Trojan.initfakeav et attaque en chaine.

Question

Bonjour,

Je pense que vous en avez pas mal des questions sur ce virus mais la jai un probleme qui est liée a cette m***** et j'enrage (peu etre pour rien mais bon)

Voila, l'histoire:
Hier(06/04/2009) un trojan.initfakeav m'attaque, je me renseigne (sur ce site et d'autre), analyse antivirus, le traitre ne se laisse pas faire. Je passe par le mode sans echec de windobe et jarrive a le supprimer manuellement. (tout le monde est content, il est 2h30 du matin je vai me coucher)

Le lendemain(07/04/2009) les virus suivant m'attaque tous les uns aprés les autres vers 21h:
- trojan.fakeavalert
- trojan.malscript!html

Norton me signal ensuite les choses suivantes:

- tentative d'intrusion par 69.10.35.251 a été bloquée
- tentative d'intrusion par 94.247.2.113 a été bloquée
- softwarefortubeview.40001[1].exe a accedé a vos ressource réseau
- antispywareproxp detecté par analyse antivirus (a été suprimé)
- ieur.exe a modifié votre paramétre d'internet explorer
- qttask.exe a effectué 18 modifications a votre parametre de demarage windows
- une tentative d'intrusion par (mon propre pc) a été detecté
- auto-protect a detecté trojan.fakeavalert
- 7741.exe detecté par norton internet security (il a modifié 2 truc dans le demarage window)
- 4552.exe detecté par norton internet security (il a modifié 3 truc dans le demarage window)
- 19584.exe detecté par norton internet security (il a modifié 2 truc dans le demarage window)

Un petit icone dans la barre de tache me disait que j'avais un probleme de securité et m'ouvrais des page internet a tout va, imediatement suivie de norton qui, lui, les fermaient et me disait que telle truc d'intrusion avait été bloquer.

A ca, s'ajoute: 
- conecté a un réseau protégé (GATEMAC 00 1B 2F F5 17 7E) (plusieurs fois, et ce n'est pas mon réseau personnel et mon ordi ne detecte que le mien).

Bon, ce que j'en comprends c'est que 2 guignol ont tenté de pirater mon ordi (dites moi si j'ai raison)
Et ce qui ce passe c'est que norton ne demarre plus automatiquement et pas mal d'autre truc egalement comme le pad pour le sans souris (le truc des ordi portable qui sert de souri, cela dit il fonctionne parfaitement mais je n'est plus son icone dans a barre de tache.)

J'ai tenté de restaurer mon system mais mon ordi me dit qu'il y a un probleme et de reesayer avec un autre point de sauvegarde (apres 4 essaie jai arreter).

Bon voila le "petit" probleme que j'ai, si quelqu'un peu m'aider je le remercie d'avance.

je precise quand dehors des programme qui ne demarre pas mon ordinateur marche bien, ou en tous cas a l'air de.

anthony5151 · Answer

Bonjour,


Les alertes de sécurité que tu as eu (pas celles de Norton, les autres) sont de fausses alertes, dont le but est de te faire acheter un rogue, c'est à dire un faux logiciel de protection.
Ce type d'infection peut s'installer de différentes manières (utilisation de cracks, installation de logiciels piégés etc...), mais ce ne sont pas "deux guignols qui ont essayés de te pirater". Ce sont des infections créés dans le but de gagner de l'argent, et donc diffusées au plus grand nombre, et non pas à toi spécifiquement.


Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil. 
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés

kevin05 · Answer

Tromper de topic désolé

phil__38 · Answer

Je te conseillerais, dans l'ordre :
- de te déconnecter d'Internet, et également de tes réseaux internes, pour éviter de propager l'hémorragie, si ce n'est déjà fait
- de rebooter sur un système "propre" (CD ou autre disque dur), et de refaire une install système complète sur ton disque dur de démarrage
- de récuperer un antivirus + un anti-spyware à partir d'un PC clean, et de lancer un scan de tes disques durs, de tes clés USB, etc...
- de surveiller ce qui se lance au démarrage, avec HijackThis par exemple

bon courage...

