Aide pour désinfection

Résolu
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention   -  
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous et bravo pour votre forum que je consulte régulièrement, il m'a sauvé une paye de fois. Cette fois je me jette à l'eau et poste car je ne vais pas m'en sortir seul.
Mon pc ramait depuis quelques temps (lent dans explorer, dans les transferts de fichiers, mes clés usb ne s'ouvraient pas, IMPOSSIBLE d'afficher les dossiers cachés par la méthode classique, etc.), je fonctionnait avec Avast et le pare feu Windows. Un beau jour, PLUS MOYEN D'ACCEDER A XP: l'ordi démarrait.. puis s'éteignait et redémarrait juste avant d'accéder aux comptes utilisateurs et tout ça en boucle quelques soit l'alternative (mode sans échec, choix de la dernière bonne configuration ou autres). J'ai donc utilisé un disque dur supplémentaire et installé xp dessus pour sauvegarder mes dossiers issu du disque dur qui me posait problème. Depuis j'ai réinstallé seulement mon disque dur défaillant (pour voir) et ça fonctionne de nouveau comme avant...Je n'y comprends rien. J'EN VIENS DONC A MON PROBLEME: mon nouvel antivirus : Antivir a détécté des vers et trojans dont je n'arrive pas à me débarasser je les retrouve toujours dans un dossier caché diffférent même après suppression, mes supports amovibles semblent contaminés aussi (Mémory stick, dd externe notamment). Ma question: quelqu'un saurait-il me conseiller pour un vrai nettoyage de tout ce bazar.
J'ai très envie de lancer Hijackthis mais je ne sais pas si c'est le meilleur moyen ni comment je ferai avec le rapport...
NB : les menaces détectées sont: "TR/Crypt.XPACK.Gen" et TR/Zlot.2604" trouvés dans "RECYCLER", puis dans " System volume information" et encore dans "RECYCLER.BIN" (également détecté WORM/Autorun.edc.1). J'utilise antivir et zone alarm.
Alors j'en fais appel à tous ceux qui aurait un moment à me consacrer.
Merci par avance pour vos conseils

29 réponses

  • 1
  • 2
Réponse 1 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
  
NB : les menaces détectées sont: "TR/Crypt.XPACK.Gen" et TR/Zlot.2604" trouvés dans "RECYCLER", puis dans " System volume information" et encore dans "RECYCLER.BIN" (également détecté WORM/Autorun.edc.1)


bonjour, pour le premier RECYCLER est la corbeille il suffit de la vider
pour le second System volume information c'est la restauration système il suffit de la déactiver et de la réactiver pour la purger , mais à faire que si le pc est exant de toute autre infection
et puis pour autorun tu peux utiliser flash désinfector , tu fais donc ce qui suis dans l'ordre , merci

1)Téléchargez Flash_Disinfector de sUBs : https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe


.enregistres le sur le bureau
.branches tous tes lecteurs amovible ( DD externe, clés usb...) ferme toutes tes applications en cour
.N'utilise pas le double-clique tout le temps que l'infection n'est pas supprimée
.cliques droit et ouvrir
.sur le message qui suit tu cliques sur OK
.laisses le travailler et sur le petit message qui apparrait cliques sur OK


2) passes Ccleaner avec ces réglages LA



télécharge Ccleaner à partir de cette adresses


.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur intaller
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.cochesla première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vériffis en relancant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner



et pour mieux le connaire : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm



3) postes un rapport hijackthis

HijackThis est un outil développé par merijn, capable de détecter les composants ajoutés à votre navigateur, les programmes lancés au démarrage du système, etc. Le programme vous permet de consulter tous les éléments et éventuellement de les retirer de l'ordinateur. HijackThis est, par exemple, en mesure de forcer le changement de la page d'accueil. Cette fonction est particulièrement utile lorsque votre navigateur ne vous permet plus de modifier la page d'accueil car un site se l'est appropriée ! Le logiciel peut également enregistrer des paramètres par défaut et ignorer certains éléments définis.

télécharge Hijackthis : http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

.cliques sur download
.cliques sur download Hijackthis installer
.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"


si besion d'aide pour l'installation : https://www.malekal.com/tutoriel-hijackthis/

et si problème pour VISTA :https://blog.sosordi.net/category/articles


des expliquations en images pour l'utiliser : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement
2
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai en fait essayé d'enregistrer Flash_Disinfector de sUBs, mais problème: ANTIVIR me dit qu'il contient le modèle de detection du ver WORM/Generic.4084 et me fait une alerte. Est-ce normal ? Dois -je ignorer ? C'est peut-être une question bête mais je marche sur des oeufs en ce moment.
Merci
0
Réponse 2 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, oui il arrive que certain anti-virus réagisse avec les outils de ce genre tu recommences en prenant le temps de déactiver ton anti-virus " attention il arrive qu'il ne marche plus après la réaction de l'anti-virus donc désinstalle flash désinfectore et réinstalle le si besoin"
1
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,
Ce matin j'ai suivi le plan travail que tu m'as fourni et la phase 2 (ccleaner) est terminée. Cependant un détail me chiffonne dans le log de nettoyage, il me dit (après un 2ème nettoyage) :

