



2) réparres le fichiers hosts

R-hosts http://siri.urz.free.fr/RHosts.php
tu cliques sur Download
tu l'enregistre sur le bureau
tu double-cliques sur hosts
puis sur Restaurer
tu confirmes par OK et puis tu fermes la fenêtre
0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

18 févr. 2009 à 11:47
Humpf...

J'ai suivi tes conseils, MBAM m'a en effet déniché une vingtaine de saloperies, mais j'ai encore des alertes de Nod32 concernant le même fichier au redémarrage, et toujours pas moyen de le supprimer.

À titre d'information... N'ayant pour connaissances en terme de sécurité Internet qu'en grande majorité les vomissures du martelage publicitaire quotidien, dois-je comprendre que mon antivirus n'est pas assez performant pour avoir laisser échapper tout ça, ou qu'un antivirus et un anti-malware sont complémentaires, et qu'on doit avoir les deux sur une bécane ?

Merci de ton aide,
Pidjey.



P.S. : Voici le rapport :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1773
Windows 5.1.2600 Service Pack 2

18/02/2009 11:35:31
mbam-log-2009-02-18 (11-35-31).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 218428
Temps écoulé: 1 hour(s), 3 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 19
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\mywebsearch.pseudotransparentplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\sysdrv32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\msconfig.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
18 févr. 2009 à 11:56
fais un smitfraudfix pour voir , Merci

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php

le mieux serait que tu désactives tes protections résidente "anti-virus et anti-spyware"
le temps d'installer smitfraudfix et de faire l'analyse.


et télécharge SmitfraudFix.exe.

Regarde le tuto

Double-clique sur SmitfraudFix.exe (Sous Vista, il faut cliquer droit sur SmitfraudFix et choisir Exécuter en tant qu'administrateur).

Exécute le en choisissant l’option 1

il va générer un rapport

Copie/colle le sur le poste stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, ect...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


une petites démo en vidéo :http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

18 févr. 2009 à 12:27
Gnop,

Y'a comme un grain de sable dans l'engrenage en fait... J'ai tout à fait pu générer un rapport, mais pour la deuxième partie décrite dans le tutorial, il m'est toujours aussi impossible de booter en mode sans échec que dans le premier post, et ce toujours pour les mêmes raisons (Oui, je le lance comme tout le monde avec F8 au démarrage, en ayant pris soin en supplément de désactiver la restauration système, et caetera.)

Pidjey.

Voici quand même ledit rapport :

SmitFraudFix v2.396

Rapport fait à 12:10:47,56, 18/02/2009
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Paul


»»»»»»»»»»»»»»»»»»»»»»»» d:\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Paul\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Paul\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS2\Services\Tcpip\..\{A31733DF-4A6D-4D97-AB8F-793CBD1BE393}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
18 févr. 2009 à 12:41
bon rien de ce coté mais pourquoi avoir déactivé la restauration système si pour une raison X ou Y suite à utilisation d'un outil ton pc plante tu fais comment pour revenir en arrière , la déactivation et réactivation de la restauration système est à faire qu'a la fin de désinfection quand le pc est revenu à la normale , tu vas essaies de réparrer le mode sans echec avec ce lien http://www.assistepc.com/forum/reparer-le-mode-sans-echec-de-windows-vt867.html et tu essais pour voir si ça marche mais sur certain pc c'est pas F8 mais F5 celon la marque si tu as une doc sur ton pc vérifis , sinon fais un findykill

Télécharge FindyKill (de Chiquitine29) merci à lui de nous l'avoir remis en ligne !!!

.Fais un double-clique sur le lien

.enregistres le sur bureau

.Lances l'installation avec les paramètres par défaut

.Double-clique sur le raccourci FindyKill sur ton bureau

.Au menu principal, choisis l'option 1 (Recherche)

.Postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)

tutoriel si besoin: https://www.malekal.com/tutorial-findykill/


0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

18 févr. 2009 à 13:01
Hoy,

Le mode sans échec est toujours en sommeil malgré la modification du registre...

Pour la restauration système, je suis tombé sur un article concernant mon problème qui conseillait de la désactiver pour permettre à la manip' de bien se dérouler, ou quelque chose comme ça.

