Je crois que j'ai un virus...

ben -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

Je viens de récupérer une connexion internet après 3 mois sans. entre-temps, je crois que j'ai chopé un virus via une clé USB car quand branché cette clé chez un ami antivir m'a indiqué qu'il y avait un cheval de troie dessus.

maintenant que je viens de récupérer internet, j'essaie de mettre à jour ma version d'antivir mais ça bugge. même après avoir réinstallé antivir. je vais sur le scan online de kaspersky mais ça ne marche pas (il me dit que PC n'a pas la config minimale, alors que si). je pense que ça doit etre le cheval de troie qui bloque les antivirus? (j'y connais pas grand-chose...)

que faire?

merci beaucoup,

ps d'habitude j'utilise internet explorer mais il ne fonctionne plus (encore un coup du cheval de troie?) j'ai essayé avec safari et là ça marche...
Configuration: carte mère ASUS
2Go RAM
260 Go disque dur
Windows XP
Safari 525.21

36 réponses

  • 1
  • 2
Résumé de la discussion

Une infection supposée par une clé USB bloque les antivirus et empêche les mises à jour; sous Windows XP, Internet Explorer ne démarre plus alors que Safari fonctionne, et un cheval de Troie est suspecté.
Plusieurs solutions proposées incluent l'utilisation d'outils dédiés comme Flash Disinfector pour nettoyer les clés USB et USBFix pour analyser les machines et produire des rapports.
Des conseils indiquent aussi de désactiver temporairement le garde antivirus lors de scans et de partager les rapports de nettoyage pour évaluer l'infection et poursuivre le dépannage.
Par ailleurs, les échanges mentionnent des rapports détaillant les éléments trouvés, tels que fichiers suspects et autoruns, et les actions correctives effectuées.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour vacciner tes pc:
    branche tes clés usb:
    Télécharge sur le bureau Flash Disinfector (de SUBS) à cette adresse :
    http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
    http://sd-1.archive-host.com/membres/up/193094576412487685/Flash_Disinfector.exe

    Double-clique sur l’icône.
    Les icônes vont disparaître. C’est normal.
    Si un rapport est généré en cas d'infection, sauvegarde-le sur le bureau, et poste le ensuite
    Redémarre ensuite le PC.

    _________________

    par contre, j'aurais voulu savoir ce qui est mieux quand antivir détecte un fichier dangereux : mettre en quarantaine ou supprimer?

    tu mets en quarantaine et si l'ordi se comporte bien tu vire au bout d'une semaine
    cela evite de virer un fichier legitime car il arrive que l'antivirus considere a tort un fichier infecté alors que ce n'est pas le cas

    ________________

    su r le deuxieme pc tu passe USBFIX qui est en version définitive ici

    http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

    et tu nous mets le rapport ainsi qu'un rapport RSIT
    2
    1. ben
       
      bon je croyais avoir répondu mais apparemment mon message n'a pas été posté.

      quand tu dis vaccinner, tu veux dire qu'il ne peut plus y avoir de trojan sur mes clés usb et mon PC?

      voici le rapport tool cleaner :

      [ Rapport ToolsCleaner version 2.3.4 (par A.Rothstein & dj QUIOU) ]

      --> Recherche:

      C:\Combofix.txt: trouvé !
      C:\UsbFix.txt: trouvé !
      C:\Qoobox: trouvé !
      C:\UsbFix: trouvé !
      C:\Rsit: trouvé !
      C:\Documents and Settings\cass\Bureau\ComboFix.exe: trouvé !
      C:\Documents and Settings\cass\Bureau\UsbFix.lnk: trouvé !
      C:\Documents and Settings\cass\Bureau\Rsit.exe: trouvé !
      C:\Documents and Settings\cass\Menu Démarrer\Programmes\UsbFix: trouvé !
      C:\Documents and Settings\cass\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
      C:\Program Files\trend micro\HijackThis.exe: trouvé !
      C:\Program Files\trend micro\hijackthis.log: trouvé !
      C:\UsbFix\Tools\UsbFix.exe: trouvé !