BloodSoil · Answer

Ok premier rapport "log- Bloc-Note"

Logfile of random's system information tool 1.06 (written by random/random)
Run by Camboly Bryan at 2009-04-08 00:14:45
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 153 GB (64%) free of 238 GB
Total RAM: 3070 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:02, on 08/04/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser.exe
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Users\Camboly Bryan\Desktop\RSIT.exe
C:\Program Files	rend micro\Camboly Bryan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = C:\Program Files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

BloodSoil · Answer

Second rapport "info - bloc-note"

info.txt logfile of random's system information tool 1.06 2009-04-08 00:15:07

======Uninstall list======

-->"C:\Program Files\Symantec\LiveUpdate\LSETUP.EXE" /U
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Adobe Shockwave Player 11.5-->C:\Windows\system32\Adobe\uninstaller.exe
Agere Systems HDA Modem-->agrsmdel
AppCore-->MsiExec.exe /I{EFB5B3B5-A280-4E25-BE1C-634EEFE32C1B}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
ASUS CopyProtect-->MsiExec.exe /I{6B77A7F6-DD63-4F13-A6FF-83137A5AC354}
ASUS Data Security Manager-->C:\Program Files\InstallShield Installation Information\{1C8521E5-5A7B-4A4E-A9CD-AD53116EAEE0}\SETUP.exe -runfromtemp -l0x0009 -removeonly
ASUS LifeFrame3-->MsiExec.exe /I{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}
ASUS Live Update-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{E657B243-9AD4-4ECC-BE81-4CCF8D667FD0}\setup.exe" -l0x9 
ASUS Power4Gear eXtreme-->MsiExec.exe /I{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}
ASUS SmartLogon-->MsiExec.exe /I{64452561-169F-4A36-A2FF-B5E118EC65F5}
ASUS Splendid Video Enhancement Technology-->MsiExec.exe /I{0969AF05-4FF6-4C00-9406-43599238DE0D}
Asus_Camera_ScreenSaver-->"C:\Windows\ASUS Camera ScreenSaver Uninstaller.exe"
Atheros Client Installation Program-->C:\Program Files\InstallShield Installation Information\{28006915-2739-4EBE-B5E8-49B25D32EB33}\SETUP.exe -runfromtemp -l0x0009 -removeonly
ATK Generic Function Service-->C:\Program Files\InstallShield Installation Information\{D3D54F3E-C5C3-443D-978F-87A72E5616E8}\setup.exe -runfromtemp -l0x0009 -removeonly
ATK Hotkey-->C:\Program Files\InstallShield Installation Information\{3912D529-02BC-4CA8-B5ED-0D0C20EB6003}\SETUP.exe -runfromtemp -l0x0009 -removeonly
ATK Media-->MsiExec.exe /I{D1E5870E-E3E5-4475-98A6-ADD614524ADF}
ATKOSD2-->C:\Program Files\InstallShield Installation Information\{5C1DB4ED-E9B4-402D-BB14-D75D97D6C1A6}\SETUP.exe -runfromtemp -l0x0009 -removeonly
ccCommon-->MsiExec.exe /I{B24E05CC-46FF-4787-BBB8-5CD516AFB118}
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Ciel Devis Factures 7.0-->MsiExec.exe /I{112423DB-5C0C-40E2-B3E3-DEF9A1A01B2D}
Cisco EAP-FAST Module-->MsiExec.exe /I{415B2719-AD3A-4944-B404-C472DB6085B3}
Cisco LEAP Module-->MsiExec.exe /I{83770D14-21B9-44B3-8689-F7B523F94560}
Cisco PEAP Module-->MsiExec.exe /I{669C7BD8-DAA2-49B6-966C-F1E2AAE6B17E}
Component Framework-->MsiExec.exe /I{31478BE1-CDE5-4753-A8B2-F6D4BC1FBE09}
CyberLink LabelPrint-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{C59C179C-668D-49A9-B6EA-0121CCFC1243}\Setup.exe"  -uninstall
CyberLink Power2Go-->"C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
CyberLink Power2Go-->"C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\Setup.exe" /z-uninstall
Free Mp3 Wma Converter V 1.8.0-->"C:\Program Files\Free Audio Pack\unins000.exe"
Galactic Civilizations 1.12-->C:\PROGRA~1\STRATE~1\GALACT~1\UNWISE.EXE C:\PROGRA~1\STRATE~1\GALACT~1\INSTALL.LOG
Galactic Civilizations-->C:\PROGRA~1\STRATE~1\GALACT~1\UNWISE.EXE C:\PROGRA~1\STRATE~1\GALACT~1\INSTALL.LOG
GCFScape 1.7.1-->"C:\Program Files\GCFScape\unins000.exe"
Google Desktop-->C:\Program Files\Google\Google Desktop Search\GoogleDesktopSetup.exe -uninstall
Google Toolbar for Internet Explorer-->"C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarManager_0531C63A913CC9D1.exe" /uninstall
Google Toolbar for Internet Explorer-->MsiExec.exe /I{18455581-E099-4BA8-BC6B-F34B2F06600C}
Half-Life 2: Episode One-->"C:\Program Files\Steam\steam.exe" steam://uninstall/380
Half-Life 2: Episode Two-->"C:\Program Files\Steam\steam.exe" steam://uninstall/420
Half-Life 2: Lost Coast-->"C:\Program Files\Steam\steam.exe" steam://uninstall/340