ANALYSE COMPLETE - (0.068 secs)
------------------------------------------------------------------------------------------
65,51KB ont été supprimés. (Taille approximative)
------------------------------------------------------------------------------------------

Détails des fichiers à supprimer (Note: AUCUN fichier n'a pour l'instant été supprimé)
------------------------------------------------------------------------------------------
C:\WINDOWS\Internet Logs\ZALog.txt 65,51KB
------------------------------------------------------------------------------------------
Comme tu me l'a conseillé, j'ai relancé plusieurs fois l'analyse puis le nettoyage, mais ce fichier: (C:\WINDOWS\Internet Logs\ZALog.txt 65,51KB) me reste toujours dans les pattes... j'ai quand même poursuivi et la suite ne m'indique qu'aucune erreur n'est à réparer. Tu valides, tout semble aller ? Si oui, ce soir je m'attaque à Hijackthis.
Bonne journée
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir, j'ai utilisé Hijackthis, dont voici le rapport: avis au spécialiste!
Merci par avance
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:45, on 20/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DynDNS Updater\DynDNS.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [SymLnch] C:\DOCUME~1\VACKROS\LOCALS~1\Temp\LnchStub.exe
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Program Files\DynDNS Updater\DynDNS.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Désolé je ne veux pas innonder ce forum de rapport, mais simplement pour préciser que ANTIVIR detecte toujours TR/Crypt.XPACK.Gen à l'ouverture de ma carte photo (Pourtant branchée lors de l'utilisation de Flash Desinfector de sUBs). J'ai pourtant bien suivi les étapes jusqu'au log de Hijackthis.
Pfffff, possible de s'en sortir un jour ?
0
Réponse 3 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, C:\WINDOWS\Internet Logs\ZALog.txt est lié à zone alarme et il ne dois pas pouvoir y avoir accés tout simplement , sur ton rapport hijackthis pas de traces visible d'infection mais pas mal de mise à jour comme pour IE , adobe reader , windows avec le sp3 et surrement d'autre que je ne vois pas , mais le problème est que tu as 2 anti-virus actif sur ton pc et ça c'est pas bon pour la bonne marche de celui ci car tu as antivir et la je dis très bien mais tu as encore norton et la pas bon .

1) Donc tu désinstalles 1 de tes anti-virus norton de préférence pour cela tu utilises l'outil spéciphique de chez symantec tu peux passzer après un petit coup de ccleaner sur le registre

2) regarde pourquoi garder IE à JOUR
rends toi sur ce site et met IE7 http://www.microsoft.com/downloads/details.aspx?familyid=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr


3) désinstalles adobe reader car pas à jour et telecharges et installes cette version :
http://www.commentcamarche.net/telecharger/telechargement 27 acrobat reader
ou
installes foxit reader qui est plus légé et plus rapide d'ouverture que adobe : http://www.commentcamarche.net/telecharger/telecharger 205 foxit reader



4) et puis mets windows à jour avec le sp 3 soit sur Windows update http://www.update.microsoft.com/windowsupdate/v6/default.aspx
ou télécharge le directement http://www.commentcamarche.net/telecharger/telecharger 34055430 windows xp sp3


5) fais une analyse de vulnérabilité pour voir si tu n'aurais pas d'autre mises à jour à faire que nous n'avons pas vu sur hijackthis : https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/



As tu fais la purge de la restauration système???
comment vas ton pc ???






1
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir,
non je n'ai pas fait la purge de la restauration du syteme n'étant pas sûr de ne pas être infecté par d'autres saleté. Je pourrais le faire plus tard peut-être...
Je vais donc suivre tes conseils (supp de Norton que je croyais avoir déjà fait, IE n'est pas à jour car j'utilise quasi exclusivement firefox dois faire la MAJ quand même?). Sinon un réparateur de pc m'avait conseillé après une réparation et l'instal d'une version de xp à lui de désinstaller les mise à jour de windows (ça fait 2 ou 3 ans déjà) c'était une mauvaise idée alors ?
Sinon mon pc tourne mieux, plus vite pour l'ouverture de fichiers et le transfert de dossiers. Donc ton aide m'a été très précieuse. Hélas Antivir détecte encore au moins un virus le TR/CryptXPACK.Gen, et ANTIVIR m'alerte dès que je touche à Flash Disinfector...
0
Réponse 4 / 29
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Grand merci pour ta réactivité et tes réponses détaillées, je vais donc faire tout cela et je poste le rapport demain
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
ok pas de problème à demain
0
Réponse 6 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
  
Sinon un réparateur de pc m'avait conseillé après une réparation et l'instal d'une version de xp à lui de désinstaller les mise à jour de windows

tu es sur qu'il t'a mis une version légal ?? car si il t'a dit de ne pas faire les mise à jour windows c'est surement parce qu'il t'a mis une version piraté de windows !!!
0
Réponse 7 / 29
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Pour la version de windows, j'avoue que ça me questionne...et que je ne m'en était pas préoccuppé à l'époque: tellement content de voir mon pc fonctionner à nouveau. Et voilà peut-être un nouveau problème!
Pour l'heure, je tentais de désinstaller Norton, mais le lien ne fonctionne pas !!! J'ai vu d'autres méthodes qui me paraissent très complexes, j'hésite. Sinon as-tu un avis sur le TR/Crypt.XPACK.Gen (présent sur ma carte mémoire) ?
0
Réponse 8 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
pour TR/Crypt.XPACK.Gen il est trouvé sur ta carte mais as tu le chemin exacte tu devrais la connecter et passer malwarebytes et faire un examen complet et si il trouve pas on essaira avec findykill
consernant ta licence windows ton pc était équipé avec xp avant de le mettre chez ton réparrateur ??

