Virus AGENT.ODC

Résolu
Nalxou -  
Nalxou Messages postés 8 Statut Membre -
Bonsoir,

Suite à une analyse ESET NOD 32 ANTIVIRUS, je suis victime d'un virus contenu dans la mémoire vive

"WIN32/Agent.ODC virus

Je ne peux plus atteindre la partition :C avec l'erreur recycler.

Pourriez vous me venir en aide svp ? :)

En vous remerciant d'avance
Nalx
Configuration: Windows XP
Internet Explorer 7.0

13 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    Télécharge RavAntivirus d'Evosla :
    http://ww25.evosla.com/compteur.php?soft=rav_antivirus

    # Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
    # Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
    # Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
    # Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
    # Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
    # Retire tes disques amovibles et redémarrez votre ordinateur.
    # Poste le rapport, si infection!

    _________________

    2/ Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse : http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

    Double-clique sur l’icône.
    Les icônes vont disparaître. C’est normal.
    Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
    Redémarre ensuite le PC.

    ____________________

    3/
    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    1
  2. Nalxou
     
    Hello Jlpjlp, Ton deuxieme lien est mort

    Le premier j'ai lancé RAV, mais il me dit que l'ordinateur est infecté, puis l'ordinateur est sain après avoir supprimé automatique le virus : j://autorun.inf
    Je n'ai pas eu de log.

    Je vais faire la troisième étape

    Merci de ta réponse rapide, je reste connecté toute la soirée pour essayer de venir à bout de ce virus !
    0
  3. Nalxou
     
    Je te poste les deux .txt que tu m'as demandés par RSIT :

    Le LOG.txt :
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by FONTANA Alexis at 2009-03-30 21:57:10
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 463 GB (97%) free of 477 GB
    Total RAM: 3070 MB (83% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:57:17, on 30/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\WINDOWS\system32\CTXFIHLP.EXE
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\FONTANA Alexis\Bureau\téléchargements\rav.exe
    C:\Documents and Settings\FONTANA Alexis\Bureau\RSIT.exe
    C:\Program Files\trend micro\FONTANA Alexis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
    O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E2598519-F62E-4370-908A-80585828FEA5}: NameServer = 85.255.112.165,85.255.112.216
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.165,85.255.112.216
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.165,85.255.112.216
    O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  4. Nalxou
     
    Rebonsoir, puisque le lien etait mort j'ai telecharger Flash desinfector sur un autre site, lorsque je lance l'analyse j'ai un message d'erreur : Windows pas de disque.

    Help Jlplplpllpll plzzzzzzzzzzzzz !!!!!!!!!!!!!!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Nalxou Messages postés 8 Statut Membre 2
     
    Motivation Motivation !!!
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok le gros souci c'est que ton pc est détourné en ukraine :((

    ________________

    smitfraud fix (colle le rapport)

    1/ télécharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 5 et appuyer sur entrée afin de créer le rapport des infection présentes.

    ________________

    scan avec
    MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    __________________

    mettre a jour internet explorer
    pour XP
    http://download.microsoft.com/...
    _________________

    remet un rapport RSIt et dis si encore des soucis
    0
  8. Nalxou Messages postés 8 Statut Membre 2
     
    Hello, la premiere fois que j'ai lancé Smitfraud ça m'a corrigé un truc mais j'ai du redemarrer le pc avec malware pour essayer de le faire marcher en sans echec

    Mon rapport : SmitFraudFix v2.405

    Rapport fait à 16:06:27,17, 31/03/2009
    Executé à partir de C:\Documents and Settings\FONTANA Alexis\Bureau\t‚l‚chargements\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

    Description: Intel(R) 82566DC Gigabit Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E2598519-F62E-4370-908A-80585828FEA5}: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

    Description: Intel(R) 82566DC Gigabit Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{E2598519-F62E-4370-908A-80585828FEA5}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{E2598519-F62E-4370-908A-80585828FEA5}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{E2598519-F62E-4370-908A-80585828FEA5}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    Yavait une infection avant