Voici le rapport FindyKill, avec la sympathique analyse du cd d'Age of Empires resté dans mon lecteur :



############################## [ FindyKill V4.717 ]

# User : Paul (Administrateurs) # XPSP2-2BA5E847C
# Update on 17/02/09 by Chiquitine29
# Start at: 12:57:23 | 18/02/2009

# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : NOD32 Antivirus System 2.51 2.51 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM (AOE) # CDFS
# G:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]


################## [ Registre / Clés infectieuses ]



################## [ Recherche dans supports amovibles]


# Contenu de l'autorun : E:\autorun.inf

[autorun]
OPEN=AOEINST.EXE /autorun
ICON=AoEX.ico

shell\setup=Installer Age of Empires Gold
shell\setup\command=AOEINST.EXE /autorun

shell\ar32f301=Installer Adobe Acrobat Reader
shell\ar32f301\command=goodies\ar32f301

shell\directx=Installer DirectX 6
shell\directx\command=DirectX\dxsetup.exe

shell\dplay=Installer DirectPlay 6.0a
shell\dplay\command=DirectX\dplay60a.exe

shell\zone=Installer Internet Gaming Zone
shell\zone\command=sampler\demos\zone\zoneA501.exe

shell\sampler=Microsoft Game Previews
shell\sampler\command=Sampler\Sampler.exe

shell\msinfo=Informations à propos du système
shell\msinfo\command=goodies\msinfo\msinfo32.exe

shell\dxdiag=Diagnostic DirectX
shell\dxdiag\command=DirectX\dxdiag.exe

shell\dxinfo=Informations à propos de DirectX
shell\dxinfo\command=DirectX\dxinfo.exe

shell\dxtool=Outil DirectX
shell\dxtool\command=goodies\DirectX\dxtool.exe

shell\dxtest=Test DirectX
shell\dxtest\command=goodies\DirectX\dx5test.exe

# Presence des fichiers :

Found ! [25/01/1999 12:00][-r-------] - E:\autorun.inf

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.717 ! ]
0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

18 févr. 2009 à 13:47
À tout hasard, je remonte le sujet... ;)
0
Salut !!

Bon ben, je sais que ça n'apportera qu'une maigre consolation, mais je suis également dans la même mélasse.
Depuis hier aussi, avec nod32 tout pareil.

J'ai fait tous les antivirus en ligne, quand ils ne plantent pas avant la fin. Un petit coup de ad aware et assimilés en passant.
J'ai fait le restore host qui aboutit de temps en temps, sauf quand il me dit que le fichier est vérouillé et que c'est impossible.
J'ai fait le smifraudfix sans plus de succès.
Le tout bien entendu en mode normal et en mode sans echec, en débranchant le modem, ma médaille de Sainte Rita à la main ...
J'ai pas pensé à formater parce qu'on va pas se laisser emmerder.
Pour ma part, la seule soluton à l'heure actuelle, c'est de ne pas cliquer sur ok lorsque la boite apparaît avec sa satanée runtime error. Je la fous dans un coin de l'ecran et aucune alerte de nod ne revient.
Comme tu le suggères, mais ça ne nous avance pas à grand chose, Nod32 a du laisser passer un rizome et ça repousse quand on arrive à couper ...

Je farfouille je farfouille mais je ne trouve rien.

Quelqu'un va bien réussir à nous aider bordel !!!

Sinon, ben wipe c: ...
0
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
18 févr. 2009 à 18:20
enléve ton cd et passes l'option 2 de findykill et revérifis pour ton mode sans echec et essais avec sois F8 ou F5 ou F4 c'est quoi la marque et modèle de ton pc je pourais chercher sur le net qu'ellest le F? pour le mode sans echec
dans ton premier message tu parle que quand tu fais le mode sans echec tu te retrouve avec un écran noir et un tiret qui clignote c'est normal et la page du mode sans echec peut mettre plusieur minutes perso j'ai un des pc près de 5 mn avant quel s'affiche

NETTOYAGE

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


.Relances FindyKill

.Cette fois, choisis l'option 2 (Suppression) au menu principal

.Il y aura 2 redémarrages, laisses le travailler jusqu'à l'apparition du message "nettoyage effectué" !