Télécharge Malwarebytes' Anti-Malware: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Il va se mettre à jour une fois faite
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés)

. cliques sur Supprimer la sélection

. Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. redemarre le pc
. une fois redémarré double-cliques sur malwarebytes
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller



0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ah, pétard! Encore pas de chance: le lien pour télécharger malewarebyte's fonctionne, mais celui d'après pour commencer le téléchargement ne semble pas valide non plus (comme pour la désinstallation de Norton tout à l'heure).
Faut-il désactiver mon pare feu ou antivirus ?
0
Réponse 9 / 29
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ok je vais faire tout cela. Sinon pour xp, oui: xp familliale était sur le pc à l'achat (sans cd en revanche...) et lors de mon "crash system" le réparateur avait récupérer mes données, formater mon disque dur et réinstallé xp media center.
As tu pu vérifier le lien pour désinstaller Norton?
Pour la MAJ de Internet Explorer ce n'est pas trop grave je crois car je mets à jour FireFox régulièrement (ton lien semblait confirmer que c'était une solution acceptable)
0
Réponse 10 / 29
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour, après plusieurs heures, voici le rapport Malawarebyte's:
Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 2

21/03/2009 09:51:42
mbam-log-2009-03-21 (09-51-42).txt

Type de recherche: Examen complet (C:\|D:\|I:\|L:\|Y:\|Z:\|)
Eléments examinés: 312980
Temps écoulé: 9 hour(s), 17 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Y:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
L:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Y:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Y:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Z:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\VACKROS\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Il me reste un disque dur et une carte MSpro (non branchés pdt le scan), donc je vais recommencer un nouveau scan.
Apparemment il y avait du nettoyage à faire!
0
Réponse 11 / 29
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Rapport Malware n°2:


Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 2

21/03/2009 13:29:34
mbam-log-2009-03-21 (13-29-34).txt

Type de recherche: Examen complet (C:\|D:\|I:\|L:\|N:\|)
Eléments examinés: 235159
Temps écoulé: 2 hour(s), 45 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)


Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
L:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
0
Réponse 12 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, si tu avais xp famillial sur ton pc tu dois avoir le numéro de licence de colleé sur ton pc et je vois pas pourquoi il t'a mis une autre version de windows avec ce que cela implique il aurrait du de remettre un xp famillial puisque tu avais une licence !!
je viens de vériffier et le lien pour désinstaller norton fonctionne !!
peux tu faire un rapport avec findykill, merci

Télécharge FindyKill (de Chiquitine29) merci à lui de nous l'avoir remis en ligne !!!

.Fais un double-clique sur le lien

.enregistres le sur bureau

.Lances l'installation avec les paramètres par défaut

.Double-clique sur le raccourci FindyKill sur ton bureau

.Au menu principal, choisis l'option 1 (Recherche)

.Postes le rapport C:/FindyKill.txt (il est sauvegardé à la racine du disque dur)


tutoriel si besoin : https://www.malekal.com/tutorial-findykill/



0
Réponse 13 / 29
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Pour le problème d'accés aux sites Microsoft et symantec, il semblerait (après recherche) que ça pourrait venir du serveur DNS, certains proposent des adresses primaire et secondaire pouvant résoudre un tel problème, ton opinion m'intéresse...
Connaîts tu un moyen de savoir si son xp est piraté (j'ai bien un n° de licence sur mon pc)

Pour ce qui est du traitement médical de mon pc:

voici le rapport findykill (je n'ai fait que l'analyse)

############################## [ FindyKill V4.720 ]

# User :..................(Administrateurs) # HERVE
# Update on 22/03/09 by Chiquitine29
# Start at: 00:14:00 | 22/03/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Intel(R) Pentium(R) 4 CPU 2.80GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# A:\ # Lecteur de disquettes 3 « pouces
# C:\ # Disque fixe local # 53,95 Go (16,02 Go free) # NTFS
# D:\ # Disque fixe local # 55,88 Go (1,93 Go free) [DONNEES 2] # FAT32
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible # 968,25 Mo (44,95 Mo free) # FAT
# H:\ # Disque amovible
# I:\ # Disque fixe local # 1,95 Go (212,02 Mo free) [I] # NTFS
# J:\ # Disque CD-ROM
# K:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DynDNS Updater\DynDNS.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers / Dossiers infectieux C:\ ]


################## [ C:\WINDOWS ]


################## [ C:\WINDOWS\system32 ]


################## [ C:\WINDOWS\system32\drivers ]


################## [ C:\.. Application Data ... ]


################## [ Registre / Clés infectieuses ]



################## [ Recherche dans supports amovibles]

# Presence des fichiers :

Found ! [20/03/2009 08:10][drahs----] - C:\autorun.inf
C:\autorun.inf - This folder was created by flash disinfector !
Found ! [20/03/2009 08:10][drahs----] - D:\autorun.inf
D:\autorun.inf - This folder was created by flash disinfector !
Found ! [20/03/2009 08:10][d-ahs----] - G:\autorun.inf
G:\autorun.inf - This folder was created by flash disinfector !
Found ! [20/03/2009 08:10][drahs----] - I:\autorun.inf
I:\autorun.inf - This folder was created by flash disinfector !