    Pour malware, quand je double clique sur le bureau rien ne se lance :(

    Nouveau rapport RCIS :

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by FONTANA Alexis at 2009-03-31 16:07:19
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 463 GB (97%) free of 477 GB
    Total RAM: 3070 MB (82% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:07:20, on 31/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\WINDOWS\system32\CTXFIHLP.EXE
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\cmd.exe
    C:\WINDOWS\notepad.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Documents and Settings\FONTANA Alexis\Bureau\RSIT.exe
    C:\Program Files\trend micro\FONTANA Alexis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
    O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  9. Nalxou Messages postés 8 Statut Membre 2
     
    Le virus est toujours présent, néanmoins j'ai oublier de préciser et je pense avoir commis une erreure dans le post : C'est VIRUS WIN32/AGENT.ODG et non pas ODC déjà plusieurs topic existent autour de ce virus mais pas de solution apparemment.

    J'ai reussi à faire marcher Malware en renommant son .exe le virus le bloquant auparavant ! Voilà le rapport : Malwarebytes' Anti-Malware 1.35
    Version de la base de données: 1924
    Windows 5.1.2600 Service Pack 3

    31/03/2009 16:44:44
    mbam-log-2009-03-31 (16-44-44).txt

    Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
    Eléments examinés: 135408
    Temps écoulé: 21 minute(s), 11 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\gaopdxcounter (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\Temp\tempo-4200500.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

    jlppplpp au fait comment peux tu savoir que ça a été détourné en ukraine ? :p si c'est lisible ^^
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ceci montrait que tu etais en ukraine:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E2598519-F62E-4370-908A-80585828FEA5}: NameServer = 85.255.112.165,85.255.112.216
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.165,85.255.112.216
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.165,85.255.112.216

    ________________

    colle le rapport d'un scan en ligne
    avec un des suivants:

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    Kaspersky en ligne
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    ___________________

    remets un rapport RSIT et dis tes soucis actuels
    0
  11. Nalxou Messages postés 8 Statut Membre 2
     
    Oki je suis en train de faire les scans ça me semble assez long,

    ESET NOD32 ANTIVIRUS suite à une analyse m'a fais remarquer 10 sujets infectés mais à reussi à éradiquer 9 d'entre eux, l'un seul reste :

    31/03/2009 16:46:54 Analyseur au démarrage mémoire vive Mémoire vive Win32/Agent.ODG virus impossible de nettoyer SUPER-521EAA926\*****Alexis

    Scan fais avec ActiveSCAN :

    ;***********************************************************************************************************************************************************************************
    ANALYSIS: 2009-03-31 17:50:45
    PROTECTIONS: 1
    MALWARE: 1
    SUSPECTS: 1
    ;***********************************************************************************************************************************************************************************
    PROTECTIONS
    Description Version Active Updated
    ;===================================================================================================================================================================================
    ESET NOD32 Antivirus 4.0 4.0 Yes Yes
    ;===================================================================================================================================================================================
    MALWARE
    Id Description Type Active Severity Disinfectable Disinfected Location
    ;===================================================================================================================================================================================
    03074964 Trj/CI.A Virus/Trojan No 0 Yes No I:\RECYCLER\S-5-9-81-100004521-100008827-100026359-6483.com
    ;===================================================================================================================================================================================
    SUSPECTS
    Sent Location
    ;===================================================================================================================================================================================
    No J:\App\Cafe\CAFE.EXE
    ;===================================================================================================================================================================================
    VULNERABILITIES
    Id Severity Description
    ;===================================================================================================================================================================================
    ;===================================================================================================================================================================================

    Rapport RCIS :


    Logfile of random's system information tool 1.06 (written by random/random)
    Run by FONTANA Alexis at 2009-03-31 17:52:19
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 463 GB (97%) free of 477 GB
    Total RAM: 3070 MB (72% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 17:52:20, on 31/03/2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\WINDOWS\system32\CTXFIHLP.EXE
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Steam\Steam.exe
    C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\FONTANA Alexis\Bureau\RSIT.exe
    C:\Program Files\trend micro\FONTANA Alexis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
    O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
    O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  12. Nalxou Messages postés 8 Statut Membre 2
     