      ---------------------------------
      --> Suppression:

      C:\Documents and Settings\cass\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
      C:\Program Files\trend micro\HijackThis.exe: supprimé !
      C:\Combofix.txt: supprimé !
      C:\UsbFix.txt: supprimé !
      C:\Documents and Settings\cass\Bureau\UsbFix.lnk: supprimé !
      C:\Documents and Settings\cass\Bureau\Rsit.exe: supprimé !
      C:\Documents and Settings\cass\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
      C:\Program Files\trend micro\hijackthis.log: supprimé !
      C:\UsbFix\Tools\UsbFix.exe: supprimé !
      C:\Qoobox: supprimé !
      C:\UsbFix: supprimé !
      C:\Rsit: supprimé !
      C:\Documents and Settings\cass\Menu Démarrer\Programmes\UsbFix: supprimé !
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
    1. ben
       
      merci pour ta réponse !

      voici le rapport :
      Logfile of random's system information tool 1.06 (written by random/random)
      Run by cass at 2009-04-06 20:41:55
      Microsoft Windows XP Édition familiale Service Pack 2
      System drive C: has 95 GB (72%) free of 131 GB
      Total RAM: 2039 MB (56% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:42:11, on 06/04/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.6000.16791)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\DAEMON Tools Lite\daemon.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.bin
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\cass\Mes documents\jre-6u13-windows-i586-p-iftw.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\Program Files\Safari\Safari.exe
      C:\Documents and Settings\cass\Bureau\RSIT.exe
      C:\Program Files\trend micro\cass.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.ecosia.org?ref=ethicle
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
      O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
      O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
      O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
      O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - https://www.musicnotes.com/download/mnviewer.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O16 - DPF: {D5D30A68-E230-49D9-B4D5-BF7532692945} (CDiscountObj Class) - https://order.cdiscount.com/Account/LoginLight.html?referrer=https://clients.cdiscount.com%2Ferror%2F404.aspx%3F404%3Bhttp%3A%2F%2Fclients.cdiscount.com%3A100%2Forder%2Ftechcity%2Factivex%2Fcdiscount.cab
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      O23 - Service: Avid SDM Service (AvidSDMService) - Unknown owner - C:\WINDOWS\system32\AvidSDMService.exe (file missing)
      O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
      O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
      0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    Telecharge et install UsbFix

    http://sd-1.archive-host.com/membres/up/127028005715545653/U­sb_Fix.exe

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau

    # choisi l option 1 ( Recherche )

    # laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
    1. ben
       
      merci !

      voilà le rapport :
      ############################## [ UsbFix V3.000 ]

      # User : cass (Administrateurs) # CASS-731GRVSZJM
      # Update on 05/04/09 by C_XX & Chiquitine29
      # Start at: 21:05:34 | 06/04/2009

      # Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
      # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
      # Internet Explorer 7.0.5730.13
      # Windows Firewall Status : Enabled
      # AV : ZoneAlarm Security Suite Antivirus 7.0.483.000 [ (!) Disabled | (!) Outdated ]
      # AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | (!) Outdated ]
      # FW : ZoneAlarm Security Suite Firewall[ (!) Disabled ]7.0.483.000

      # A:\ # Lecteur de disquettes 3 ½ pouces
      # C:\ # Disque fixe local # 127,99 Go (92,68 Go free) # NTFS
      # D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
      # F:\ # Disque CD-ROM
      # G:\ # Disque fixe local # 104,89 Go (62,14 Go free) [Nouveau nom] # NTFS
      # H:\ # Disque CD-ROM
      # I:\ # Disque fixe local # 74,53 Go (67,13 Go free) [Maxtor] # NTFS
      # J:\ # Disque amovible # 1001,51 Mo (872,77 Mo free) # FAT32

      ############################## [ Processus actifs ]

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\DAEMON Tools Lite\daemon.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.bin
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\cass\Mes documents\jre-6u13-windows-i586-p-iftw.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\Program Files\Safari\Safari.exe
      C:\WINDOWS\System32\wbem\wmiprvse.exe

      ################## [ Registre # Startup ]

      HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
      HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
      HKCU_Main: "Start Page"="https://www.ecosia.org?ref=ethicle"
      HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      HKLM_Run: RTHDCPL=RTHDCPL.EXE
      HKLM_Run: SkyTel=SkyTel.EXE
      HKLM_Run: Alcmtr=ALCMTR.EXE
      HKLM_Run: NeroFilterCheck=C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
      HKLM_Run: ISUSPM Startup="C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
      HKLM_Run: ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
      HKLM_Run: PinnacleDriverCheck=C:\WINDOWS\system32\\PSDrvCheck.exe
      HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
      HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
      HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
      HKLM_Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
      HKLM_Run: H2O=C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
      HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
      HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
      HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      HKLM_Run: Installed=1
      HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      HKLM_Run: Installed=1
      HKLM_Run: NoChange=1
      HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      HKLM_Run: Installed=1
      HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
      HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      HKCU_Run: DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe"
      HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      HKCU_Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
      HKCU_Run: cdoosoft=C:\WINDOWS\system32\olhrwef.exe
      HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
      HKCU_Run: <NO NAME>=

      ################## [ Informations ]