################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.720 ! ]

Merci encore et bonne nuit!
0
Réponse 14 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, si tu as bien un numéro de licence windows XP famillial sur ton pc , le mieux serait de trouver un cd windows xp et de réinstaller et mettre ton numéro de licence qui est sur ton pc , sinon pour le savoir tu actives les mises à jour et à un moment si il n'est pas enregistré microsoft te le dira et tu les contact


sinon rien côté infection sur ce rapport, consernant norton ce que tu peux faire c'est de le supprimer de dans tes programmes si en core présent soit en mode sans echec ou en utilisant REVO-UNINSTALLER
0
Réponse 15 / 29
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ok, donc avec n'importe quel cd xp et mon n° de licence ça fonctionnera "légalement" ?
Sinon les rapports Malaware indiquent des trojans ou rookit supprimés, seulement ils reviennent toujours dans l'analyse suivante (que je fais juste pour contrôler) donc j'abandonne, il ne faut peut-être pas couper les cheveux en 4!
Dernier souci, les problèmes d'accés à certains sites (Microsoft et symantec) je suis passé des dns automatique à l'Open dns mais rien n'y fait!!! Et acrobat qui n'aura jamais voulu finir de s'installer!!! J'ai donc opté pour Foxit (Encore MERCI). Enfin tout cela est peut-être hors sujet sur ce post (???)
0
Réponse 16 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bon tu ouvres malwarebytes tu vides la quarantaine, tu vides ta corbeille, et tu refais un examem complet avec malwarebytes et tu postes le rapport , Merci
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai plusieurs dossiers RECYCLER sur les différents supports amovibles, que je n'avais pas supprimés avant de refaire l'analyse (ça a peut-être une influence dans les résultats)

D'autre part pendant l'analyse de Malware, Antivir s'est ouvert pour me faire 4 alertes sur le fameux TR/Crypt.XPACK.Gen présent dans tous les dossiers RECYCLER (Y:\, Z:\, L:\, N:\) ainsi qu'une sur le modèle du ver WORM/Generic.4084 présent sur C:\Documents & settings/....../firefox/profile/....

Voilà le rapport que tu me demandais:

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 2

23/03/2009 07:24:49
mbam-log-2009-03-23 (07-24-49).txt

Type de recherche: Examen complet (C:\|D:\|I:\|L:\|N:\|Y:\|Z:\|)
Eléments examinés: 248262
Temps écoulé: 9 hour(s), 37 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)


Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
Y:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 (Trojan.Conficker.H) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
Y:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Y:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Z:\autorun.inf (Trojan.Conficker.H) -> Quarantined and deleted successfully.
Z:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Trojan.Conficker.H) -> Quarantined and deleted successfully.
L:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx (Worm.Conficker) -> Quarantined and deleted successfully.

Bonne journée
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Tu as sûrement d'autres "chats à fouetter", alors j'ai tenté de m'en sortir seul, j'ai fini par comprendre un peu comment agissait ce satanée trojan (déplacement de dossier en dossier), je pense l'avoir neutralisé. Grand Merci tout de même pour ton aide logistique.
0
Réponse 17 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, ne n'ai pas pu venir , mais si tu as réglé ton problème heureux pour toi @+
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir, à vrai dire je m'étais enthousiasmé un peu vite. Si tu as 2 minutes...:
Voilà ce qui se passe en boucle: je scan mon disque dur externe (ou autre support amovible) ANTIVIR me trouve le fameux TRCrypt.XPACK.Gen, TOUJOURS dans le dossier RECYCLER. je le mets en quarantaine avec l'anti virus puis sans l'ouvrir je supprime le dossier RECYCLER, je vide aussi la quarantaine. Une fois fait je me rends compte que SYSTEMATIQUEMENT un fichier ARK se crée sur ce même disque dur et bien sûr celui-ci est infecté (ou c'est l'infection elle-même).
Du coup je le supprime aussi. Le nettoyage perdure un peu, cependant, après quelques temps si je rebranche mon dique dur, je retrouve à coup sûr le dossier RECYCLER infecté et avant même l'avoir effacé, je peux souvent constater qu'un fichier ARK est déjà crée... J'ai beau les supprimer ensemble (sans les ouvrir) sur tous mes supports, partitions disque, etc. je fais un scan avec antivir puis malware le résultat est propre. J'attends une heure j'ouvre un support, je fais un scan antivir et BINGO revoilà TRCrypt.XPACK.Gen dans RECYCLER et un fichier ARK se crée parallèlement (en général).
Bref IMPOSSIBLE de m'en débarasser définitivement.
Qu'en penses-tu ?
0
Réponse 18 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
bonjour, peux tu passer combofix mais attention c'est un outil très puissant tu prend le temps de lire et puis tu suis le tutoriel , prend le soins de brancher toutes tes source externes , merci

Télécharge Combofix.exe de sUBs sur ton Bureau;

tutoriel officiel prend le temps de le lire : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Déconnectes toi d'internet et désactives ton antivirus pour que Combofix puisse s'exécuter normalement.

