Rootkit nmdfgds0.dll

marielelephante -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Depuis 2 bonnes semaines, mon antivirus (avast) detecte ce rootkit : C:\WINDOWS\SYSTEM32\nmdfgds0.dll
Il me propose de le supprimer mais ne le fait pas réellement puisqu'il est de retour à chaque démarrage.
J'ai lu des choses à son sujet sur plusieurs forums. Il semble qu'il y ai pas mal de manip à faire dont des analyses à interpréter... N'étant ps une pro de l'informatique, je ne me sens pas de recopier toutes ces manip' sans l'aide d'une personne avisée...
Bref, si qqun pense pouvoir m'aider à me débarasser de ce rootkit, d'avance un grand merci !

Marielelephante
Configuration: Windows XP
Internet Explorer 7.0

18 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
    1. marielelephante
       
      Mercie de votre rapidité !
      Voici le contenu de log.txt :

      Logfile of random's system information tool 1.05 (written by random/random)
      Run by Marie Colin at 2009-03-15 12:51:32
      Microsoft Windows XP Édition familiale Service Pack 2
      System drive C: has 46 GB (61%) free of 76 GB
      Total RAM: 1022 MB (45% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 12:51:50, on 15/03/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16791)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\LEXBCES.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\LEXPPS.EXE
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
      C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      C:\WINDOWS\system32\svchost.exe
      C:\PROGRA~1\ESRI\License\arcgis9x\ARCGIS.exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
      C:\Program Files\Fichiers communs\AOL\1166557831\ee\AOLSoftware.exe
      C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
      C:\Program Files\Real\RealPlayer\RealPlay.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
      C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Picasa2\PicasaMediaDetector.exe
      C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\DAEMON Tools\daemon.exe
      C:\Program Files\Microsoft ActiveSync\wcescomm.exe
      C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
      C:\Program Files\HPQ\SHARED\HPQWMI.exe
      C:\PROGRA~1\MICROS~4\rapimgr.exe
      c:\program files\fichiers communs\aol\1166557831\ee\aolsoftware.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Documents and Settings\Marie Colin\Bureau\RSIT.exe
      C:\Program Files\trend micro\Marie Colin.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf-pmf.univ-paris1.fr/
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = squid.pnrb.com:3129
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
      O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
      O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
      O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
      O4 - HKLM\..\Run: [HostManager] C:\Program Files\Fichiers communs\AOL\1166557831\ee\AOLSoftware.exe
      O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
      O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
      O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
      O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
      O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
      O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_04\bin\ssv.dll
      O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
      O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
      O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
      O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
      O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
      O16 - DPF: Garmin Communicator Plug-In - https://my.garmin.com/mygarmin/m/GarminAxControl.CAB
      O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
      O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.mypix.com/importer/ImageUploader4.cab
      O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
      O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: ArcGIS License Manager - Unknown owner - C:\PROGRA~1\ESRI\License\arcgis9x\lmgrd.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Google Update Service (gupdate1c999a7271a80aa) (gupdate1c999a7271a80aa) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
      O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
      O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour t'aider et aider les autres fais ceci svp:

    telecharge ce fichier : http://sd-1.archive-host.com/membres/up/116615172019703188/Fdc.zip

    sur le bureau , dezippe le et double clic sur FDC.reg , et enfin accepte la fusion avec le registre

    _______________

    Affiche tous les fichiers et dossiers :
    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK

    ______________

    Telecharge 7 zip

    http://ovh.dl.sourceforge.net/sourceforge/sevenzip/7z465.exe

    et enregistre le sur le bureau , ensuite double clic sur 7z465.exe et instal 7 zip.

    ensuite fais un clic droit sur ces fichiers : "le fichier voulu" (donc avec les fichiers suivants)

    C:\uxkl0apt.bat
    C:\WINDOWS\system32\nmdfgds0.dll
    C:\xdw.com
    C:\cb.exe
    C:\u.com
    C:\i.com
    C:\2.bat
    C:\WINDOWS\system32\nmdfgds1.dll
    C:\o.exe
    C:\WINDOWS\system32\olhrwef.exe

    choisi 7 z et add to archive (et dans le format change l'archive format 7z et choisi ZIP) et remome l archive exemple en chiki

    ensuite fais moi parvenir cette archive par ce biais : http://www.cijoint.fr/

    (envoiis le fichier sur ce lien qui te donnera un lien où l'archive est stockée: donne moi ce lien)