      # Contenu de l'autorun C:\autorun.inf
      [AutoRun]
      ;DA5lw
      open=jm3cx96.bat
      ;KJ0pr3opor8saAs3wLs9e
      shell\open\Command=jm3cx96.bat

      # Contenu de l'autorun G:\autorun.inf
      [AutoRun]
      ;DA5lw
      open=jm3cx96.bat
      ;KJ0pr3opor8saAs3wLs9e
      shell\open\Command=jm3cx96.bat

      # Contenu de l'autorun I:\autorun.inf
      [AutoRun]
      ;DA5lw
      open=jm3cx96.bat
      ;KJ0pr3opor8saAs3wLs9e
      shell\open\Command=jm3cx96.bat

      # Contenu de l'autorun J:\autorun.inf
      [AutoRun]
      ;DA5lw
      open=jm3cx96.bat
      ;KJ0pr3opor8saAs3wLs9e
      shell\open\Command=jm3cx96.bat


      ################## [ Fichiers # Dossiers infectieux ]

      Found ! C:\WINDOWS\system32\olhrwef.exe
      Found ! C:\autorun.inf
      Found ! C:\jm3cx96.bat
      Found ! G:\autorun.inf
      Found ! G:\jm3cx96.bat
      Found ! G:\recycler\S-1-5-21-2000478354-1647877149-682003330-1004\Dg115\classic - piano\Johann Sebastian Bach - Great Composers - 08 - Cantata Bwv 147 - Corale 'Jesus Bleibet Meine Freude'.mp3
      Found ! I:\autorun.inf
      Found ! I:\jm3cx96.bat
      Found ! J:\autorun.inf
      Found ! J:\jm3cx96.bat

      ################## [ Registre # Clés infectieuses ]

      Found ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"

      ################## [ Registre # Mountpoint2 ]

      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02892024-321a-11dd-b05b-0011e67700b7}\Shell\AutoRun\command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02892024-321a-11dd-b05b-0011e67700b7}\Shell\Auto\Command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02892024-321a-11dd-b05b-0011e67700b7}\Shell\open\Command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26586a9a-4685-11dd-b095-0011e67700b7}\Shell\AutoRun\command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26586a9a-4685-11dd-b095-0011e67700b7}\Shell\Auto\Command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26586a9a-4685-11dd-b095-0011e67700b7}\Shell\open\Command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6490a33c-e6b8-11dc-af86-0011e67700b7}\Shell\AutoRun\command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6490a33c-e6b8-11dc-af86-0011e67700b7}\Shell\Auto\Command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6490a33c-e6b8-11dc-af86-0011e67700b7}\Shell\open\Command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71a44d66-fdf0-11dc-afc3-85e635c0fdc8}\Shell\AutoRun\command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c64b737e-cade-11dc-85a2-806d6172696f}\Shell\AutoRun\command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c64b737e-cade-11dc-85a2-806d6172696f}\Shell\Auto\Command
      Found ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c64b737e-cade-11dc-85a2-806d6172696f}\Shell\open\Command

      ################## [ ! Fin du rapport # UsbFix V3.000 ! ]
      0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau

    # choisi l option 2 ( Suppression )

    # Ton bureau disparaitra , laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra avec ton bureau .

    ___________________

    puis remets un rapport neuf de RSIt a la suite
    0
    1. ben
       
      alors, ça se présente bien???


      ############################## [ UsbFix V3.000 ]

      # User : cass (Administrateurs) # CASS-731GRVSZJM
      # Update on 05/04/09 by C_XX & Chiquitine29
      # Start at: 21:19:49 | 06/04/2009

      # Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
      # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
      # Internet Explorer 7.0.5730.13
      # Windows Firewall Status : Enabled
      # AV : ZoneAlarm Security Suite Antivirus 7.0.483.000 [ (!) Disabled | (!) Outdated ]
      # AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | (!) Outdated ]
      # FW : ZoneAlarm Security Suite Firewall[ (!) Disabled ]7.0.483.000

      # A:\ # Lecteur de disquettes 3 ½ pouces
      # C:\ # Disque fixe local # 127,99 Go (92,67 Go free) # NTFS
      # D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
      # F:\ # Disque CD-ROM
      # G:\ # Disque fixe local # 104,89 Go (62,14 Go free) [Nouveau nom] # NTFS
      # H:\ # Disque CD-ROM
      # I:\ # Disque fixe local # 74,53 Go (67,13 Go free) [Maxtor] # NTFS
      # J:\ # Disque amovible # 1001,51 Mo (872,77 Mo free) # FAT32

      ############################## [ Processus actifs ]