.Ensuite postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)

Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides





POUR LE DESINSTALLER



.Relances FindyKill

.Cette fois, choisis l'option 3. Desinstaller FindyKill
0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

18 févr. 2009 à 20:42
Me revoilà !

Erf, ça fait toujours plaisir de tirer quelqu'un d'autre dans son merdier, hein, on se sent moins seul... Bonne chance à toi en tout cas, Zadig !



Le mode sans échec se lance bien par F8 sur mon PC pour en avoir eu besoin antérieurement. Et en effet, je reste coincé avec un tiret clignotant, mais au bout d'un quart d'heure sans un bruit de l'UC, on se dit qu'on peut rebooter et aller prier, ma foi.

Bref, j'avais déjà refait deux analyses MBAM qui m'ont viré successivement une puis deux infections, donc le truc doit être bien camouflé. Voilà maintenant le dernier rapport Findykill :

(N.B. : Pendant l'opération, des messages ont indiqué qu'il ne parvenait pas, en gros, à accéder au registre.)



############################## [ FindyKill V4.717 ]

# User : Paul (Administrateurs) # XPSP2-2BA5E847C
# Update on 17/02/09 by Chiquitine29
# Start at: 20:25:19 | 18/02/2009

# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : NOD32 Antivirus System 2.51 2.51 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # NTFS
# D:\ # Disque fixe local # NTFS
# E:\ # Disque CD-ROM
# G:\ # Disque CD-ROM

############################## [ Active Processes ]

C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset\nod32krn.exe
C:\windows\system32\svchost.exe
C:\windows\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\ESET\nod32kui.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Infected Files / Folders C:\ ]


################## [ C:\windows ]


################## [ C:\windows\system32 ]


################## [ C:\windows\system32\drivers ]


################## [ C:\.. Application Data ... ]


################## [ Registry / Infected keys ]


################## [ Cleaning Removable drives ]

# Deleting files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ Searching Other Infections ]

# -> Nothing found ! ..

################## [ ! End of Report # FindyKill V4.717 ! ]



Pidjey.

P.S. : Euh, je n'ai pas précisé, mais comme de bien entendu je me farcis toujours des alertes et le fichier infecté est toujours en place.
0
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
18 févr. 2009 à 21:12
bon je me demandes si c'est pâs cette ligne O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/
qui serais en cause tu vas faire ce qui suit et voir si tes alerte s'arrête

1) Tu relances hijackthis comme expliqué pour Fixer les lignes

.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.Lances HijackThis
.Cliques sur "Do a system scan only"
.Tu coches les lignes suivantes :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://flashmail.club-internet.fr/
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/


.Tu cliques sur "Fix Checked"
.Tu fermes HijackThis

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm


2) Tu désinstalles les outils utilisés avec Toolscleaner2 lui tu le supprimeras de sur le bureau manuellement ainsi que le rapport généré qui est dans ton disque dur système sous le nom de " TCleaner "

Télécharge toolscleaner sur ton Bureau : http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

. Double-cliques sur ToolsCleaner2 "l'as de carreau" et laisse le travailler
. Cliques sur Recherche et laisse le scan se terminer. attention ça peut parraitre long
. Cliques sur Suppression pour finaliser.
. Tu peux, si tu le souhaites, te servir des Options facultatives.
. Clique sur Quitter, pour que le rapport puisse se créer.
. Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse




3) Redémarres le PC et passes Ccleaner avec ces réglages LA



télécharge Ccleaner à partir de cette adresses


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner



et pour mieux le connaire : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm



0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

18 févr. 2009 à 23:16
Au rapport, patron !

Tout d'abord, pour HiJackThis j'ai supprimé les lignes indiquées, hormis celle que tu pensais pouvoir poser problème, qui justement n'y était plus (suspect ?).

Voici ensuite le rapport TCleaner :

[ Rapport ToolsCleaner version 2.3.1 (par A.Rothstein & dj QUIOU) ]

-->- Recherche:

C:\FindyKill.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Paul\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Paul\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Paul\Menu Démarrer\Programmes\FindyKill: trouvé !
C:\Program Files\FindyKill: trouvé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !

---------------------------------
-->- Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Paul\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Paul\Bureau\SmitFraudFix.exe: supprimé !
C:\FindyKill.txt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Paul\Menu Démarrer\Programmes\FindyKill: supprimé !
C:\Program Files\FindyKill: ERREUR DE SUPPRESSION !!
C:\Program Files\Mozilla Firefox\SmitFraudfix: supprimé !



J'ai ensuite exécuté CCleaner, qui m'a dégagé une quantité mémorable de fichiers (qui auraient justement dû être) temporaires, dont j'avais oublié jusqu'à l'existence...

Pour l'instant je n'ai plus d'alerte, je redémarre afin de pouvoir de le démentir une fois de plus avec tambour et trompettes... (Je ne doute pas de tes compétences, j'aime juste être pessimiste, comme ça je suis jamais déçu. C't un concept.)

Merci de ta sollicitude,
Pidjey. ;)
0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

18 févr. 2009 à 23:27
Bon, ben... Ça recommence, quoi. Redémarrage de la machine, et dès réouverture du pare-feu, nouvelle alerte. Ça devient folklorique, c'est mignon...
0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

19 févr. 2009 à 17:50
Hum...

Quelqu'un aurait une idée ? J'ai toujours le même problème.

Merci,
Pidjey, qui a entamé une coexistence pacifique avec son Trojan.
0
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
19 févr. 2009 à 18:59
bonjour, bizare qu'il te trouve encore quelque chose je vais te donner un outil mais il faut absolument que tu lise le tutoriel avant car c'est un outil près puissant donc tu le passes mais tu suis bien les recommendations surtout ne pas toucher au pc souris entre autre car rien que le fait de maneuvrer la souris suffirait à planter le pc tout comme de garder l'anti-virus et spyware actif pendant le scan , le te mets une procédure pour combofix , mais surtout suis et applique comme demander dans le tutoriel et installes la console de récupération cela pourait permettre de remettre le pc en ligne si problème

Télécharge Combofix.exe de sUBs sur ton Bureau;

tutoriel officiel prend le temps de le lire : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Déconnectes toi d'internet et désactives ton antivirus pour que Combofix puisse s'exécuter normalement.

Doubles clique sur Combofix.exe
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

tu Ne touches à rien tant que le scan n'est pas terminé.

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

Réactives la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.

Note : Le rapport se trouve également là : C:\Combofix.txt
0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

21 févr. 2009 à 12:23
Bonjour,

Désolé du retard, je n'ai été que très peu chez moi ces dernières 48 heures.

J'ai suivi la démarche indiquée, seulement il m'a été impossible de désactiver totalement mon antivirus : à savoir, j'ai fermé complètement nod32, qui n'apparaissait donc plus dans la zone de notification de la barre des tâches, tout comme il faut, mais il restait un processus nod32krn.exe en arrière-plan dans le gestionnaire des tâches que je n'ai pas pu arrêter, étant donné qu'il se relançait automatiquement dès que je le coupais...

La manoeuvre semble cependant s'être déroulée sans incident majeur, et en voici le compte-rendu, suivi d'un rapport HiJackThis tout frais pêché...

Merci de ton aide,
Pidjey.

N.B. : Les alertes ont continué dès le redémarrage (Alors que Combofix n'avait pas encore généré son rapport.).



ComboFix 09-02-19.01 - Paul 2009-02-21 11:55:05.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767.515 [GMT 1:00]
Lancé depuis: c:\documents and settings\Paul\Bureau\ComboFix.exe
AV: NOD32 Antivirus System 2.51 *On-access scanning enabled* (Updated)
FW: ZoneAlarm Firewall *enabled*
* Un nouveau point de restauration a été créé
* Resident AV is active


AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\mdm.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSDRV32


((((((((((((((((((((((((((((( Fichiers créés du 2009-01-21 au 2009-02-21 ))))))))))))))))))))))))))))))))))))
.