    Bon j'ai reussi à venir à bout de ce virus,

    Je met par écrit comment je m'y suis pris :

    Après une recherche sur internet j'ai reussi à trouver un post US d'un forum ESET sur ce virus WIN32/AGENT.ODG
    il semblerait que ce soit un ROOTKIT ou malware,

    J'ai alors Télécharger GMER, http://www.gmer.net/

    Qui m'a alors mis en evidence le rootkit que j'avais, j'ai juste fait clique droit pour le supprimer.

    Ensuite j'ai redonner comme m'avais dit précedemment jlplpllp, un coup de Malwarebytes Antimalware, donc j'ai changer le nom du .exe pour que le virus n'y fasse pas obstruction. Cela a permis alors d'éradiquer les restes de virus

    Voilà j'espère que ça pourra aider d'autres personnes qui l'ont actuellement

    Nalxou, un gros merci à jplplplp pour son aide.
    0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    mais il en reste:

    branche tes disques externes , clés usb...

    Pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    _______________

    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    _________________

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    I:\RECYCLER\S-5-9-81-100004521-100008827-100026359-6483.com
    J:\App\Cafe\CAFE.EXE

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  14. Nalxou Messages postés 8 Statut Membre 2
     
    Contenu du scan :

    ComboFix 09-03-31.01 - FONTANA Alexis 2009-03-31 20:48:07.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.3070.2571 [GMT 2:00]
    Lancé depuis: c:\documents and settings\FONTANA Alexis\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\FONTANA Alexis\Bureau\CFscript.txt
    AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated)
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\Agent.OMZ.Fix.exe
    c:\windows\system32\drivers\gaopdxuxovyxjgvdlyxmybwviubfucbneoexym.sys
    c:\windows\system32\dumphive.exe
    c:\windows\system32\e1000msg.dll
    c:\windows\system32\gaopdxoowfwvveypbtiqxonbrfuxkiqvnrrqhe.dll
    c:\windows\system32\IEDFix.exe
    c:\windows\system32\NicEtCoE.dll
    c:\windows\system32\SrchSTS.exe
    c:\windows\system32\VCCLSID.exe
    c:\windows\system32\WS2Fix.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-31 ))))))))))))))))))))))))))))))))))))
    .