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
      C:\WINDOWS\system32\igfxtray.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\DAEMON Tools Lite\daemon.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
      C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.exe
      C:\Program Files\OpenOffice.org 3\program\soffice.bin
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
      C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\Program Files\Safari\Safari.exe
      C:\WINDOWS\system32\notepad.exe
      C:\WINDOWS\System32\wbem\wmiprvse.exe

      ################## [ Fichiers # Dossiers infectieux ]

      Deleted ! C:\WINDOWS\system32\olhrwef.exe
      Deleted ! C:\autorun.inf
      Deleted ! C:\jm3cx96.bat
      Deleted ! G:\autorun.inf
      Deleted ! G:\jm3cx96.bat
      Deleted ! I:\autorun.inf
      Deleted ! I:\jm3cx96.bat
      Deleted ! J:\autorun.inf
      Deleted ! J:\jm3cx96.bat

      ################## [ Registre # Clés infectieuses ]

      Deleted ! HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "cdoosoft"

      ################## [ Registre # Mountpoint2 ]

      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02892024-321a-11dd-b05b-0011e67700b7}\Shell\AutoRun\command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02892024-321a-11dd-b05b-0011e67700b7}\Shell\Auto\Command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02892024-321a-11dd-b05b-0011e67700b7}\Shell\open\Command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26586a9a-4685-11dd-b095-0011e67700b7}\Shell\AutoRun\command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26586a9a-4685-11dd-b095-0011e67700b7}\Shell\Auto\Command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{26586a9a-4685-11dd-b095-0011e67700b7}\Shell\open\Command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6490a33c-e6b8-11dc-af86-0011e67700b7}\Shell\AutoRun\command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6490a33c-e6b8-11dc-af86-0011e67700b7}\Shell\Auto\Command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6490a33c-e6b8-11dc-af86-0011e67700b7}\Shell\open\Command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71a44d66-fdf0-11dc-afc3-85e635c0fdc8}\Shell\AutoRun\command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c64b737e-cade-11dc-85a2-806d6172696f}\Shell\AutoRun\command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c64b737e-cade-11dc-85a2-806d6172696f}\Shell\Auto\Command
      Deleted ! HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c64b737e-cade-11dc-85a2-806d6172696f}\Shell\open\Command

      ################## [ Listing des fichiers présent ]

      C:\AUTOEXEC.BAT
      C:\NTDETECT.COM
      C:\boot.ini
      G:\desktop.ini

      ################## [ ! Fin du rapport # UsbFix V3.000 ! ]
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui les infections par tes clés ont pris un sacré coup:!!

    remets un rapport neuf de RSIt a la suite
    0
  7. ben
     
    ok, merci. par contre j'ai essayé la mise à jour de antivir et ça marche toujours pas :-(

    le nouveau rapport :

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by cass at 2009-04-06 21:33:40
    Microsoft Windows XP Édition familiale Service Pack 2
    System drive C: has 95 GB (72%) free of 131 GB
    Total RAM: 2039 MB (49% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:33:42, on 06/04/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\Program Files\Safari\Safari.exe
    C:\WINDOWS\explorer.exe
    c:\program files\avira\antivir personaledition classic\avcenter.exe
    C:\Documents and Settings\cass\Bureau\RSIT.exe
    C:\Program Files\trend micro\cass.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
    O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
    O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - https://www.musicnotes.com/download/mnviewer.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {D5D30A68-E230-49D9-B4D5-BF7532692945} (CDiscountObj Class) - https://order.cdiscount.com/Account/LoginLight.html?referrer=https://clients.cdiscount.com%2Ferror%2F404.aspx%3F404%3Bhttp%3A%2F%2Fclients.cdiscount.com%3A100%2Forder%2Ftechcity%2Factivex%2Fcdiscount.cab
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Avid SDM Service (AvidSDMService) - Unknown owner - C:\WINDOWS\system32\AvidSDMService.exe (file missing)
    O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  8. ben
     
    non pourquoi?
    0
    1. zaers44
       
      J'avais emule est j'ai eu un cheval de troie + un trojan et windows defender est actif ?
      0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    tu as du mettre un nouveau support externe?

    branche les tous puis refais usbfix option 1
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    alors

    refais usbfix option 1 et mets le rapport svp
    0
    1. ben
       
      j'ai pas mis d'autres périophérique. je viens de désinstaller et réinstaller antivir, ça a l'air de bien marcher maintenant. tu crois que je dois refaire un usb fix quand mm?
      0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui car il en reste
    0
  12. ben
     
    antivir vient de trouver un truc : nmdfgds0.dll

    je sais jamais ce que je dois faire : déplacer en quarantaine, supprimer ? je sais jamais ce qui est le mieux...
    0
    1. zaers44
       
      mettre en quarantaine
      0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    zaers44, arrête va ...