Half-Life 2-->"C:\Program Files\Steam\steam.exe" steam://uninstall/220
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hitman: Contracts-->C:\PROGRA~1\Eidos\HITMAN~1\uninstall.exe
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall  /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Java(TM) 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
Java(TM) 6 Update 3-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
LightScribe System Software  1.14.17.1-->MsiExec.exe /X{0E7DBD52-B097-4F2B-A7C7-F105B0D20FDB}
LiveUpdate (Symantec Corporation)-->MsiExec.exe /x {E80F62FF-5D3C-4A19-8409-9721F2928206} /l*v "C:\ProgramData\LuUninstall.LiveUpdate"
LiveUpdate (Symantec Corporation)-->MsiExec.exe /X{E80F62FF-5D3C-4A19-8409-9721F2928206}
Maelstrom-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DD033E4A-5E1D-4881-99F1-80C45EB45DB1}\setup.exe" -l0x40c  -removeonly
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
NB Probe-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{6324A1EF-CEF4-43E3-8BCD-9EF3F67317FD}\setup.exe" -l0x9 
Norton AntiVirus Help-->MsiExec.exe /I{E3EFA461-EB83-4C3B-9C47-2C1D58A01555}
Norton AntiVirus-->MsiExec.exe /X{77FFBA7E-0973-4F39-BBDB-AC2F537578D2}
Norton Confidential Core-->MsiExec.exe /I{55A6283C-638A-4EE0-B491-51118554BDA2}
Norton Internet Security (Symantec Corporation)-->"C:\Program Files\Common Files\Symantec Shared\SymSetup\{C1C185CA-C531-49F5-A6FA-B838405A049D}_15_5_0_23\SETUP.EXE" /X
Norton Internet Security-->MsiExec.exe /I{3672B097-EA69-4BFE-B92F-29AE6D9D2B34}
Norton Internet Security-->MsiExec.exe /I{C1C185CA-C531-49F5-A6FA-B838405A049D}
Norton Protection Center-->MsiExec.exe /I{62120008-8E1E-4807-860D-A8B48F8552DB}
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
OFFICE One 150 Templates v7-->MsiExec.exe /I{482B8955-B349-4052-88F1-30F7F98A5F66}
OFFICE One 7.0-->MsiExec.exe /I{276CB8D8-4C93-4C1D-95A3-B1B1FFF980A1}
OFFICE One BankPerfect-->MsiExec.exe /I{355E9AFB-2C1F-4E38-B44F-978F3C0CE205}
OFFICE One ClipArt v7-->MsiExec.exe /I{194D323A-752E-4CF4-82A7-02FD35B80C35}
OFFICE One Digital Picture v7-->MsiExec.exe /I{BA20321C-60ED-493D-B591-D5DB72115492}
OFFICE One Fonts v7-->MsiExec.exe /I{7DD97E1B-49EB-4C54-B7E1-7277994185D1}
OFFICE One License v7-->MsiExec.exe /I{74588E42-C78A-42A8-9A3A-9ED6BF747CFE}
OFFICE One Menu v7-->MsiExec.exe /I{EA542F1C-BED0-4C70-A916-461950772FE1}
OFFICE One Notes v7-->MsiExec.exe /I{3183D9AD-AD6D-4C31-8403-D6F28A62EE10}
OFFICE One QuickPDF LITE v7-->MsiExec.exe /I{BEF146E0-2264-4DA9-B235-3961313E270E}
OFFICE One QuickZip v7-->MsiExec.exe /I{17A1D828-4138-49EF-9376-1B37AA2BD3BF}
OFFICE One Safety-Box v7-->MsiExec.exe /I{FD1561B6-DB6D-484C-A742-1AA861F779EC}
OFFICE One Startup v7-->MsiExec.exe /I{A5190C4B-3DD2-470D-95CA-47C1976F9EE6}
OFFICE One v7 Paint.net-->MsiExec.exe /I{820A9A2C-1824-4FCF-9AA5-CCC84724583A}
Portal-->"C:\Program Files\Steam\steam.exe" steam://uninstall/400
QuickTime-->MsiExec.exe /I{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.exe"  -removeonly
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.52.02-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6A514-9813-47A3-948C-8A155460CC2A}\SETUP.EXE" -l0x9 anything
SAGEM F@st 800/840-->C:\Program Files\InstallShield Installation Information\{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}\setup.exe -runfromtemp -l0x040c -removeonly
Search Settings 1.2-->MsiExec.exe /X{D0C73318-7B4A-4D16-A0C4-3B83F075EA88}
Source SDK-->"C:\Program Files\Steam\steam.exe" steam://uninstall/211
SPBBC 32bit-->MsiExec.exe /I{77772678-817F-4401-9301-ED1D01A8DA56}
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
Symantec Real Time Storage Protection Component-->MsiExec.exe /I{D6E6FA4A-5445-4850-8365-CF216C1CBB7A}
Synaptics Pointing Device Driver-->rundll32.exe "C:\Program Files\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
Team Fortress 2-->"C:\Program Files\Steam\steam.exe" steam://uninstall/440
USB2.0 UVC 1.3M WebCam-->C:\Windows\snuninst.exe /name='USB2.0 UVC 1.3M WebCam'
VLC media player 0.9.8a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
WinFlash-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{DE10AB76-4756-4913-BE25-55D1C1051F9A}\setup.exe" -l0x9 
Wireless Console 2-->C:\Program Files\InstallShield Installation Information\{83F73CB1-7705-49D1-9852-84D839CA2A45}\SETUP.exe -runfromtemp -l0x0009 -removeonly