    2009-03-31 17:17 . 2008-06-19 16:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys
    2009-03-31 17:16 . 2009-03-31 17:16 <REP> d-------- c:\program files\Panda Security
    2009-03-31 16:22 . 2009-03-31 16:22 <REP> d-------- c:\documents and settings\FONTANA Alexis\Application Data\Malwarebytes
    2009-03-31 16:01 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2009-03-31 16:01 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2009-03-30 22:46 . 2009-03-30 22:46 172 --a------ C:\curr_ver.tmp
    2009-03-30 21:57 . 2009-03-30 21:57 <REP> d-------- C:\rsit
    2009-03-30 21:57 . 2009-03-31 17:52 <REP> d-------- c:\program files\trend micro
    2009-03-29 18:43 . 2009-03-31 16:22 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2009-03-29 18:43 . 2009-03-29 18:43 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2009-03-29 18:42 . 2009-03-29 18:43 <REP> d-------- c:\documents and settings\FONTANA Alexis\Application Data\U3
    2009-03-29 18:36 . 2009-03-29 18:37 <REP> d-------- c:\documents and settings\Administrateur\Application Data\U3
    2009-03-28 22:07 . 2009-03-28 22:07 <REP> d-------- c:\windows\system32\AGEIA
    2009-03-28 22:07 . 2009-03-28 22:09 <REP> d-------- c:\windows\NV34603464.TMP
    2009-03-28 22:07 . 2009-03-28 22:07 <REP> d-------- c:\program files\Fichiers communs\Wise Installation Wizard
    2009-03-28 22:07 . 2009-03-28 22:07 <REP> d-------- c:\program files\AGEIA Technologies
    2009-03-28 22:07 . 2009-03-28 22:07 <REP> d-------- C:\NVIDIA
    2009-03-28 22:07 . 2009-02-18 15:44 212,711 --a------ c:\windows\system32\nvapps.nvb
    2009-03-27 20:38 . 2009-03-22 00:37 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
    2009-03-27 20:38 . 2009-03-22 00:37 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
    2009-03-27 20:38 . 2009-03-21 23:48 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
    2009-03-27 20:38 . 2009-03-22 00:37 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
    2009-03-27 20:38 . 2009-03-22 00:37 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
    2009-03-27 20:38 . 2009-03-22 00:37 <REP> d-------- c:\documents and settings\Administrateur\Favoris
    2009-03-27 20:38 . 2009-03-29 18:39 <REP> d-------- c:\documents and settings\Administrateur\Bureau
    2009-03-27 20:38 . 2009-03-27 20:38 <REP> d-------- c:\documents and settings\Administrateur
    2009-03-27 19:45 . 2009-03-27 19:45 <REP> d-------- c:\program files\CCleaner
    2009-03-26 22:32 . 2009-03-27 19:45 <REP> d-------- c:\program files\Webcam Surveyor
    2009-03-26 22:32 . 2009-03-26 22:33 <REP> d-------- c:\documents and settings\All Users\Application Data\WebacamSurveyor
    2009-03-26 22:27 . 2009-03-26 22:27 <REP> d-------- c:\documents and settings\All Users\Application Data\WLInstaller
    2009-03-26 22:22 . 2009-03-26 22:26 <REP> d-------- c:\program files\VideoCap
    2009-03-26 22:15 . 2008-04-14 04:33 159,232 --a------ c:\windows\system32\ptpusd.dll
    2009-03-26 22:15 . 2008-04-13 20:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
    2009-03-26 22:15 . 2008-04-13 20:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
    2009-03-26 22:15 . 2001-08-23 18:47 5,632 --a------ c:\windows\system32\ptpusb.dll
    2009-03-26 18:31 . 2009-03-31 19:32 <REP> d-------- c:\program files\Steam
    2009-03-25 21:41 . 2009-03-25 21:41 <REP> dr------- c:\program files\Skype
    2009-03-25 21:41 . 2009-03-31 20:31 <REP> d-------- c:\documents and settings\FONTANA Alexis\Application Data\Skype
    2009-03-25 21:41 . 2009-03-25 21:41 <REP> d-------- c:\documents and settings\All Users\Application Data\Skype
    2009-03-24 19:32 . 2008-10-16 15:06 268,648 --a------ c:\windows\system32\mucltui.dll
    2009-03-24 19:32 . 2008-10-16 15:06 208,744 --a------ c:\windows\system32\muweb.dll