    Ceci permettra aux créateurs d outils de faire leurs mises a jours .. blabla ;)

    une fois que tu m'auras donné ces liens

    fais ceci

    Pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    _______________

    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    _________________

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    F:\RECYCLED\INFO.exe
    F:\o.exe
    F:\cb.exe
    C:\uxkl0apt.bat
    C:\WINDOWS\system32\nmdfgds0.dll
    C:\xdw.com
    C:\cb.exe
    C:\u.com
    C:\i.com
    C:\2.bat
    C:\WINDOWS\system32\nmdfgds1.dll
    C:\o.exe
    C:\WINDOWS\system32\olhrwef.exe
    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{004f84f8-87e1-11dc-8354-00038a000015}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{294dc2c0-2d5b-11dd-844b-0014a54de9b1}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3412f593-afc8-11dc-8394-00038a000015}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6aaba468-bf80-11dc-83a4-00038a000015}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6b86c462-c04d-11dc-83a6-00038a000015}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77d89ffa-1032-11db-8153-0014a54de9b1}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db660b5a-7f60-11dd-84e5-0014a54de9b1}]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  3. marielelephante
     
    Voici le lien avec l'archive Chiki, je fais la suite des manip'

    http://www.cijoint.fr/cjlink.php?file=cj200903/cijUMvQNFy.zip

    Merci beaucoup !
    0
    1. marielelephante
       
      Voici le contenu du rapport combofix :


      ComboFix 09-03-14.01 - Marie Colin 2009-03-15 14:32:33.1 - NTFSx86
      Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1022.373 [GMT 1:00]
      Lancé depuis: c:\documents and settings\Marie Colin\Bureau\ComboFix.exe
      Commutateurs utilisés :: c:\documents and settings\Marie Colin\Bureau\CFscript.txt
      AV: avast! antivirus 4.8.1335 [VPS 090314-0] *On-access scanning enabled* (Updated)
      * Un nouveau point de restauration a été créé

      FILE ::
      C:\2.bat
      C:\cb.exe
      C:\i.com
      C:\o.exe
      C:\u.com
      C:\uxkl0apt.bat
      c:\windows\system32\nmdfgds0.dll
      c:\windows\system32\nmdfgds1.dll
      c:\windows\system32\olhrwef.exe
      C:\xdw.com
      F:\cb.exe
      F:\o.exe
      f:\recycled\INFO.exe
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\2.bat
      C:\autorun.inf
      C:\cb.exe
      C:\i.com
      C:\o.exe
      C:\u.com
      C:\uxkl0apt.bat
      c:\windows\system32\nmdfgds0.dll
      c:\windows\system32\nmdfgds1.dll
      c:\windows\system32\olhrwef.exe
      C:\xdw.com

      .
      ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-15 au 2009-03-15 ))))))))))))))))))))))))))))))))))))
      .

      2009-03-15 14:18 . 2009-03-15 14:23 929,219 --a------ C:\chiki.zip
      2009-03-15 14:16 . 2009-03-15 14:16 <REP> d--h----- c:\windows\PIF
      2009-03-15 12:51 . 2009-03-15 12:51 <REP> d-------- C:\rsit
      2009-03-15 12:51 . 2009-03-15 12:51 <REP> d-------- c:\program files\trend micro
      2009-03-11 15:30 . 2009-03-11 15:31 1,374 --a------ c:\windows\imsins.BAK
      2009-03-11 11:38 . 2009-03-11 11:38 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
      2009-03-11 11:38 . 2009-03-11 11:38 <REP> d-------- C:\ArcScripts
      2009-03-11 10:15 . 2009-03-11 10:15 <REP> d-------- C:\Addinsoft
      2009-03-11 10:14 . 2009-03-11 10:14 <REP> d-------- c:\program files\Addinsoft
      2009-03-10 19:15 . 2009-03-10 19:15 10 --a------ c:\windows\popcinfo.dat
      2009-03-10 18:58 . 2009-03-10 18:58 <REP> d-------- c:\program files\PopCap Games
      2009-02-28 15:26 . 2009-03-08 23:09 <REP> d-------- c:\documents and settings\Marie Colin\Application Data\DeskSoft
      2009-02-28 15:26 . 2009-02-28 15:26 62,976 --a------ c:\windows\DTDraw.dll
      2009-02-28 15:17 . 2009-02-28 15:17 <REP> d-------- c:\documents and settings\Marie Colin\Application Data\OpenOffice.org
      2009-02-28 15:14 . 2009-02-28 15:14 <REP> d-------- c:\program files\OpenOffice.org 3
      2009-02-28 15:14 . 2009-02-28 15:14 <REP> d-------- c:\program files\JRE
      2009-02-28 14:40 . 2009-02-28 14:40 <REP> d-------- c:\documents and settings\Marie Colin\Application Data\Safe Software