2009-02-18 12:56 . 2009-02-18 22:24 <REP> d-------- c:\program files\FindyKill
2009-02-18 10:27 . 2009-02-18 10:27 <REP> d-------- c:\documents and settings\Paul\Application Data\Malwarebytes
2009-02-18 10:27 . 2009-02-18 10:27 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-02-18 10:27 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-18 10:27 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-17 13:36 . 2006-09-05 22:06 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-02-17 13:36 . 2006-09-05 22:06 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-02-17 13:36 . 2006-09-05 20:10 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-02-17 13:36 . 2006-09-05 22:06 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-02-17 13:36 . 2006-09-05 22:06 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-02-17 13:36 . 2006-09-05 20:14 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-02-17 13:36 . 2006-09-05 22:06 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-02-17 13:36 . 2009-02-17 13:37 <REP> d-------- c:\documents and settings\Administrateur
2009-02-17 13:17 . 2009-02-17 13:17 14,848 --a------ c:\windows\http.dll
2009-02-17 13:06 . 2009-02-21 12:00 12,218,400 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-02-17 13:06 . 2009-02-21 11:57 144,164 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-02-17 13:02 . 2009-02-17 13:02 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-02-17 13:02 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe
2009-02-17 13:02 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-02-17 13:02 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-02-17 13:02 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-02-17 13:02 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-02-17 13:02 . 2009-02-17 13:04 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-02-17 13:01 . 2009-02-17 13:01 <REP> d-------- c:\program files\Zone Labs
2009-02-17 12:55 . 2009-02-21 11:44 <REP> d-------- c:\windows\Internet Logs
2009-02-16 19:18 . 2009-02-21 12:00 3 --a------ c:\windows\switch.inf
2009-02-16 11:04 . 2009-02-16 11:04 720,896 -r-hs---- c:\windows\wciactrl.exe
2009-02-16 11:04 . 2009-02-16 11:04 162,304 -r-hs---- c:\windows\system32\txsocm32.dll
2009-02-16 11:04 . 2009-02-16 11:04 65,664 --a------ c:\windows\system32\18.scr
2009-02-16 11:04 . 2009-02-16 11:04 39,936 -r-hs---- c:\windows\system32\frnscli32.dll
2009-02-08 22:46 . 2009-02-08 22:46 <REP> d-------- c:\documents and settings\Paul\.matplotlib

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-18 11:44 --------- d-----w c:\program files\PowerArchiver
2009-02-17 14:13 --------- d-----w c:\program files\ESET
2009-02-17 10:47 --------- d-----w c:\documents and settings\Paul\Application Data\Hamachi
2009-02-14 20:55 --------- d-----w c:\program files\MSN Messenger
2009-02-14 20:55 --------- d-----w c:\program files\Messenger Plus! Live
2009-01-17 08:34 --------- d-----w c:\program files\eMule
2009-01-04 19:39 --------- d-----w c:\documents and settings\Paul\Application Data\dBpoweramp
2008-12-25 22:37 25,280 ----a-w c:\windows\system32\drivers\hamachi.sys
2008-12-08 19:14 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-07-28 22:06 15,397 ----a-w c:\program files\settings.dat
2008-06-14 09:21 61,416 ----a-w c:\documents and settings\Paul\Application Data\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

2006-03-09 09:25 578048 0df75fb73f705b011630159a43d7c354 c:\windows\system32\user32.dll

2006-04-12 19:13 667648 241dbc4c2714b2f39afded49459ed420 c:\windows\system32\wininet.dll

2006-02-14 20:56 359808 667192a11db19f36624119c0dd4de4f2 c:\windows\system32\drivers\tcpip.sys

2006-05-09 09:11 2058880 73fa9c95d235844a36968c7852c7dbdd c:\windows\system32\ntkrnlpa.exe

2006-03-09 09:25 2181376 63729dd0f2aae36cc52b89c05505146c c:\windows\system32\ntoskrnl.exe