======Security center information======

AV: Norton Internet Security
FW: Norton Internet Security
AS: Windows Defender
AS: Norton Internet Security

======System event log======

Computer Name: PC-de-CambolyBr
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 47724
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20090407210630.277800-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-CambolyBr
Event Code: 15016
Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
Record Number: 47738
Source Name: Microsoft-Windows-HttpEvent
Time Written: 20090407210727.159176-000
Event Type: Erreur
User: 

Computer Name: PC-de-CambolyBr
Event Code: 1001
Message: L’initialisation de l’application a échoué. Dernière erreur : 0x80070032
Record Number: 47749
Source Name: Microsoft-Windows-LanguagePackSetup
Time Written: 20090407210751.832576-000
Event Type: Erreur
User: AUTORITE NT\SYSTEM

Computer Name: PC-de-CambolyBr
Event Code: 1003
Message: 
Record Number: 47845
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20090407211156.000000-000
Event Type: Avertissement
User: 

Computer Name: PC-de-CambolyBr
Event Code: 1002
Message: Le bail de l'adresse IP 192.168.1.5 pour la carte réseau dont l'adresse réseau est 00224363632E a été refusé par le serveur DHCP 0.0.0.0 (celui-ci a envoyé un message DHCPNACK).
Record Number: 47846
Source Name: Microsoft-Windows-Dhcp-Client
Time Written: 20090407211156.000000-000
Event Type: Erreur
User: 

=====Application event log=====

Computer Name: PC-de-CambolyBr
Event Code: 8209
Message: Une erreur non spécifiée s’est produite durant la restauration du système : (Windows Update). Informations supplémentaires : .
Record Number: 5796
Source Name: System Restore
Time Written: 20090407205142.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-CambolyBr
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 5797
Source Name: Microsoft-Windows-WMI
Time Written: 20090407205223.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-CambolyBr
Event Code: 8209
Message: Une erreur non spécifiée s’est produite durant la restauration du système : (Windows Update). Informations supplémentaires : .
Record Number: 5838
Source Name: System Restore
Time Written: 20090407210156.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-CambolyBr
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 5839
Source Name: Microsoft-Windows-WMI
Time Written: 20090407210236.000000-000
Event Type: Erreur
User: 