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-03-15 13:35 --------- d-----w c:\program files\7-Zip
      2009-03-15 12:38 --------- d-----w c:\documents and settings\Marie Colin\Application Data\XnView
      2009-03-15 10:32 --------- d-----w c:\documents and settings\Marie Colin\Application Data\gtk-2.0
      2009-03-12 19:43 --------- d-----w c:\program files\Lexmark X1100 Series
      2009-03-11 14:29 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
      2009-03-11 09:16 --------- d--h--w c:\program files\InstallShield Installation Information
      2009-03-05 17:09 --------- d-----w c:\program files\Hp
      2009-02-28 13:20 --------- d-----w c:\program files\Google
      2009-02-16 19:37 --------- d-----w c:\program files\Fichiers communs\Teleca Shared
      2009-02-10 14:13 --------- d-----w c:\documents and settings\Marie Colin\Application Data\GARMIN
      2009-02-09 14:30 --------- d-----w c:\documents and settings\Marie Colin\Application Data\ESRI
      2009-02-07 12:48 --------- d-----w c:\documents and settings\Marie Colin\Application Data\Teleca
      2009-01-17 18:06 --------- d-----w c:\program files\Picasa2
      2009-01-17 18:02 --------- d-----w c:\program files\Western Digital
      2009-01-16 17:20 --------- d-----w c:\program files\CDex_150
      2008-01-31 09:49 72,560 ----a-w c:\documents and settings\Marie Colin\Application Data\GDIPFONTCACHEV1.DAT
      2008-01-31 09:03 1,168 ----a-w c:\documents and settings\Marie Colin\Application Data\wklnhst.dat
      2006-10-24 17:04 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]
      "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-29 68856]
      "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
      "DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-04-03 165784]
      "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-09-27 344064]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-06-19 729178]
      "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-05-04 794624]
      "LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
      "eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2005-10-11 409600]
      "Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2005-08-01 233534]
      "HostManager"="c:\program files\Fichiers communs\AOL\1166557831\ee\AOLSoftware.exe" [2006-11-17 50736]
      "Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
      "RealTray"="c:\program files\Real\RealPlayer\RealPlay.exe" [2006-10-24 26112]
      "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-09-07 267064]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
      "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
      "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
      "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]
      "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

      c:\documents and settings\Marie Colin\Menu D‚marrer\Programmes\D‚marrage\
      OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-07 101440]

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"=
      "c:\\Program Files\\Fichiers communs\\AOL\\1166557831\\ee\\aolsoftware.exe"=
      "c:\\Program Files\\iTunes\\iTunes.exe"=
      "c:\\Program Files\\ESRI\\License\\arcgis9x\\ARCGIS.EXE"=
      "c:\\Program Files\\ESRI\\License\\arcgis9x\\lmgrd.exe"=
      "c:\\Program Files\\Neuf\\Kit\\9props.exe"=
      "c:\\Program Files\\Neuf\\Kit\\9conf.exe"=
      "c:\\Program Files\\Movie Maker\\moviemk.exe"=
      "c:\\Program Files\\Neuf\\Kit\\9launch.exe"=
      "c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
      "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
      "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
      "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
      "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
      "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

      R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-28 114768]
      R2 ArcGIS License Manager;ArcGIS License Manager;c:\progra~1\ESRI\License\arcgis9x\lmgrd.exe [2007-10-27 467968]
      R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-07-28 20560]
      R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2005-08-22 231424]
      S2 gupdate1c999a7271a80aa;Google Update Service (gupdate1c999a7271a80aa);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-28 133104]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
      \Shell\AutoRun\command - E:\LaunchU3.exe -a
      .
      Contenu du dossier 'Tâches planifiées'

      2009-03-15 c:\windows\Tasks\GoogleUpdateTaskMachine.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-02-28 14:18]
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      ShellIconOverlayIdentifiers-{E4000AC4-5E5F-4956-807A-C5854405D64F} - %SystemRoot%\system32\VirtualExpander\VEShellExt.dll
      HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe


      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://home.neuf.fr/
      uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
      uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
      uInternet Settings,ProxyServer = squid.pnrb.com:3129
      uInternet Settings,ProxyOverride = <local>
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
      DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/mygarmin/m/GarminAxControl.CAB
      FF - ProfilePath - c:\documents and settings\Marie Colin\Application Data\Mozilla\Firefox\Profiles\y3ratujn.default\
      FF - prefs.js: browser.startup.homepage - hxxp://home.neuf.fr/
      FF - prefs.js: network.proxy.ftp - squid.pnrb.com
      FF - prefs.js: network.proxy.ftp_port - 3129
      FF - prefs.js: network.proxy.gopher - squid.pnrb.com
      FF - prefs.js: network.proxy.gopher_port - 3129
      FF - prefs.js: network.proxy.http - squid.pnrb.com
      FF - prefs.js: network.proxy.http_port - 3129
      FF - prefs.js: network.proxy.socks - squid.pnrb.com
      FF - prefs.js: network.proxy.socks_port - 3129
      FF - prefs.js: network.proxy.ssl - squid.pnrb.com
      FF - prefs.js: network.proxy.ssl_port - 3129
      FF - prefs.js: network.proxy.type - 2
      FF - plugin: c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dll
      FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
      .

      **************************************************************************

      catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-03-15 14:37:00
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????0?1?1?9??????? ???B?????????????hLC? ??????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(756)
      c:\windows\system32\Ati2evxx.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\ati2evxx.exe
      c:\program files\Alwil Software\Avast4\aswUpdSv.exe
      c:\program files\Alwil Software\Avast4\ashServ.exe
      c:\windows\system32\LEXBCES.EXE
      c:\windows\system32\LEXPPS.EXE
      c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
      c:\windows\system32\ati2evxx.exe
      c:\progra~1\ESRI\License\arcgis9x\ARCGIS.EXE
      c:\program files\Lexmark X1100 Series\lxbkbmon.exe
      c:\program files\HPQ\Shared\hpqwmi.exe
      c:\progra~1\MICROS~4\rapimgr.exe
      c:\program files\iPod\bin\iPodService.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-03-15 14:41:22 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-03-15 13:41:19

      Avant-CF: 48 601 456 640 octets libres
      Après-CF: 48,616,435,712 octets libres

      WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=AlwaysOff /fast detect

      222 --- E O F --- 2009-03-11 14:31:11
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait!

    vire le fichier chiki:

    C:\chiki.zip

    __________________

    vire le fichier quarantine situé dans C puis poste de travail puis C puis qoobox
    ____________________

    l'infection a été vireé
    ____________________

    Mettre a jour java:

    Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries.
    Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
    Double-clique sur le répertoire JavaRa obtenu.
    Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)
    Clique sur Search For Updates.
    Sélectionne Update Using jucheck.exe puis clique sur Search.
    Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
    Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
    Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
    Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
    Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log
    (c:\JavaRa.log)
    Ferme l'application.

    si cela ne fonctionne pas

    https://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80

    tu peux désinstaller les vieilles versions.

    _____________________

    pour verifier ton pc car avast est moyen:

    scan rapide avec
    MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    puis

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. marielelephante
     
    Le rapport pour JavaRa. log La suite arrive....

    JavaRa 1.13 Removal Log.

    Report follows after line.

    ------------------------------------

    The JavaRa removal process was started on Sun Mar 15 18:22:53 2009

    Found and removed: C:\Program Files\Java\jre1.5.0_05

    Found and removed: C:\Program Files\Java\jre1.6.0_04

    Found and removed: Software\JavaSoft\Java2D\1.5.0_05

    Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D510005

    Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D510005

    Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D510005

    Found and removed: SOFTWARE\Classes\JavaPlugin.150_05

    Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

    Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.5.0_05

    Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5

    Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.5.0_05

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D510005

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D510005

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0150050}

    Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBB}

    Found and removed: SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBC}

    Found and removed: SOFTWARE\Classes\Installer\Features\8A0F842331866D117AB7000B0D610004

    Found and removed: SOFTWARE\Classes\Installer\Products\8A0F842331866D117AB7000B0D610004

    Found and removed: SOFTWARE\Classes\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610004

    Found and removed: SOFTWARE\Classes\JavaPlugin.160_04

    Found and removed: SOFTWARE\JavaSoft\Java Plug-in\1.6.0_04

    Found and removed: SOFTWARE\JavaSoft\Java Runtime Environment\1.6.0_04

    Found and removed: SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\7A0F842331866D117AB7000B0D610004

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ACBB9B2318A96D117A58000B0D610004