    2009-03-24 19:32 . 2008-10-16 15:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
    2009-03-23 22:30 . 2009-03-25 17:03 <REP> d-------- c:\program files\Microsoft Silverlight
    2009-03-23 22:30 . 2009-03-31 19:31 <REP> d-------- c:\documents and settings\FONTANA Alexis\Tracing
    2009-03-23 22:29 . 2009-03-23 22:29 <REP> d-------- c:\program files\Windows Live SkyDrive
    2009-03-23 22:29 . 2009-03-23 22:29 <REP> d-------- c:\program files\Microsoft SQL Server Compact Edition
    2009-03-23 22:29 . 2009-03-23 22:29 <REP> d-------- c:\program files\Microsoft
    2009-03-23 22:29 . 2006-11-29 14:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll
    2009-03-23 22:28 . 2009-03-23 22:30 <REP> d-------- c:\program files\Windows Live
    2009-03-23 22:24 . 2009-03-23 22:24 <REP> d-------- c:\program files\Fichiers communs\Windows Live
    2009-03-22 18:08 . 2008-04-13 20:45 60,032 --a------ c:\windows\system32\drivers\USBAUDIO.sys
    2009-03-22 18:08 . 2008-04-13 20:45 60,032 --a--c--- c:\windows\system32\dllcache\usbaudio.sys
    2009-03-22 18:08 . 2008-04-14 04:34 20,992 --a------ c:\windows\system32\dshowext.ax
    2009-03-22 18:08 . 2008-04-14 04:34 20,992 --a--c--- c:\windows\system32\dllcache\dshowext.ax
    2009-03-22 17:54 . 2009-03-22 17:54 21 --a------ c:\windows\kit.ini
    2009-03-22 17:52 . 2009-03-22 17:52 <REP> d-------- c:\program files\SAGEM
    2009-03-22 17:43 . 2009-03-22 17:43 5 --a------ c:\windows\system32\drivers\DELL_XPS_Dell DXP061 .MRK
    2009-03-22 17:43 . 2009-03-22 17:43 5 --a------ c:\windows\system32\drivers\1028_DELL_XPS_Dell DXP061 .MRK
    2009-03-22 17:31 . 2009-03-22 17:31 <REP> d-------- c:\windows\system32\FRA
    2009-03-22 17:31 . 2006-07-13 10:16 126,976 --a------ c:\windows\system32\Imsmudlg.exe
    2009-03-22 17:27 . 2009-03-22 17:42 <REP> d-------- c:\program files\Intel
    2009-03-22 17:25 . 2009-03-22 17:42 <REP> d-------- C:\drvrtmp
    2009-03-22 17:25 . 2006-06-05 14:49 230,400 --a------ c:\windows\system32\drivers\e1e5132.sys
    2009-03-22 17:25 . 2006-01-04 22:01 126,976 --a------ c:\windows\system32\Prounstl.exe
    2009-03-22 17:25 . 2006-01-25 17:59 21,504 --a------ c:\windows\system32\NicCo.dll
    2009-03-22 17:25 . 2006-02-28 18:01 20,480 --a------ c:\windows\system32\NicInstE.dll
    2009-03-22 17:25 . 2006-04-07 12:27 2,877 --a------ c:\windows\system32\e1e5132.din
    2009-03-22 17:25 . 2006-01-12 15:52 1,904 --------- c:\windows\system32\SetupBD.din
    2009-03-22 17:15 . 2009-03-31 19:30 64,756 --a------ c:\windows\system32\DVCState-{00000004-00000000-00000004-00001102-00000005-10031102}.rfx
    2009-03-22 17:15 . 2009-03-31 19:30 53,968 --a------ c:\windows\system32\BMXStateBkp-{00000004-00000000-00000004-00001102-00000005-10031102}.rfx
    2009-03-22 17:15 . 2009-03-31 19:30 53,968 --a------ c:\windows\system32\BMXState-{00000004-00000000-00000004-00001102-00000005-10031102}.rfx
    2009-03-22 17:15 . 2009-03-31 19:30 1,080 --a------ c:\windows\system32\settingsbkup.sfm
    2009-03-22 17:15 . 2009-03-31 19:30 1,080 --a------ c:\windows\system32\settings.sfm
    2009-03-22 17:11 . 2009-03-22 17:11 <REP> d-------- c:\documents and settings\FONTANA Alexis\Application Data\Creative
    2009-03-22 17:11 . 2009-03-22 17:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Creative
    2009-03-22 17:10 . 2009-03-22 17:10 <REP> d-------- c:\windows\system32\data
    2009-03-22 17:10 . 2008-04-13 21:19 146,048 --a------ c:\windows\system32\drivers\portcls.sys
    2009-03-22 17:10 . 2008-04-13 21:19 146,048 --a--c--- c:\windows\system32\dllcache\portcls.sys
    2009-03-22 17:10 . 2008-04-13 20:45 60,160 --a------ c:\windows\system32\drivers\drmk.sys
    2009-03-22 17:10 . 2008-04-13 20:45 60,160 --a--c--- c:\windows\system32\dllcache\drmk.sys