Computer Name: PC-de-CambolyBr
Event Code: 10
Message: Le filtre d’événement avec la requête « SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99 » n’a pas pu être réactivé dans l’espace de noms « //./root/CIMV2 » à cause de l’erreur 0x80041003. Les événements ne peuvent pas être délivrés à travers ce filtre tant que le problème ne sera pas corrigé.
Record Number: 5901
Source Name: Microsoft-Windows-WMI
Time Written: 20090407210856.000000-000
Event Type: Erreur
User: 

=====Security event log=====

Computer Name: PC-de-CambolyBr
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers	cpip.sys	
Record Number: 5991
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090407221502.222776-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-CambolyBr
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers	cpip.sys	
Record Number: 5992
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090407221502.253976-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-CambolyBr
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers	cpip.sys	
Record Number: 5993
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090407221502.285176-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-CambolyBr
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers	cpip.sys	
Record Number: 5994
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090407221502.300776-000
Event Type: Échec de l'audit
User: 

Computer Name: PC-de-CambolyBr
Event Code: 5038
Message: L’intégrité du code a déterminé que le hachage de l’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée ou le hachage non valide peut indiquer une erreur d’unité de disque potentielle.

Nom du fichier :	\Device\HarddiskVolume2\Windows\System32\drivers	cpip.sys	
Record Number: 5995
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20090407221502.331976-000
Event Type: Échec de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"TRACE_FORMAT_SEARCH_PATH"=\NTREL202.ntdev.corp.microsoft.com\4F18C3A5-CA09-4DBD-B6FC-219FDD4C6BE0\TraceFormat
"DFSTRACINGON"=FALSE
"configsetroot"=%SystemRoot%\ConfigSetRoot
"CLASSPATH"=.;C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.6.0_03\lib\ext\QTJava.zip

-----------------EOF-----------------

anthony5151 · Answer

Re,


Il y a plusieurs infections, il va falloir utiliser plusieurs programmes pour désinfecter --> merci de revenir jusqu'au bout.


Commençons par la plus simple : il y a une barre d'outil néfaste sur ton ordinateur (SearchSettings)...
Lors de l'installation de programmes gratuits, il faut lire attentivement et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outil !


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

• Fais un clic-droit sur le raccourci de Toolbar-S&D sur le Bureau et choisis "Exécuter en tant qu' Administrateur" 
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
• Choisis l'option "2" puis valide en appuyant sur "Entrée". 
• Ne ferme pas la fenêtre lors de la suppression ! 
• Un rapport sera généré, poste son contenu ici.

kevin05 · Answer

Pas couché anthony ? ;)

kevin05 · Answer

lol

Pareil, mon père va arriver du boulot

Vais me faire allumer...si je reste

Pour ça tout les jours me couche avant qu'il arrive 

J'suis un enfant de coeur hein ;)

BloodSoil · Answer

jai jaimais donner d'autorisation pour cette barre d'outils mais bon.
voici le rapport:

   -----------\  ToolBar S&D 1.2.8   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6001 ) Service Pack 1
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz )
   BIOS : Default System BIOS
   USER : Camboly Bryan ( Administrator )
   BOOT : Normal boot
   Antivirus : Norton Internet Security 15.5.0.23 (Activated)
   Firewall  : Norton Internet Security 15.5.0.23 (Activated)
   C:\ (Local Disk) - NTFS - Total:232 Go (Free:149 Go)
   D:\ (Local Disk) - NTFS - Total:223 Go (Free:223 Go)
   E:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
   Option : [2] ( 08/04/2009|11:25 )

   [ UAC => 1 ]

   -----------\ SUPPRESSION

   Supprime! - C:\Program Files\Search Settings\kb127
   Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
   Supprime! - C:\Program Files\Search Settings

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Default_Page_URL"="https://www.google.com/webhp?gws_rd=ssl"
   "Url"="https://www.msn.com/fr-fr/actualite/"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="https://www.msn.com/fr-fr/"
   "Default_Page_URL"="https://www.google.com/webhp?gws_rd=ssl"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !

   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - 08/04/2009|11:29 - Option : [2]

   -----------\  Fin du rapport a 11:29:42,62

anthony5151 · Answer

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\Windows\system32\oopmagent.exe 
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.




Ensuite fais ceci stp :

• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici

BloodSoil · Answer

jai sa apres l'analyse de virustotal.