Doubles clique sur Combofix.exe
Mets le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

tu Ne touches à rien tant que le scan n'est pas terminé.

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu et un nouveau rapport HijackThis

Réactives la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.

Note : Le rapport se trouve également là : C:\Combofix.txt
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Bien reçu, je fais ça au plus vite, merci.
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir, je n'ai pas pu brancher TOUS mes supports (matériellement impossible). Pourrais-je recommencer la procédure avec le reste de ces supports plus tard (sans les ouvrir bien sûr) ???
Voici le rapport de combofix: (celui de hijackthis va suivre)

ComboFix 09-03-23.01 - VACKROS 2009-03-26 18:36:58.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767.455 [GMT 1:00]
Lancé depuis: c:\documents and settings\VACKROS\Bureau\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
FW: ZoneAlarm Firewall *disabled*
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

M:\autorun.inf
Y:\Autorun.inf
Z:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-26 au 2009-03-26 ))))))))))))))))))))))))))))))))))))
.

2009-03-22 17:25 . 2009-03-22 17:25 <REP> d-------- c:\program files\Foxit Software
2009-03-22 17:25 . 2009-03-22 17:25 <REP> d-------- c:\documents and settings\VACKROS\Application Data\Foxit
2009-03-22 17:24 . 2009-03-22 17:24 3,738,880 --a------ c:\program files\FoxitReader30_enu_Setup.exe
2009-03-22 10:54 . 2009-03-22 10:54 <REP> d---s---- c:\documents and settings\VACKROS\UserData
2009-03-22 00:12 . 2009-03-24 21:39 <REP> d-------- c:\program files\FindyKill
2009-03-21 00:19 . 2009-03-21 00:19 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-21 00:19 . 2009-03-21 00:19 <REP> d-------- c:\documents and settings\VACKROS\Application Data\Malwarebytes
2009-03-21 00:19 . 2009-03-21 00:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-21 00:19 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-21 00:19 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-20 20:36 . 2009-03-20 20:36 <REP> d-------- c:\program files\Trend Micro
2009-03-19 18:49 . 2009-03-19 18:49 401,720 --a------ c:\program files\HiJackThis.exe
2009-03-18 19:48 . 2009-03-26 18:40 4,528,160 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-18 19:48 . 2009-03-25 09:27 48,104 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-18 19:40 . 2009-03-18 19:40 <REP> d-------- c:\documents and settings\All Users\Application Data\MailFrontier
2009-03-18 19:40 . 2008-07-09 09:05 75,248 --a------ c:\windows\zllsputility.exe
2009-03-18 19:40 . 2008-07-09 09:05 54,672 --a------ c:\windows\system32\vsutil_loc040c.dll
2009-03-18 19:40 . 2008-07-09 09:05 42,384 --a------ c:\windows\zllsputility_loc040c.dll
2009-03-18 19:40 . 2008-07-09 09:05 21,904 --a------ c:\windows\system32\imsinstall_loc040c.dll
2009-03-18 19:40 . 2008-07-09 09:05 17,808 --a------ c:\windows\system32\imslsp_install_loc040c.dll
2009-03-18 19:40 . 2004-04-27 04:40 11,264 --a------ c:\windows\system32\SpOrder.dll
2009-03-18 19:40 . 2009-03-18 19:42 4,212 ---h----- c:\windows\system32\zllictbl.dat
2009-03-18 19:39 . 2009-03-18 19:40 <REP> d-------- c:\windows\system32\ZoneLabs
2009-03-18 19:39 . 2009-03-18 19:39 <REP> d-------- c:\program files\Zone Labs
2009-03-18 19:39 . 2008-07-09 09:05 1,086,952 --a------ c:\windows\system32\zpeng24.dll
2009-03-18 19:39 . 2009-03-25 09:29 358,382 --a------ c:\windows\system32\vsconfig.xml
2009-03-18 19:25 . 2009-03-25 20:38 <REP> d-------- c:\windows\Internet Logs
2009-03-18 19:21 . 2009-03-18 19:21 210,416 --a------ c:\program files\zonealarm_zone_alarm_version_gratuite_7.1.254.000_francais_10494.exe
2009-03-18 16:01 . 2009-03-20 21:41 <REP> d-------- c:\documents and settings\VACKROS\Mes documents
2009-03-18 12:53 . 2009-03-18 12:53 <REP> d-------- c:\documents and settings\VACKROS\SparkAngels
2009-03-17 14:23 . 2009-03-17 14:23 <REP> d--hs---- C:\found.000
2009-03-14 13:56 . 2007-03-09 16:18 221,184 --a------ c:\windows\InZU31.exe
2009-03-14 13:56 . 2005-06-29 01:38 15,172 --a------ c:\windows\system32\drivers\PzWDM.sys
2009-03-08 20:14 . 2009-03-08 20:14 <REP> d-------- c:\program files\Avira
2009-03-08 20:14 . 2009-03-08 20:14 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
2009-03-08 20:13 . 2009-03-08 20:13 22,148,280 --a------ c:\program files\antivir_workstation_winu_fr_h.exe
2009-02-27 13:50 . 2009-02-27 13:50 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-27 13:47 . 2009-02-27 13:47 607,640 --a------ c:\program files\jxpiinstall-6u12-fcs-bin-b04-windows-i586-17_jan_2009.exe
2009-02-26 04:14 . 2009-02-26 04:16 <REP> d-------- c:\program files\PopCap Games
2009-02-26 04:14 . 2009-02-26 04:43 16 --a------ c:\windows\popcinfot.dat
2009-02-26 04:14 . 2009-02-26 04:14 0 --a------ c:\windows\popcreg.dat
2009-02-26 04:10 . 2009-02-26 04:11 <REP> d-------- c:\documents and settings\VACKROS\Application Data\U3
2009-02-26 00:24 . 2009-02-26 00:24 <REP> d-------- c:\documents and settings\HERVE ET JULIE\Contacts