    oui c'est cela que je veux virer avec usbfix :)

    désactive le guard antivir et fais usbfix
    0
  14. ben
     
    c quoi ce truc avec zaers? il m'a répondu une connerie???

    bon je viens de relancer usbfix, voilà le rapport :

    ############################## [ UsbFix V3.000 ]

    # User : cass (Administrateurs) # CASS-731GRVSZJM
    # Update on 05/04/09 by C_XX & Chiquitine29
    # Start at: 22:42:15 | 06/04/2009

    # Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 7.0.5730.13
    # Windows Firewall Status : Enabled
    # AV : ZoneAlarm Security Suite Antivirus 7.0.483.000 [ (!) Disabled | (!) Outdated ]
    # AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]
    # FW : ZoneAlarm Security Suite Firewall[ (!) Disabled ]7.0.483.000

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 127,99 Go (92,61 Go free) # NTFS
    # D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
    # F:\ # Disque CD-ROM
    # G:\ # Disque fixe local # 104,89 Go (62,14 Go free) [Nouveau nom] # NTFS
    # H:\ # Disque CD-ROM
    # I:\ # Disque fixe local # 74,53 Go (67,13 Go free) [Maxtor] # NTFS
    # J:\ # Disque amovible # 1001,51 Mo (871,38 Mo free) # FAT32

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Safari\Safari.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    ################## [ Registre # Startup ]

    HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
    HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    HKCU_Main: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
    HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    HKLM_Run: RTHDCPL=RTHDCPL.EXE
    HKLM_Run: SkyTel=SkyTel.EXE
    HKLM_Run: Alcmtr=ALCMTR.EXE
    HKLM_Run: NeroFilterCheck=C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
    HKLM_Run: ISUSPM Startup="C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
    HKLM_Run: ISUSScheduler="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
    HKLM_Run: PinnacleDriverCheck=C:\WINDOWS\system32\\PSDrvCheck.exe
    HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
    HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
    HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
    HKLM_Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
    HKLM_Run: H2O=C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
    HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    HKLM_Run: Installed=1
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    HKLM_Run: Installed=1
    HKLM_Run: NoChange=1
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    HKLM_Run: Installed=1
    HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    HKCU_Run: DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe"
    HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    HKCU_Run: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
    HKCU_Run: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
    HKCU_Run: <NO NAME>=

    ################## [ Informations ]

    ################## [ Fichiers # Dossiers infectieux ]

    Found ! C:\WINDOWS\system32\nmdfgds0.dll
    Found ! G:\recycler\S-1-5-21-2000478354-1647877149-682003330-1004\Dg115\classic - piano\Johann Sebastian Bach - Great Composers - 08 - Cantata Bwv 147 - Corale 'Jesus Bleibet Meine Freude'.mp3

    ################## [ Registre # Clés infectieuses ]

    # -> Not Found !

    ################## [ Registre # Mountpoint2 ]

    # -> Not Found !

    ################## [ ! Fin du rapport # UsbFix V3.000 ! ]
    0
    1. zaers44
       
      je raconte pas des conneries ben !!!
      je suis pas comme ça !
      0
  15. ben
     
    et pourquoi c mieux de mettre en quarantaine plutot que de supprimer?

    quoi qu'il en soit j'ai fait l'option 2 et ça me donne ça :
    apparemment il me reste un truc pas effacé : nmdfgds0.dll

    ############################## [ UsbFix V3.000 ]

    # User : cass (Administrateurs) # CASS-731GRVSZJM
    # Update on 05/04/09 by C_XX & Chiquitine29
    # Start at: 22:47:46 | 06/04/2009

    # Intel(R) Pentium(R) Dual CPU E2140 @ 1.60GHz
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 7.0.5730.13
    # Windows Firewall Status : Enabled
    # AV : ZoneAlarm Security Suite Antivirus 7.0.483.000 [ (!) Disabled | (!) Outdated ]
    # AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]
    # FW : ZoneAlarm Security Suite Firewall[ (!) Disabled ]7.0.483.000

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 127,99 Go (92,61 Go free) # NTFS
    # D:\ # Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
    # F:\ # Disque CD-ROM
    # G:\ # Disque fixe local # 104,89 Go (62,14 Go free) [Nouveau nom] # NTFS
    # H:\ # Disque CD-ROM
    # I:\ # Disque fixe local # 74,53 Go (67,13 Go free) [Maxtor] # NTFS
    # J:\ # Disque amovible # 1001,51 Mo (871,38 Mo free) # FAT32

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.exe
    C:\Program Files\OpenOffice.org 3\program\soffice.bin
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
    C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\wbem\wmiapsrv.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Safari\Safari.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\System32\wbem\wmiprvse.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Not Deleted ! C:\WINDOWS\system32\nmdfgds0.dll