    2009-03-22 16:48 . 2009-03-22 16:48 <REP> d-------- c:\program files\Fichiers communs\Adobe
    2009-03-22 15:16 . 2007-07-26 18:11 141,582 --------- c:\windows\system32\drivers\NVCAP.SYS
    2009-03-22 15:16 . 2007-07-26 18:11 29,696 --------- c:\windows\system32\FILTER.AX
    2009-03-22 15:16 . 2007-07-26 18:11 16,496 --------- c:\windows\system32\drivers\NVXBAR.SYS
    2009-03-22 15:09 . 2009-03-31 19:31 203,546 --a------ c:\windows\system32\nvapps.xml
    2009-03-22 15:08 . 2009-03-28 22:09 <REP> d-------- c:\windows\nview
    2009-03-22 15:08 . 2009-02-18 15:44 453,152 --a------ c:\windows\system32\nvudisp.exe
    2009-03-22 15:08 . 2009-02-18 15:44 19,021 --a------ c:\windows\system32\nvdisp.nvu
    2009-03-22 15:07 . 2009-02-17 00:17 453,152 --a------ c:\windows\system32\NVUNINST.EXE
    2009-03-22 14:45 . 2008-12-21 00:46 6,066,688 -----c--- c:\windows\system32\dllcache\ieframe.dll
    2009-03-22 14:45 . 2007-04-17 11:32 2,455,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dat
    2009-03-22 14:45 . 2007-03-08 07:10 1,048,576 -----c--- c:\windows\system32\dllcache\ieframe.dll.mui
    2009-03-22 14:45 . 2008-12-21 00:46 459,264 -----c--- c:\windows\system32\dllcache\msfeeds.dll
    2009-03-22 14:45 . 2008-12-21 00:46 383,488 -----c--- c:\windows\system32\dllcache\ieapfltr.dll
    2009-03-22 14:45 . 2008-12-21 00:46 267,776 -----c--- c:\windows\system32\dllcache\iertutil.dll
    2009-03-22 14:45 . 2008-12-21 00:46 63,488 -----c--- c:\windows\system32\dllcache\icardie.dll
    2009-03-22 14:45 . 2008-12-21 00:46 52,224 -----c--- c:\windows\system32\dllcache\msfeedsbs.dll
    2009-03-22 14:45 . 2008-12-19 11:10 13,824 -----c--- c:\windows\system32\dllcache\ieudinit.exe
    2009-03-22 14:31 . 2009-03-22 14:45 <REP> d-------- c:\windows\system32\fr-fr
    2009-03-22 14:31 . 2009-03-22 14:31 <REP> d-------- c:\windows\system32\fr
    2009-03-22 14:31 . 2009-03-22 14:31 <REP> d-------- c:\windows\system32\bits
    2009-03-22 14:31 . 2009-03-22 14:31 <REP> d-------- c:\windows\l2schemas
    2009-03-22 14:29 . 2009-03-22 14:29 <REP> d-------- c:\windows\ServicePackFiles
    2009-03-22 14:20 . 2008-08-14 15:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
    2009-03-22 14:20 . 2008-08-14 15:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
    2009-03-22 14:20 . 2008-08-14 15:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
    2009-03-22 14:20 . 2008-08-14 15:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
    2009-03-22 14:16 . 2008-06-14 19:33 272,768 -----c--- c:\windows\system32\dllcache\bthport.sys
    2009-03-22 14:12 . 2009-03-22 14:12 <REP> d--hs---- c:\documents and settings\FONTANA Alexis\UserData
    2009-03-22 13:53 . 2008-10-24 13:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
    2009-03-22 13:53 . 2008-12-11 12:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys
    2009-03-22 13:53 . 2008-05-08 16:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys
    2009-03-22 13:52 . 2008-10-15 18:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
    2009-03-22 01:54 . 2007-08-10 09:18 26,488 --a------ c:\windows\system32\spupdsvc.exe
    2009-03-22 01:49 . 2009-03-22 01:49 <REP> d-------- c:\program files\ESET
    2009-03-22 01:49 . 2009-03-22 01:49 <REP> d-------- c:\documents and settings\All Users\Application Data\ESET
    2009-03-22 01:17 . 2008-04-11 21:05 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll
    2009-03-22 01:17 . 2008-06-24 18:44 74,240 -----c--- c:\windows\system32\dllcache\mscms.dll
    2009-03-22 01:14 . 2004-08-23 15:50 32,768 --a------ c:\windows\system32\WooDial2000.dll
    2009-03-22 01:13 . 2009-03-22 17:56 <REP> d-------- c:\program files\Wanadoo
    2009-03-22 01:11 . 2009-03-22 17:52 <REP> d--h----- c:\program files\InstallShield Installation Information