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-26 14:16 --------- d-----w c:\program files\eMule
2009-03-26 08:31 --------- d-----w c:\program files\SPAMfighter
2009-03-25 23:01 --------- d-----w c:\program files\DynDNS Updater
2009-03-22 16:40 --------- d-----w c:\program files\Winamp
2009-03-22 16:40 --------- d-----w c:\program files\QuickPar
2009-03-22 16:40 --------- d-----w c:\program files\Media Player Classic
2009-03-21 14:23 --------- d-----w c:\program files\Fichiers communs\Adobe
2009-03-21 09:13 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
2009-03-21 08:51 --------- d-----w c:\documents and settings\VACKROS\Application Data\Desktopicon
2009-03-20 07:16 --------- d-----w c:\program files\CCleaner
2009-03-19 14:10 1,999,872 ----a-w c:\windows\Internet Logs\xDB1.tmp
2009-03-14 12:52 --------- d-----w c:\documents and settings\VACKROS\Application Data\Vso
2009-03-01 20:18 --------- d-----w c:\program files\Radio Fr Solo
2009-02-27 12:50 --------- d-----w c:\program files\Java
2009-02-27 09:12 --------- d-----w c:\documents and settings\VACKROS\Application Data\CopyToDvd
2009-01-27 17:43 --------- d-----w c:\program files\Fichiers communs\Application
2009-01-26 16:39 --------- d-----w c:\program files\Google
2008-11-27 06:28 12,117,871 ----a-w c:\program files\iWizz_1.0b4.exe
2008-10-31 09:38 243,204 ----a-w c:\program files\unlocker1.8.7.exe
2008-09-05 06:06 1,495,112 ----a-w c:\program files\install_flash_player.exe
2008-06-15 11:13 26,840,960 ----a-w c:\program files\super_super_v2008_build_30_anglais_19891.exe
2008-02-14 17:10 1,664,591 ----a-w c:\program files\pf-setup.exe
2008-01-21 13:06 2,954,261 ----a-w c:\program files\FileZilla_3.0.4.1_win32-setup.exe
2008-01-21 09:08 1,620,934 ----a-w c:\program files\manuel NEC 331i.pdf
2008-01-20 10:17 20,906,864 ----a-w c:\program files\Lavasoft_Adaware2007_fr.exe
2008-01-15 18:17 2,416,780 ----a-w c:\program files\VirtualDubMOD_1.5.10.2_b2540_Fr.exe
2008-01-11 21:07 1,444,725 ----a-w c:\program files\MediaInfo_0.7.5.3_GUI_Win32.exe
2008-01-11 20:01 18,450,621 ----a-w c:\program files\MediaCoder-0.6.0.3982.exe
2008-01-10 21:45 499,536 ----a-w c:\program files\QuickPar-0.9.1.0-FRA.exe
2008-01-09 19:34 1,728,307 ----a-w c:\program files\GrabIt171b.exe
2008-01-09 17:45 21,321,008 ----a-w c:\program files\QuickTimeInstaller.exe
2008-01-08 18:37 1,594 ----a-w c:\program files\sparkangels.jnlp
2008-01-04 19:44 2,464,595 ----a-w c:\program files\FileZilla_Server-0_9_25.exe
2008-01-04 18:55 1,554,594 ----a-w c:\program files\iZotope_Vinyl.exe
2007-11-25 16:19 486,519 ----a-w c:\program files\SuperCopier2beta1-9.exe
2007-10-23 18:25 8,742,512 ----a-w c:\program files\winamp55_full_emusic-7plus_fr-fr.exe
2007-09-12 10:23 2,840,288 ----a-w c:\program files\isobuster_isobuster_2.2_francais_10024.exe
2007-08-29 11:54 170,173 ----a-w c:\program files\ecolier.zip
2007-08-28 18:33 553,687 ----a-w c:\program files\RegCleaner.exe
2007-08-28 18:31 2,719,216 ----a-w c:\program files\ccleanersetup140.exe
2007-08-06 10:29 4,212 ----a-w c:\program files\ReadMe.txt
2007-07-30 17:02 2,857,749 ----a-w c:\program files\Radio_Fr_solo-Install.exe
2007-06-15 16:47 1,737,575 ----a-w c:\program files\tribalweb_setup235.exe
2007-03-22 21:51 14,993,976 ----a-w c:\program files\GoogleEarthWin_EARE.exe
2006-12-24 13:47 1,025,896 ----a-w c:\program files\spamfighter web.exe
2006-12-19 19:12 6,653,000 ----a-w c:\program files\winamp532_full_emusic-7plus.exe
2006-12-19 19:03 465,919 ----a-w c:\program files\flac113b.exe
2006-11-30 11:53 6,351,247 ----a-w c:\program files\Satsuki.Decoder.Pack.3.1.0.9 non installé.exe
2006-11-07 18:03 96,865,977 ----a-w c:\program files\Open office 2.0.4_Win32Intel_install.exe
2006-10-07 15:14 14,075,456 ----a-w c:\program files\RealPlayer10-5GOLD_fr.exe
2006-10-07 14:30 6,103,760 ----a-w c:\program files\FirefoxGoogleToolbarSetup.exe
2006-10-04 17:23 7,218,088 ----a-w c:\program files\psa30se_fr_fr.exe
2006-09-30 17:28 4,722,056 ----a-w c:\program files\RecoverMyFiles-Setup-French.exe
2006-09-30 16:02 16,277,288 ----a-w c:\program files\Install_Messenger.exe
2006-09-29 18:40 8,282,187 ----a-w c:\program files\vlc-0.8.5-win32.exe
2006-09-29 18:30 2,714,626 ----a-w c:\program files\mpc_install_xp_6.4.9.0b_fr.exe
2006-09-29 18:07 1,127,732 ----a-w c:\program files\Video inspector setup.exe
2006-09-29 18:03 81,920 ----a-w c:\documents and settings\VACKROS\Application Data\ezpinst.exe
2006-09-29 18:03 47,360 ----a-w c:\documents and settings\VACKROS\Application Data\pcouffin.sys
2006-09-29 16:18 3,534,076 ----a-w c:\program files\eMule0.47c-Installer.exe
2006-09-29 15:56 867,392 ----a-w c:\program files\GoogleToolbarInstaller.exe
2006-09-28 09:13 5,075,656 ----a-w c:\program files\RECOVE~1not french inutile.EXE
2006-09-27 15:54 13,830,514 ----a-w c:\program files\setup vso2.exe
2005-10-15 18:13 1,710,552 ----a-w c:\program files\Matroska_Pack_Lite_v1.1.2.exe
2004-08-10 12:00 65,024 --sha-w c:\windows\system32\asycfilt.dll
2004-08-10 12:00 611,328 --sha-w c:\windows\system32\comctl32.dll
2004-08-10 12:00 167,403 --sha-r c:\windows\system32\fkpkawj.dll
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2004-08-10 12:00 1,028,096 --sha-w c:\windows\system32\mfc42.dll
2004-08-10 12:00 57,344 --sha-w c:\windows\system32\mfc42loc.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2004-08-10 12:00 413,696 --sha-w c:\windows\system32\msvcp60.dll
2004-08-10 12:00 343,040 --sha-w c:\windows\system32\msvcrt.dll
2004-08-10 12:00 253,952 --sha-w c:\windows\system32\msvcrt20.dll
2004-08-10 12:00 553,472 --sha-w c:\windows\system32\oleaut32.dll
2004-08-10 12:00 83,456 --sha-w c:\windows\system32\olepro32.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2004-08-10 12:00 30,749 --sha-w c:\windows\system32\vbajet32.dll
.