MD5: 9fed8e2d33238fbdfde83678b5ceac8e 
First received: 2007.10.13 18:41:48 (CET) 
Date 2008.12.17 22:56:20 (CET) [>112D] 
Résultats 0/38 
Permalink: analisis/25d59e6439424faedc66f932a07a3b89

anthony5151 · Answer

Re,

C'est une ancienne analyse, il faut que tu cliques sur "réanalyser"

BloodSoil · Answer

ok c'est fait, j'ai ca maintenant.


Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.101 2009.04.09 - 
AhnLab-V3 5.0.0.2 2009.04.09 - 
AntiVir 7.9.0.138 2009.04.09 - 
Antiy-AVL 2.0.3.1 2009.04.09 - 
Authentium 5.1.2.4 2009.04.08 - 
Avast 4.8.1335.0 2009.04.09 - 
AVG 8.5.0.285 2009.04.09 - 
BitDefender 7.2 2009.04.09 - 
CAT-QuickHeal 10.00 2009.04.09 - 
ClamAV 0.94.1 2009.04.09 - 
Comodo 1107 2009.04.09 - 
DrWeb 4.44.0.09170 2009.04.09 - 
eSafe 7.0.17.0 2009.04.07 - 
eTrust-Vet 31.6.6447 2009.04.09 - 
F-Prot 4.4.4.56 2009.04.08 - 
F-Secure 8.0.14470.0 2009.04.09 - 
Fortinet 3.117.0.0 2009.04.09 - 
GData 19 2009.04.09 - 
Ikarus T3.1.1.49.0 2009.04.09 - 
K7AntiVirus 7.10.698 2009.04.09 - 
Kaspersky 7.0.0.125 2009.04.09 - 
McAfee 5578 2009.04.08 - 
McAfee+Artemis 5578 2009.04.08 - 
McAfee-GW-Edition 6.7.6 2009.04.09 - 
Microsoft 1.4502 2009.04.09 - 
NOD32 3997 2009.04.09 - 
Norman 6.00.06 2009.04.09 - 
nProtect 2009.1.8.0 2009.04.09 - 
Panda 10.0.0.14 2009.04.09 - 
PCTools 4.4.2.0 2009.04.08 - 
Prevx1 V2 2009.04.09 - 
Rising 21.24.32.00 2009.04.09 - 
Sophos 4.40.0 2009.04.09 - 
Sunbelt 3.2.1858.2 2009.04.09 - 
Symantec 1.4.4.12 2009.04.09 - 
TheHacker 6.3.4.0.305 2009.04.09 - 
TrendMicro 8.700.0.1004 2009.04.09 - 
VBA32 3.12.10.2 2009.04.09 - 
ViRobot 2009.4.7.1686 2009.04.09 - 
VirusBuster 4.6.5.0 2009.04.09 - 
Information additionnelle 
File size: 90112 bytes 
MD5...: 9fed8e2d33238fbdfde83678b5ceac8e 
SHA1..: a5cf733bbddd0a5cae20b958d12c0100a5a69507 
SHA256: 5bd3993bf28462935d270d652251655520df65d8fdefaa04dd65cbe3df5abcde 
SHA512: 55d3e876cf07a6539f218e1528ed057ae2911c3dc72db120797434f5460b1f42
cb7cdefd5bae00ece2d05482d2bde73607c7fad1ee30c110c781acc0cc6d9540 
ssdeep: 1536:hL05wGe+b91M1u8WfMbyZj/xi1DPS2GJcXzfHQgzmpCN:ob9SWkbnDPcJyf
HQgzmpCN
 
PEiD..: - 
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4de3
timedatestamp.....: 0x45caad5f (Thu Feb 08 04:55:59 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd64f 0xe000 6.44 4022995b6e802396ad86937e838088f8
.rdata 0xf000 0x37bc 0x4000 4.77 3f5a8553ad4309ac230123ae5be3f7f8
.data 0x13000 0x53e0 0x2000 1.57 f8f1cd8f302c228bcb09aa8a9fb60e42
.rsrc 0x19000 0x414 0x1000 3.70 7ab74116f3695ea17cb5e1c5392c5711