2006-03-09 09:25 57856 da81ec57acd4cdc3d4c51cf3d409af9f c:\windows\system32\spoolsv.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-22 68856]
"PowerArchiver Tray"="c:\program files\PowerArchiver\PASTARTER.EXE" [2007-03-20 141352]
"Intel Physical Address Aventis 1.3"="c:\windows\wciactrl.exe" [2009-02-16 720896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DiskeeperSystray"="c:\program files\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 184408]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2006-09-07 921600]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2006-03-09 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2002-08-30 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-30 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-30 455168]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-11 406016]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-08 136600]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2007-06-29 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"USB Storage Toolbox"="c:\program files\USB Disk Win98 Driver\Res.EXE" [2005-09-14 65536]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Intel Physical Address Aventis 1.3"="c:\windows\wciactrl.exe" [2009-02-16 720896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"Config"="c:\windows\system32\run.cmd" [2006-02-14 248]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

c:\documents and settings\Paul\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 110592]
CleanTemps.cmd.lnk - C:\CleanTemps.cmd [2006-09-06 135]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg30.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WindowsTelephony]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"DisablePagingExecutive"=dword:00000001
"SecondLevelDataCache"=dword:00000200

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"16122:TCP"= 16122:TCP:BitComet 16122 TCP
"16122:UDP"= 16122:UDP:BitComet 16122 UDP
"15711:TCP"= 15711:TCP:BND

R3 CAM1210;USB Video Camera;c:\windows\system32\drivers\cam1210.sys [2007-01-09 91776]
S2 WindowsTelephony;Windows Telephony;"c:\windows\system\svhost.exe" --> c:\windows\system\svhost.exe [?]
S3 ldiskl;ldiskl;\??\d:\temp\ldiskl.sys --> d:\temp\ldiskl.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Intel Physical Address Aventis 1.3]
c:\windows\wciactrl.exe
.
Contenu du dossier 'Tâches planifiées'

2007-07-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 12:42]
.
.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: &D&ownload &with BitComet - d:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &D&ownload all video with BitComet - d:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: &D&ownload all with BitComet - d:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Post Image to Blog - c:\windows\ImageShackToolbar\ImageShackToolbar.dll/5003
IE: Tag This Image - c:\windows\ImageShackToolbar\ImageShackToolbar.dll/5002
IE: Transload Image to ImageShack - c:\windows\ImageShackToolbar\ImageShackToolbar.dll/5004
IE: Upload All Images to ImageShack - c:\windows\ImageShackToolbar\ImageShackToolbar.dll/5000
IE: Upload Image to ImageShack - c:\windows\ImageShackToolbar\ImageShackToolbar.dll/5001
LSP: c:\windows\system32\imon.dll
Trusted Zone: imageshack.us\toolbar
FF - ProfilePath - c:\documents and settings\Paul\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Wikipedia (FR)
FF - prefs.js: browser.startup.homepage - hxxp://google.com/
FF - component: c:\documents and settings\Paul\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\extensions\{7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}\components\NativeComponent.dll
FF - component: c:\documents and settings\Paul\Application Data\Mozilla\Firefox\Profiles\106n4iej.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-21 11:59:27
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,20,97,25,71,2a,
58,e5,96,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25,73,5e,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61,af,45,84,18,d1,3e,0a,f8,68,
3e,01,fe,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68,70,5c,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,8b,17,06,e2,cb,
12,c1,49,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63,97,c3,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,c4,c7,e8,17,1d,
b6,65,02,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41,48,16,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,b4,b5,b0,7f,be,
78,d8,1b,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb,66,38,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:df,20,58,62,78,6b,cf,c8,42,2b,f1,02,a6,
35,8e,89,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0,a7,1c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,24,66,c4,a5,73,
06,da,ef,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45,f8,77,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,e1,92,94,56,f3,
a6,a4,8b,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40,7b,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91,28,9e,14,cc,1d,7f,ee,b1,55,
60,99,c9,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63,32,b1,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,94,2b,0f,a1,8b,
26,1f,e2,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f,78,77,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,e8,01,f2,01,8b,
da,b4,9f,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77,a6,50,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:6c,43,2d,1e,aa,22,2f,9c,28,1b,e1,6d,d5,
18,02,fd,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06,73,36,6c,43,2d,1e,aa,22,\
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\program files\Executive Software\Diskeeper\DkService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\ESET\nod32krn.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Heure de fin: 2009-02-21 12:02:33 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-02-21 11:02:28