------- Sigcheck -------

2006-04-20 12:51 359808 1dbf125862891817f374f407626967f4 c:\windows\SoftwareDistribution\Download\507067b70cd6d949aad91fc738213e69\sp2gdr\tcpip.sys
2006-04-20 13:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 c:\windows\SoftwareDistribution\Download\507067b70cd6d949aad91fc738213e69\sp2qfe\tcpip.sys
2007-08-23 10:56 359040 6a603809f598332dbedd535bdbce313e c:\windows\system32\dllcache\TCPIP.SYS
2007-08-23 10:56 359040 6a603809f598332dbedd535bdbce313e c:\windows\system32\drivers\TCPIP.SYS

2006-09-28 14:52 506368 86db0fdaf2591c86389d36cf44658cfe c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 139264]
"Creative Detector"="c:\program files\Creative\MediaSource\Detector\CTDetect.exe" [2003-10-02 98304]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 68856]
"DynDNS Updater"="c:\program files\DynDNS Updater\DynDNS.exe" [2006-09-17 1352704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 45056]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-10-07 185784]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-27 148888]
"FileZilla Server Interface"="c:\program files\FileZilla Server\FileZilla Server Interface.exe" [2007-12-25 937984]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-12-11 286720]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"SPAMfighter Agent"="c:\program files\SPAMfighter\SFAgent.exe" [2009-01-16 325768]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-10 15360]

c:\documents and settings\VACKROS\Menu D‚marrer\Programmes\D‚marrage\
SparkAngels.lnk - c:\windows\system32\javaws.exe [2009-02-27 148888]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2007-07-30 598016]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.avis"= ff_acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^VACKROS^Menu Démarrer^Programmes^Démarrage^SparkAngels.lnk]
path=c:\documents and settings\VACKROS\Menu Démarrer\Programmes\Démarrage\SparkAngels.lnk
backup=c:\windows\pss\SparkAngels.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 11:55 5674352 c:\program files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\DynDNS Updater\\DynDNS.exe"=
"c:\\Program Files\\FileZilla Client\\filezilla.exe"=
"c:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avcenter.exe"=
"c:\\Program Files\\Google\\Google Earth\\googleearth.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\Outlook Express\\msimn.exe"=
"c:\\Program Files\\Radio Fr Solo\\Radio_Fr_Solo.exe"=
"c:\\Program Files\\Radio Fr Solo\\RFSUpdate.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8772:TCP"= 8772:TCP:mkfozk