( 2 imports ) 
> KERNEL32.dll: GetCurrentThreadId, RaiseException, GlobalUnlock, GlobalLock, GlobalAlloc, TerminateProcess, TerminateThread, GetExitCodeThread, ResetEvent, CreateThread, WaitForSingleObject, GetLastError, SizeofResource, LockResource, LoadResource, FreeLibrary, LoadLibraryA, InterlockedExchange, GetModuleHandleA, SetLastError, WaitForMultipleObjects, CloseHandle, LocalAlloc, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, HeapDestroy, HeapAlloc, HeapFree, HeapReAlloc, HeapSize, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, InitializeCriticalSection, DeleteCriticalSection, RtlUnwind, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, InterlockedIncrement, InterlockedDecrement, GetOEMCP, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, HeapCreate, VirtualFree, VirtualAlloc, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, GetCommandLineA, GetCommandLineW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, Sleep, LCMapStringA, GetStringTypeA, SetFilePointer, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, CreateFileA, FlushFileBuffers
> ADVAPI32.dll: RegCloseKey

( 0 exports ) 
 
RDS...: NSRL Reference Data Set
-

BloodSoil · Answer

Pour mbam il a fini son analyse en me disant qu'il n'avait rien trouver.
Voici le rapport.

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1958
Windows 6.0.6001 Service Pack 1

09/04/2009 19:40:15
mbam-log-2009-04-09 (19-40-15).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 182526
Temps écoulé: 2 hour(s), 23 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

anthony5151 · Answer

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


/!\ Désactive tous tes logiciels de protection /!\

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Fais un clic droit sur ComboFix.exe et choisis "exécuter en tant qu’administrateur" pour le lancer (pas de double-clic)
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

BloodSoil · Answer

Est-ce que je dois couper ma connexion internet avant de le lancer?

anthony5151 · Answer

Non, Combofix a besoin d'une connection internet active.

Je ne pourrai probablement pas te répondre avant lundi, merci de patienter un peu :)