Avant-CF: 893 194 240 octets libres
Après-CF: 831,852,544 octets libres

277







Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:20:33, on 21/02/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Executive Software\Diskeeper\DkService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Eset\nod32krn.exe
C:\windows\system32\svchost.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\USB Disk Win98 Driver\Res.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\PowerArchiver\PASTARTER.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\windows\explorer.exe
C:\windows\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ImageShack Toolbar - {6932D140-ABC4-4073-A44C-D4A541665E35} - C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PowerArchiver Tray] C:\Program Files\PowerArchiver\PASTARTER.EXE
O4 - HKCU\..\Run: [Intel Physical Address Aventis 1.3] C:\windows\wciactrl.exe
O4 - HKUS\S-1-5-18\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: CleanTemps.cmd.lnk = C:\CleanTemps.cmd
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Post Image to Blog - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5003
O8 - Extra context menu item: Tag This Image - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5002
O8 - Extra context menu item: Transload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5004
O8 - Extra context menu item: Upload All Images to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5000
O8 - Extra context menu item: Upload Image to ImageShack - res://C:\WINDOWS\ImageShackToolbar\ImageShackToolbar.dll/5001
O15 - Trusted Zone: http://toolbar.imageshack.us
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.cyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/ImageShackToolbar.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - https://tiragesphoto.fnac.com/
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS\system\svhost.exe (file missing)
0
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
21 févr. 2009 à 15:06
bonjour, tu 'navais pas installé la console de récupération , comme demandé, tu dis
N.B. : Les alertes ont continué dès le redémarrage (Alors que Combofix n'avait pas encore généré son rapport.). 
tu as toujours tes alertes il te les signale ou exactement as tu le chemin complet , pour moi cela resemble fort à un faut positif de la par de ton anti-virus essais de faire un scan en ligne avec soit bitdéfender ou kaspersky
0
Pidjey
Messages postés
19
Date d'inscription
mardi 17 février 2009
Statut
Membre
Dernière intervention
15 juin 2010

22 févr. 2009 à 12:02
Bonjour,

Pour la console de récupération, il a généré un message d'erreur pendant qu'il l'installait, dont je ne me souviens plus du contenu exact, et a directement enchaîné sur l'étape suivante.

Les alertes concernaient toujours le fichier C:\WINDOWS\system32\drivers\etc\hosts (sans extension) et des fichiers du même nom provenant de sites tiers. Seulement je crois que quelque chose a merdé : pour utiliser Combofix, j'ai comme demandé coupé ma connexion puis fermé mes antivirus et pare-feu, mais au cours de son fonctionnement il m'a demandé de réactiver ma connexion, ce que j'ai fait avec un gros scepticisme sans remettre mes protections... Résultat, il semblerait que j'ai bouffé d'une manière profondément logique, un voire plusieurs autres virus. À savoir, je reçois de nouvelles alertes concernant les fichiers C:\WINDOWS\wciactrl.exe, C:\WINDOWS\system32\frnscli32.dll, C:\WINDOWS\system32\txsocm32.dll, que nod32 me promet à chaque fois de supprimer au prochain redémarrage, ce qui ne se produit malheureusement pas.

Bref, tout ça pour dire que Kaspersky a bien évidemment trouvé des saloperies partout (Et pour le coup, nod32 aussi quand j'ai fait une analyse en suivant.). Le rapport d'hier soir suit. Je vais faire un nouveau scan depuis que nod32 est passé et je le poste ensuite.

Pidjey.

-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Saturday, February 21, 2009 7:39:12 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 21/02/2009
Enregistrements dans la base antivirus Kaspersky : 1648382
-------------------------------------------------------------------------------

Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
G:\

Statistiques de l'analyse:
Total d'objets analysés: 102019
Nombre de virus trouvés: 11
Nombre d'objets infectés: 59 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 01:48:41

Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Paul\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\ESET\cache\CACHE.NDB L'objet est verrouillé ignoré
C:\Program Files\ESET\cache\FND1.NFI/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\Program Files\ESET\cache\FND1.NFI/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\Program Files\ESET\cache\FND1.NFI/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\Program Files\ESET\cache\FND1.NFI RAR: infecté - 3 ignoré
C:\Program Files\ESET\cache\FND1.NFI PE-Crypt.XorPE: infecté - 3 ignoré
C:\Program Files\ESET\cache\FND10.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND11.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND12.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND13.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND14.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND15.NFI Infecté : Trojan.Win32.Agent.bpfz ignoré
C:\Program Files\ESET\cache\FND6.NFI Infecté : Net-Worm.Win32.Kido.fa ignoré
C:\Program Files\ESET\cache\FND7.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND8.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FND9.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDA.NFI Infecté : Net-Worm.Win32.Kido.ed ignoré
C:\Program Files\ESET\cache\FNDB.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDC.NFI Infecté : Net-Worm.Win32.Kido.cf ignoré
C:\Program Files\ESET\cache\FNDD.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDE.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\cache\FNDF.NFI Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\0YT3RCDA.NQF Infecté : Trojan.Win32.Agent.bpfz ignoré
C:\Program Files\ESET\infected\2Q4ZS2AA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\2VZMB5CA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\34GWPSCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF RAR: infecté - 3 ignoré
C:\Program Files\ESET\infected\4BPS4CAA.NQF PE-Crypt.XorPE: infecté - 3 ignoré
C:\Program Files\ESET\infected\4FA3XECA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\AC0CJ2CA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\BN4NMLAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\BN4NMLAB.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\D5HO2VBA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\EBKPUDAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\FVWUDXCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\IJIM3FDA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\KGO2FMCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\LESZQGAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\LMTL11CA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\MG2UXWAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\NO3UFNCA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\NTRDL0BA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF/keygen.exe Infecté : Trojan-Dropper.Win32.Small.ayg ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF/serial.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF/install.exe Infecté : Trojan-Downloader.Win32.Small.eqn ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF RAR: infecté - 3 ignoré
C:\Program Files\ESET\infected\RIKRA4AA.NQF PE-Crypt.XorPE: infecté - 3 ignoré
C:\Program Files\ESET\infected\RJFNMZDA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\SC5QLQBA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\VAQNJICA.NQF Infecté : Trojan-Downloader.Win32.IstBar.nk ignoré
C:\Program Files\ESET\infected\VFOLQECA.NQF Infecté : Trojan.Win32.Agent.boky ignoré
C:\Program Files\ESET\infected\Y5YXOAAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\YYHJJZAA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\YYHJJZAB.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\ZHA1PDBA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\infected\ZIQWKFDA.NQF Infecté : Net-Worm.Win32.Kido.ih ignoré
C:\Program Files\ESET\logs\virlog.dat L'objet est verrouillé ignoré
C:\Program Files\ESET\logs\warnlog.dat L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\A0001520.exe L'objet est verrouillé ignoré
C:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\18.scr Infecté : Trojan-Dropper.Win32.Agent.ahgv ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\etc\hosts L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\frnscli32.dll L'objet est verrouillé ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl L'objet est verrouillé ignoré
C:\WINDOWS\system32\txsocm32.dll L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wciactrl.exe L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
D:\System Volume Information\_restore{4EA669DD-EEA8-45B9-BB70-941E5B49C4C1}\RP2\change.log L'objet est verrouillé ignoré
D:\Temp\Perflib_Perfdata_2fc.dat L'objet est verrouillé ignoré
D:\Temp\Perflib_Perfdata_71c.dat L'objet est verrouillé ignoré
D:\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

Analyse terminée.
0
jacques.gache
Messages postés
33442
Date d'inscription
mardi 13 novembre 2007
Statut
Contributeur sécurité
Dernière intervention
25 janvier 2016
1 644
22 févr. 2009 à 12:17
si tes fichiers sont toujours sur ton pc fais les analyser sur virus total un par un et si ils sont néfaste on les supprimera manuelement
C:\WINDOWS\wciactrl.exe, C:\WINDOWS\system32\frnscli32.dll, C:\WINDOWS\system32\txsocm32.dll, c:\windows\system32\18.scr

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :<gars>
c:\windows\system32\18.scr
C:\WINDOWS\wciactrl.exe
C:\WINDOWS\system32\frnscli32.dll
C:\WINDOWS\system32\txsocm32.dll</gras>

Clique sur envoyer le lien.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
0