    ################## [ Registre # Clés infectieuses ]

    # -> Not Found !

    ################## [ Registre # Mountpoint2 ]

    # -> Not Found !

    ################## [ Listing des fichiers présent ]

    C:\AUTOEXEC.BAT
    C:\NTDETECT.COM
    C:\boot.ini
    G:\desktop.ini
    J:\Usb_Fix.exe
    J:\RSIT.exe
    J:\drivfbxusb.exe

    ################## [ ! Fin du rapport # UsbFix V3.000 ! ]
    0
    1. ben
       
      bon ya plus personne? :-(
      0
  16. ben
     
    salut, jlpjlp, je vois que tu es à nouveau connecté.. pourrais-tu répondre à mon dernier message stp?

    hier soir j'ai essayé de supprimer nmdfgds0.dll , j'ai cherché sous google et suis tombé sur cette page : https://www.greatis.com/appdata/d/n/nmdfgds0.dll.htm

    j'ai téléchargé les logiciels mais apparemment ça n'a rien fait...
    0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok
    merci de bien repondre car usbfix est en cours de développement alors pour t'aider et aider les autres

    ______________

    dans les deux scan de usbfix tu avais désactivé antivir avant le scan ?

    _______________
    si tu n'avais pas désactivé : tu as eu une alerte de ANTIVIR? il avais trouvé quoi ? nmdfgds0.dll ? qu'as tu fais ?

    ____________

    désactive le guard d'antivir puis refais usbfix option 2

    et remets le rapport

    si cela persiste on fera autrement : pas de souci!

    ______________
    0
    1. ben
       
      oui j'avais désactivé antivir pendant les scans d'usb fix.

      j'ai lancé une analyse avec antivir APRES, et il a trouvé nmdfgds0.dll, et un autre truc, A0136269.dll

      j'ai fait une recherche "nmdfgds0.dll" sous google, je suis tombé sur cette page :
      https://www.greatis.com/appdata/d/n/nmdfgds0.dll.htm

      suivant les recommandations de cette page, j'ai installé regrun je l'ai fait tourner, il a supprimé certains fichiers mais apres, j'ai refait un scan avec antivir et il trouve toujours les fameux fichiers dll....

      après, je suis retourné sur le forum. comme cette discussion n'avançait plus j'en ai ouvert une autre : http://www.commentcamarche.net/forum/affich 11879100 nmdfgds0 dll

      quelqu'un m'a conseillé d'enlever usbfix et d'installer une autre version, mais son lien ne fonctionne pas, et celui que tu m'as donné hier non plus, donc je ne peux plus installer usbfix...
      est-ce normal que les liens ne foinctionnent plus?

      merci d'avance,
      0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui c'est normal car en test

    et evite de faire plusieur posts

    bon fais ceci:

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  19. ben
     
    merci,

    voilà le rapport :

    (a part ça, j'ai une autre clé que je n'ai pas pensé à connecter à mon PC hier soir. elle est peut-etre infectée aussi. je fais quoi, je la branche et je refais un scan avec usb fix? si oui, où le télécharger? merci.)

    ComboFix 09-04-04.01 - cass 2009-04-07 12:10:13.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.2039.1569 [GMT 2:00]
    Lancé depuis: c:\documents and settings\cass\Bureau\ComboFix.exe
    AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)
    AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Outdated)
    FW: ZoneAlarm Security Suite Firewall *disabled*
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\ATHPRXY(2).DLL
    c:\windows\system32\msvcsv60.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-07 au 2009-04-07 ))))))))))))))))))))))))))))))))))))
    .