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\8A0F842331866D117AB7000B0D610004

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160040}

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.5.0_05

    Found and removed: Software\Classes\JavaPlugin.160_04

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.6.0_04

    Found and removed: Software\JavaSoft\Java2D\1.6.0_04

    Found and removed: Software\JavaSoft\Java Runtime Environment\1.6.0_04

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.5.0_05\

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_04\

    Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\Java\jre1.6.0_04\bin\

    ------------------------------------

    Finished reporting.
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok et merci pour les fichier donnés cela va en aider certains!

    a plus pour la suite
    0
  8. marielelephante
     
    Désolée pour l'attente, le scan MalwareByte's Anti-Malware est vraiment très long !
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    c'est pourquoi j'avais mis un rapide :)

    a plus
    0
  10. marielelephante
     
    le scan MalwareByte's Anti-Malware est toujours en cours, mais depuis 5 min Avast trouve un cheval de troie toutes les minutes !!!
    En voici quelques uns :

    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP322\A0090623.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP322\A0090889.dll
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP322\A0090890.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP322\A0090906.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP322\A0090909.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0090927.bat
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0090954.bat

    Je tente des mises quarantaines mais je ne sais si ça marche car il continue d'en trouver des nouveaux....

    Est ce que ça a un lien avec nos manip' précédentes ??
    0
  11. marielelephante
     
    Encore d'autres trouvés par Avast !!

    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0090957.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0090958.dll
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0090990.com
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0090995.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0090996.dll
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091053.com
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091055.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091056.dll
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091071.com
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091126.com
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091129.exe
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091130.dll
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP330\A0091619.bat
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP330\A0091621.com
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP330\A0091623.com

    Quant à MalwareByte's Anti-Malware il n'a rien detecté pour l'instant
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    aucun souci pour ce qui est trouvé par avast ils o sont tous dans la restauration! pour les virer a la fin il suffit de faire ceci:

    désactive ta restauration puis redémarre ton ordi puis réactive la pour virer les infections qui seraient dedans
    https://www.informatruc.com
    0
  13. marielelephante
     
    Ok merci, je vais faire ça....

    Voici enfin le rapport de MalwareByte's Anti-Malware :

    Malwarebytes' Anti-Malware 1.34
    Version de la base de données: 1851
    Windows 5.1.2600 Service Pack 2

    15/03/2009 20:03:59
    mbam-log-2009-03-15 (20-03-59).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 198305
    Temps écoulé: 1 hour(s), 21 minute(s), 49 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Je lance le scan en ligne avec kapersky
    0
  14. marielelephante
     
    Voici le résultat du scan en ligne avec kapersky :

    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Sunday, March 15, 2009 10:33:22 PM
    Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.84.2
    Dernière mise à jour de la base antivirus Kaspersky : 15/03/2009
    Enregistrements dans la base antivirus Kaspersky : 1725319
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: standard
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    C:\
    D:\
    E:\

    Statistiques de l'analyse:
    Total d'objets analysés: 100294
    Nombre de virus trouvés: 5
    Nombre d'objets infectés: 21 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 01:59:59

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Documents and Settings\All Users\Application Data\AOL\UserProfiles\All Users\cls\common.cls L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Application Data\$_hpcst$.hpc L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Application Data\AOL\UserProfiles\All Users\cls\common.cls L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Application Data\Microsoft\Feeds Cache\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Historique\History.IE5\MSHist012009031520090316\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Temp\lmgrd9.log L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Temp\WCESLog.log L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\Marie Colin\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\flexlm\ARCGIS L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré
    C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
    C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091065.dll Infecté : Trojan-GameThief.Win32.Magania.awsn ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091072.inf Infecté : Trojan-GameThief.Win32.Magania.awjg ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP324\A0091127.inf Infecté : Trojan-GameThief.Win32.Magania.awjg ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP325\A0091133.exe Infecté : Trojan-GameThief.Win32.Magania.awqe ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP325\A0091150.exe Infecté : Trojan-GameThief.Win32.Magania.awqe ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP326\A0091170.exe Infecté : Trojan-GameThief.Win32.Magania.awqe ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP327\A0091236.exe Infecté : Trojan-GameThief.Win32.Magania.awqe ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP328\A0091314.exe Infecté : Trojan-GameThief.Win32.Magania.awqe ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP328\A0091348.exe Infecté : Trojan-GameThief.Win32.Magania.awqe ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP328\A0091350.exe Infecté : Trojan-GameThief.Win32.Magania.awqe ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP328\A0091379.exe Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091381.exe Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091434.exe Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091469.exe Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091497.exe Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091499.exe Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091500.dll Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091530.com Infecté : Trojan-GameThief.Win32.Magania.awrr ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP329\A0091532.exe Infecté : Trojan-GameThief.Win32.Magania.awrr ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP330\A0091620.exe Infecté : Trojan-GameThief.Win32.Magania.awqv ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP330\A0091627.com Infecté : Trojan-GameThief.Win32.Magania.awrr ignoré
    C:\System Volume Information\_restore{B8687C25-491C-4B92-A950-D228172F494F}\RP331\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Canal+.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\ODiag.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\OSession.evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
    C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\Perflib_Perfdata_618.dat L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\Perflib_Perfdata_fc.dat L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