R0 PzWDM;PzWDM;c:\windows\system32\drivers\PzWDM.sys [2009-03-14 15172]
R2 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [2006-09-28 15840]
R2 SPAMfighter Update Service;SPAMfighter Update Service;c:\program files\SPAMfighter\sfus.exe [2009-01-16 184968]
S2 vjzbsmrx;Universal Microsoft;c:\windows\system32\svchost.exe -k netsvcs [2004-08-10 14336]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
vjzbsmrx

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{325d3a7a-94e5-11dd-ae51-00016c2d8d67}]
\Shell\AutoRun\command - L:\Memorybar.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{325d3b80-94e5-11dd-ae51-00016c2d8d67}]
\Shell\AutoRun\command - L:\autorunner.exe "www.CCE-ADECCO.com"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7e2e5c9b-0181-11de-ae6d-00016c2d8d67}]
\Shell\AutoRun\command - L:\LaunchU3.exe -a
.
Contenu du dossier 'Tâches planifiées'

2009-03-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe []
.
.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Winamp Toolbar Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
Trusted Zone: secuser.com\www
Trusted Zone: symantec.com\service
TCP: {6A529C3F-1815-43DB-A5D4-EE0877750943} = 208.67.222.222,208.67.220.220
FF - ProfilePath - c:\documents and settings\VACKROS\Application Data\Mozilla\Firefox\Profiles\g56klu8h.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://news.google.fr/nwshp?client=firefox-a&rls=org.mozilla:fr:official&hl=fr&client=firefox-a&rls=org.mozilla:fr:official_s&tab=wn&q=
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-26 18:39:46
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Creative Detector = c:\program files\Creative\MediaSource\Detector\CTDetect.exe /R??o?u?r?c?e?\?D?e?t?e?c?t?o?r?\?C?T?D?e?t?e?c?t?.?e?x?e??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vjzbsmrx]
"ServiceDll"="c:\windows\system32\fkpkawj.dll"
.
Heure de fin: 2009-03-26 18:41:48
ComboFix-quarantined-files.txt 2009-03-26 17:41:45

Avant-CF: 12 127 381 504 octets libres
Après-CF: 12,203,601,408 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
C:\ = "SystŠme d'exploitation non identifi‚ sur le lecteur C."

270
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Et voici le rapport Hijackthis: (NB: il reste des traces de Norton car je n'ai toujours pas accès au site que tu m'as indiqué pour le désinstaller, ni à celui de Microsoft d'ailleurs car j'ai voulu effectuer le Windows Update pour avoir le SP3, mais sans succès non plus. Pour l'instant j'ai pourtant accès à tous les autres sites essayés)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:55:22, on 26/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\FileZilla Server\FileZilla Server.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\SPAMfighter\sfus.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\SPAMfighter\SFAgent.exe
C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Program Files\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [RemoteCenter] C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Program Files\DynDNS Updater\DynDNS.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: SparkAngels.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O15 - Trusted Zone: https://support.norton.com/sp/en/us/home/current/info
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A529C3F-1815-43DB-A5D4-EE0877750943}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program Files\SPAMfighter\sfus.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 19 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
il n' est pas recommender de passer combofix plusieur fois de suite , par contre vu ce qu'il a trouver as tu passer flash désinfectore comme demander lui tu peux le passer avec une partie et puis le refaire avec l'autre de même avec malwarebytes
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ok, alors pour le reste j'utiliserai flash désinfectore et malwarebytes (déjà utilisé mais pas pour tout).
Tu dis "par contre vu ce qu'il a trouver" peux tu m'expliquer, qu'a-t-il donc trouvé ?
0
Réponse 20 / 29
jacques.gache Messages postés 33461 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 617
 
sur ton dernier hijackthis consernant norton O15 - Trusted Zone: https://support.norton.com/sp/en/us/home/current/info il n'y a que cette ligne que l'on peux fixer dans hijackthis bon je mange et je reviens
0
Tarcam Messages postés 47 Date d'inscription   Statut Membre Dernière intervention  
 
Ok, alors pour le reste j'utiliserai flash désinfectore et malwarebytes (déjà utilisé mais pas pour tout).
Tu dis "par contre vu ce qu'il a trouver" peux tu m'expliquer, qu'a-t-il donc trouvé ?

Sinon je peux donc fixer la ligne concernant Norton. je refais un scan et coche la ligne 015 - Trusted Zone sur le rapport puis je choisis "fix checked" c'est ça ?

Encore une fois le lien vers Symantec qui s'affiche dans ton dernier message m'est inaccessible (j'espère que je ne dois pas m'y rendre).
Bon appétit
0

Discussions similaires

Aide pour désinfection
Phanouman -
yoann090 -

11 réponses
Aide pour désinfection pc
Captain_coco -
bazfile -

7 réponses
Désinfection
Pic hach -
Xileh -

9 réponses
redemarer mon pc avec un cd rom d'antivirus
zozoazae1 -
zozoazae1 -

2 réponses
Demande de désinfection SVP !!!
Heimrik -
bazfile -

1 réponse