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-03-22 15:11 409,600 ----a-w c:\windows\system32\wrap_oal.dll
    2009-03-22 15:11 114,688 ----a-w c:\windows\system32\OpenAL32.dll
    2009-03-22 13:16 --------- d-----w c:\program files\Fichiers communs\InstallShield
    2009-03-21 22:39 --------- d-----w c:\program files\Dell
    2009-03-21 21:51 --------- d-----w c:\program files\microsoft frontpage
    2009-03-21 21:50 --------- d-----w c:\program files\Services en ligne
    2009-02-18 13:34 9,200 ------w c:\windows\system32\drivers\cdralw2k.sys
    2009-02-18 13:34 9,072 ------w c:\windows\system32\drivers\cdr4_xp.sys
    2009-02-18 13:34 43,872 ------w c:\windows\system32\drivers\PxHelp20.sys
    2009-02-18 13:34 129,520 ------w c:\windows\system32\pxafs.dll
    2009-02-18 13:34 120,568 ------w c:\windows\system32\pxcpyi64.exe
    2009-02-18 13:34 118,256 ------w c:\windows\system32\pxinsi64.exe
    2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys
    2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR
    2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
    2009-02-06 13:24 93,336 ----a-w c:\windows\system32\drivers\epfwtdir.sys
    2009-02-06 13:23 106,208 ----a-w c:\windows\system32\drivers\ehdrv.sys
    2009-02-06 13:19 113,448 ----a-w c:\windows\system32\drivers\eamon.sys
    2009-01-16 17:24 70,936 ----a-w c:\windows\system32\PhysXLoader.dll
    2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
    2008-12-05 06:57 144,896 ----a-w c:\windows\system32\schannel.dll
    2008-12-04 08:28 24,344 ----a-w c:\windows\system32\PhysXDevice.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-03-11 24095528]
    "Steam"="c:\program files\Steam\Steam.exe" [2009-03-26 1410296]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
    "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2006-07-06 151552]
    "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-02-18 86016]
    "nwiz"="nwiz.exe" [2009-02-18 c:\windows\system32\nwiz.exe]
    "CTHelper"="CTHELPER.EXE" [2006-12-12 c:\windows\system32\CtHelper.exe]
    "CTxfiHlp"="CTXFIHLP.EXE" [2006-12-12 c:\windows\system32\Ctxfihlp.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-03-31 28544]
    R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-02-06 106208]
    R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-02-06 93336]
    R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-02-06 727720]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.wanadoo.fr
    .

    **************************************************************************

    catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-03-31 20:48:47
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    CTHelper = CTHELPER.EXE?
    CTxfiHlp = CTXFIHLP.EXE?

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2009-03-31 20:49:13
    ComboFix-quarantined-files.txt 2009-03-31 18:49:11

    Avant-CF: 484 829 003 776 octets libres
    Après-CF: 485,269,794,816 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    234 --- E O F --- 2009-03-24 22:37:15
    0