    Analyse terminée.
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok toutes les infections sont dans ta restauration alors:

    vire ce qui est en quarantaine dans malwarebyte et avast puis

    désactive ta restauration puis redémarre ton ordi puis réactive la pour virer les infections qui seraient dedans
    https://www.informatruc.com

    ________________________

    pour éviter de l'attraper a nouveau branche tes clés usb et:

    Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    Double-clique sur l’icône.
    Les icônes vont disparaître. C’est normal.
    Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
    Redémarre ensuite le PC.

    ________________________

    pour virer ce qui a été utilisé:

    Télécharge ToolsCleaner sur ton bureau.
    --> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
    # Clique sur Recherche et laisse le scan agir ...
    # Clique sur Suppression pour finaliser.
    # Tu peux, si tu le souhaites, te servir des Options facultatives.
    # Clique sur Quitter pour obtenir le rapport.
    # Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    ________________________

    rq:

    pour protéger gratos ton ordi

    http://www.commentcamarche.net/telecharger/logiciel 4 securite

    mettre un antivirus

    ANTIVIR ou AVG8 ou (AVAST )
    https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
    https://www.avira.com/fr/free-antivirus-windows
    -------------
    des anti-espions :
    MalwareByte's Anti-Malware + SPYBOT +/- si tea timer non active de spybot:
    WINDOWS DEFENDER ou SPYWARE TERMINATOR
    +
    SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

    Rq : spybot … sortent de nouvelles versions régulièrement, vérifiez que vous avez la dernière version
    --------
    un pare feu :
    celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO

    http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall
    https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html
    https://forum.pcastuces.com/sujet.asp?f=25&s=35606
    https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
    https://manuelsdaide.com/contact/
    http://www.open-files.com/forum/index.php?showtopic=29277
    https://www.01net.com/telecharger/windows/Securite/firewall/fiches/18128.html

    -----------
    CCLEANER pour effacer les traces de surf
    ---------
    naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
    http://www.mozilla-europe.org/fr/products/firefox/
    0
  16. marielelephante
     
    Bonjour,

    Je ne peux pas faire toutes les manip' que tu me conseilles car je n'ai pas mon PC aujourd'hui...
    Mais je ne manquerai pas de les faire afin d'être bien protégée. je tposterai les rapports s'il y en a...

    En tout cas un GRAND MERCI pour tous ces bons conseils, mon rootkit malveillant est bel et bien supprimé...

    Bonne journée !
    0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok à plus
    0
  18. marielelephante
     
    Par rapport à vos derniers conseil :

    Par de rapport généré pour mes clé USB

    Le rapport de Tools cleaner :

    [ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ]

    -->- Recherche:

    C:\Combofix.txt: trouvé !
    C:\Qoobox: trouvé !
    C:\Rsit: trouvé !
    C:\Documents and Settings\Marie Colin\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\Marie Colin\Bureau\Rsit.exe: trouvé !
    C:\Program Files\trend micro\HijackThis.exe: trouvé !
    C:\Program Files\trend micro\hijackthis.log: trouvé !

    ---------------------------------
    -->- Suppression:

    C:\Documents and Settings\Marie Colin\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
    C:\Program Files\trend micro\HijackThis.exe: supprimé !
    C:\Combofix.txt: supprimé !
    C:\Documents and Settings\Marie Colin\Bureau\Rsit.exe: supprimé !
    C:\Program Files\trend micro\hijackthis.log: supprimé !
    C:\Qoobox: supprimé !
    C:\Rsit: supprimé !

    Sinon, tout semble bien fonctionner....
    Encore merci encore pour votre aide !
    0
  19. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait

    bonne continuation!
    0