    2009-04-07 11:25 . 2008-12-22 15:56 12,752 --a------ c:\windows\system32\drivers\UnHackMeDrv.sys
    2009-04-07 01:16 . 2004-08-19 17:09 221,184 --a------ c:\windows\system32\wmpns.dll
    2009-04-06 23:42 . 2009-04-07 11:25 <REP> d-------- c:\program files\UnHackMe
    2009-04-06 23:34 . 2009-04-07 00:02 78 --a------ c:\windows\lsoon.ini
    2009-04-06 23:27 . 2009-04-06 23:27 <REP> d-------- c:\windows\RestoreSafeDeleted
    2009-04-06 23:19 . 2009-04-07 11:25 (2) -rahs-ot- c:\windows\winstart.bat
    2009-04-06 23:15 . 2009-04-06 23:15 <REP> d-------- c:\documents and settings\cass\Application Data\Regrun
    2009-04-06 23:15 . 2009-04-07 00:02 <REP> d-------- C:\backreg
    2009-04-06 23:14 . 2009-04-06 23:14 <REP> d-------- c:\program files\Greatis
    2009-04-06 23:14 . 2003-09-06 15:55 57,556 --a------ c:\windows\guard.bmp
    2009-04-06 22:14 . 2009-04-06 22:14 <REP> d-------- c:\program files\Avira
    2009-04-06 22:14 . 2009-04-06 22:14 <REP> d-------- c:\documents and settings\All Users\Application Data\Avira
    2009-04-06 20:41 . 2009-04-06 20:42 <REP> d-------- C:\rsit
    2009-04-06 20:41 . 2009-04-07 00:05 <REP> d-------- c:\program files\trend micro
    2009-04-06 20:00 . 2009-04-06 20:00 <REP> d-------- c:\windows\Sun
    2009-04-06 19:58 . 2009-04-06 19:57 410,984 --a------ c:\windows\system32\deploytk.dll
    2009-04-06 19:58 . 2009-04-06 19:57 73,728 --a------ c:\windows\system32\javacpl.cpl
    2009-04-06 19:57 . 2009-04-06 19:57 <REP> d-------- c:\program files\Java
    2009-04-06 18:30 . 2009-04-06 18:30 <REP> d-------- c:\windows\system32\Atheros_L2
    2009-04-06 18:30 . 2007-07-03 12:33 29,696 -ra------ c:\windows\system32\drivers\l251x86.sys
    2009-04-06 18:29 . 2009-04-06 18:29 11,230 --a------ c:\windows\Ascd_tmp.ini
    2009-04-01 00:03 . 2009-04-01 00:03 <REP> d-------- c:\program files\Power Tab Software

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-04-07 10:12 46,598,176 --sha-w c:\windows\system32\drivers\fidbox.dat
    2009-04-07 09:22 552,188 --sha-w c:\windows\system32\drivers\fidbox.idx
    2009-04-07 08:02 --------- d-----w c:\documents and settings\cass\Application Data\Canon
    2009-04-06 18:00 --------- d-----w c:\documents and settings\cass\Application Data\FileZilla
    2009-04-06 16:30 --------- d--h--w c:\program files\InstallShield Installation Information
    2009-04-05 09:47 38,320 ----a-w c:\documents and settings\cass\Application Data\GDIPFONTCACHEV1.DAT
    2009-04-01 20:21 --------- d-----w c:\documents and settings\cass\Application Data\dvdcss
    2009-03-27 22:32 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995
    2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
    2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
    2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
    2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-15 68856]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2007-12-15 482760]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
    "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-09-06 413696]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-10-05 98304]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-10-05 114688]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2006-10-05 94208]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-06 148888]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
    "RTHDCPL"="RTHDCPL.EXE" [2007-04-10 c:\windows\RTHDCPL.exe]
    "SkyTel"="SkyTel.EXE" [2007-04-04 c:\windows\SkyTel.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

    c:\documents and settings\cass\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
    OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-09-12 384000]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
    Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "vidc.AVRn"= AvidAVICodec.dll
    "vidc.asv2"= asusasv2.dll
    "VIDC.MJPG"= Pvmjpg30.dll
    "wave9"= Echo24Wrap.dll

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\Program Files\\Avid\\Avid Free DV\\AvidFreeDV.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\ABC\\abc.exe"=
    "c:\\Program Files\\Avid\\Avid Liquid 7\\Program\\RM.exe"=
    "c:\\Program Files\\Avid\\Avid Liquid 7\\Program\\StudioU.mod"=

    R3 AtcL002;NDIS Miniport Driver for Atheros L2 Fast Ethernet Controller;c:\windows\system32\drivers\l251x86.sys [2009-04-06 29696]
    R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [2008-11-20 33792]
    R3 echo24;Echo24 Service;c:\windows\system32\drivers\echo24.sys [2008-11-20 557056]
    S1 PDIDRV;PDIDRV; [x]
    S3 Ndptmra;Ndptmra;c:\windows\system32\drivers\fdc.sys [2001-08-28 27392]
    S3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys --> c:\windows\system32\drivers\Partizan.sys [?]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - UnHackMeDrv

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71a44d66-fdf0-11dc-afc3-85e635c0fdc8}]
    \Shell\Shell00\Command - E:\Autorun.exe /run
    \Shell\Shell01\Command - E:\Autorun.exe /action
    \Shell\Shell02\Command - E:\Autorun.exe /uninstall
    .
    Contenu du dossier 'Tâches planifiées'

    2009-03-28 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 13:34]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-ISUSPM Startup - c:\program files\Fichiers communs\InstallShield\UpdateService\isuspm.exe
    Notify-AtiExtEvent - (no file)

    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
    DPF: {D5D30A68-E230-49D9-B4D5-BF7532692945} - hxxps://clients.cdiscount.com/Order/TechCity/activex/CDiscount.cab
    FF - ProfilePath - c:\documents and settings\cass\Application Data\Mozilla\Firefox\Profiles\c7fc0gfp.default\
    .

    **************************************************************************

    catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-04-07 12:12:14
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,4b,e8,7e,c2,c8,
    48,3e,96,c8,28,51,af,b0,29,a3,98,65,15,17,e6,7a,bd,2b,44,e2,63,26,f1,3f,c8,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,f9,2b,7c,07,52,
    d5,f9,d4,71,3b,04,66,8b,46,0d,96,3f,e3,54,97,0d,7d,4d,06,6a,9c,d6,61,af,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0,43,d4,0e,fe,8e,cb,7b,ef,81,
    fc,a7,10,25,da,ec,7e,55,20,c9,26,68,82,89,b9,84,77,ad,24,ff,7c,85,e0,43,d4,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,51,0a,52,8c,ec,
    cf,b9,b7,3e,1e,9e,e0,57,5a,93,61,25,4f,5b,d9,f6,b8,ea,25,86,8c,21,01,be,91,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73,a8,13,5c,05,f8,70,55,e8,01,
    8d,2a,a9,cd,44,cd,b9,a6,33,6c,cd,50,af,37,57,cb,58,47,c5,f5,1d,4d,73,a8,13,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,48,8f,f7,09,36,
    12,ff,07,b0,18,ed,a7,3f,8d,37,a4,df,38,28,85,da,f9,11,b0,df,20,58,62,78,6b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "4d370831d2c43cd13623e232fed27b7b"=hex:31,77,e1,ba,b1,f8,68,02,9d,b8,bf,20,19,
    f3,64,bf,31,77,e1,ba,b1,f8,68,02,19,0f,ad,90,5b,3f,71,09,fb,a7,78,e6,12,2f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
    "Version"=hex:ef,9e,84,df,87,76,2f,36,bc,d2,ff,98,d3,b6,1c,7f,7c,31,53,21,38,
    8a,ac,f3,95,3a,9b,7d,a6,78,51,43,e8,2e,b0,cf,a8,a1,91,72,ff,2e,5e,e5,d0,73,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1d68fe701cdea33e477eb204b76f993d"=hex:83,6c,56,8b,a0,85,96,ab,e5,fc,5c,ba,6d,
    e9,b6,0d,83,6c,56,8b,a0,85,96,ab,69,f6,1b,d2,37,0c,73,fb,01,3a,48,fc,e8,04,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,c9,46,89,87,85,
    ee,c3,5d,51,fa,6e,91,28,9e,14,cc,a4,66,b6,db,e1,15,eb,6a,f6,0f,4e,58,98,5b,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "f5f62a6129303efb32fbe080bb27835b"=hex:b1,cd,45,5a,a8,c4,f8,b9,42,fb,cb,29,76,
    92,27,4c,b1,cd,45,5a,a8,c4,f8,b9,35,e1,47,0e,82,62,37,4d,3d,ce,ea,26,2d,45,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5,eb,bc,2f,6b,60,b1,f1,9f,cb,
    67,58,3f,e3,0e,66,d5,eb,bc,2f,6b,b0,d9,72,d4,79,81,9e,30,2a,b7,cc,b5,b9,7f,\

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
    "ThreadingModel"="Apartment"
    @="c:\\WINDOWS\\system32\\OLE32.DLL"
    "8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,2a,26,a0,91,6e,
    e0,17,93,fa,ea,66,7f,d4,3b,6b,70,6e,23,4d,21,d0,7e,9a,d8,6c,43,2d,1e,aa,22,\

    [HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
    "Version"=hex:ef,9e,84,df,87,76,2f,36,bc,d2,ff,98,d3,b6,1c,7f,7c,31,53,21,38,
    8a,ac,f3,95,3a,9b,7d,a6,78,51,43,e8,2e,b0,cf,a8,a1,91,72,ff,2e,5e,e5,d0,73,\
    .
    Heure de fin: 2009-04-07 12:13:43
    ComboFix-quarantined-files.txt 2009-04-07 10:13:40

    Avant-CF: 98 886 483 968 octets libres
    Après-CF: 99,372,015,616 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

    223 --- E O F --- 2009-04-07 08:01:11
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    _______________

    telecharge combofix:

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Sauvegarde le sur ton bureau et pas ailleurs !

    _________________

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    C:\WINDOWS\system32\nmdfgds0.dll
    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{71a44d66-fdf0-11dc-afc3-85e635c0fdc8}]

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    0
  • 1
  • 2