@+

BloodSoil · Answer

Voici le rapport: ComboFix 09-04-04.01 - Camboly Bryan 2009-04-13 15:29:36.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.3070.2142 [GMT 2:00] Lancé depuis: c:\users\Camboly Bryan\Desktop\ComboFix.exe * Un nouveau point de restauration a été créé . - Mode FONCTIONNALITES REDUITES - . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\acovcnt.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2009-03-13 au 2009-04-13 )))))))))))))))))))))))))))))))))))) . 2009-04-11 14:38 . 2009-04-11 14:38 21,840 --a------ c:\windows\System32\SIntfNT.dll 2009-04-11 14:38 . 2009-04-11 14:38 17,212 --a------ c:\windows\System32\SIntf32.dll 2009-04-11 14:38 . 2009-04-11 14:38 12,067 --a------ c:\windows\System32\SIntf16.dll 2009-04-11 14:36 . 2009-04-11 14:36 102,400 --a------ c:\windows\DIIUnin.exe 2009-04-11 14:36 . 2009-04-11 14:45 18,375 --a------ c:\windows\DIIUnin.dat 2009-04-11 14:36 . 2009-04-11 14:36 2,829 --a------ c:\windows\DIIUnin.pif 2009-04-11 14:29 . 2009-04-13 08:29 d-------- c:\program files\Diablo II 2009-04-10 17:29 . 2009-04-10 17:29 d-------- c:\program files\SpywareBlaster 2009-04-10 17:29 . 2005-08-25 19:18 118,784 --a------ c:\windows\System32\MSSTDFMT.DLL 2009-04-10 13:22 . 2009-04-10 20:35 d-------- c:\users\All Users\Spybot - Search & Destroy 2009-04-10 13:22 . 2009-04-10 20:35 d-------- c:\programdata\Spybot - Search & Destroy 2009-04-10 13:22 . 2009-04-10 13:22 d-------- c:\program files\Spybot - Search & Destroy 2009-04-10 13:15 . 2009-04-10 13:15 d-------- c:\users\All Users\Avira 2009-04-10 13:15 . 2009-04-10 13:15 d-------- c:\programdata\Avira 2009-04-10 13:15 . 2009-04-10 13:15 d-------- c:\program files\Avira 2009-04-09 16:25 . 2009-04-09 16:25 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-04-09 16:25 . 2009-04-06 15:32 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys 2009-04-09 16:25 . 2009-04-06 15:32 15,504 --a------ c:\windows\System32\drivers\mbam.sys 2009-04-08 11:24 . 2009-04-08 11:29 d-------- C:\ToolBar SD 2009-04-08 00:14 . 2009-04-08 00:15 d-------- C: sit 2009-04-07 22:43 . 2009-04-07 22:43 d-------- c:\users\ADMINI~1\AppData 2009-04-07 22:43 . 2009-04-07 22:43 d-------- c:\users\ADMINI~1 2009-04-06 23:51 . 2009-04-06 23:51 d-------- c:\users\Camboly Bryan\AppData\Roaming\Malwarebytes 2009-04-06 23:51 . 2009-04-06 23:51 d-------- c:\users\All Users\Malwarebytes 2009-04-06 23:51 . 2009-04-06 23:51 d-------- c:\programdata\Malwarebytes 2009-04-06 23:48 . 2009-04-08 00:15 d-------- c:\program files\Trend Micro 2009-04-05 09:17 . 2009-04-05 09:17 d-------- c:\users\Public\Pictures 2009-04-04 12:45 . 2009-04-04 12:45 d-------- c:\program files\Free Audio Pack 2009-04-04 11:34 . 2003-02-03 16:14 221,184 --a------ c:\windows\System32\DartSock.dll 2009-04-04 11:34 . 2003-02-03 16:14 118,784 --a------ c:\windows\System32\DartWeb.dll 2009-04-04 11:34 . 2003-02-03 16:14 49,152 --a------ c:\windows\System32\DartObjects.dll 2009-04-04 11:33 . 2009-04-04 11:33 d-------- c:\program files\Strategy First 2009-04-03 23:50 . 2009-04-03 23:50 d-------- c:\program files\MSXML 4.0 2009-04-03 21:52 . 2009-04-03 21:52 d-------- c:\program files\Codemasters 2009-04-03 20:03 . 2009-04-03 20:03 410,984 --a------ c:\windows\System32\deploytk.dll 2009-04-02 18:56 . 2009-04-07 22:56 dr------- c:\users\Public\Music 2009-04-02 18:46 . 2009-04-08 15:46 d-------- c:\users\Camboly Bryan\AppData\Roaming\OFFICEOne7 2009-04-02 18:40 . 2009-04-02 18:42 d-------- c:\windows\System32\Adobe 2009-04-02 18:38 . 2009-04-02 18:38 d-------- c:\users\Camboly Bryan\AppData\Roaming\OFFICE One v7 2009-04-02 18:34 . 2009-04-02 18:34 d-------- c:\program files\QuickTime 2009-04-02 18:33 . 2009-04-02 18:34 d-------- c:\users\All Users\Apple Computer 2009-04-02 18:33 . 2009-04-02 18:34 d-------- c:\programdata\Apple Computer 2009-04-02 18:32 . 2009-04-02 18:32 d-------- C:\OFFICE One v7 2009-04-02 18:32 . 2009-04-02 18:32 16,384 --a------ c:\windows\System32\DsrSleep.dll 2009-04-02 18:31 . 2009-04-02 18:35 d-------- c:\users\All Users\OFFICE One v7 2009-04-02 18:31 . 2009-04-02 18:35 d-------- c:\programdata\OFFICE One v7 2009-04-02 18:31 . 2009-04-02 18:31 2,248,704 --a------ c:\windows\System32\PDFCreatorPilot3.dll 2009-04-02 18:31 . 2009-04-02 18:31 110,592 --a------ c:\windows\System32\oopmdisp.exe 2009-04-02 18:31 . 2009-04-02 18:31 90,112 --a------ c:\windows\System32\oopmagent.exe 2009-04-02 18:31 . 2009-04-02 18:31 45,568 --a------ c:\windows\System32\progress.exe 2009-04-02 18:31 . 2009-04-02 18:31 26,112 --a------ c:\windows\System32\oopmpm.dll 2009-04-02 18:31 . 2009-04-02 18:31 4,521 --a------ c:\windows\System32\oopm.lng 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Videos 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Searches 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Saved Games 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Pictures 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Music 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Links 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Downloads 2009-04-02 18:30 . 2009-04-02 18:30 dr------- c:\windows\System32\config\systemprofile\Documents 2009-04-02 18:30 . 2009-04-02 18:30 d-------- c:\users\All Users\Ciel 2009-04-02 18:30 . 2009-04-02 18:30 d-------- c:\programdata\Ciel 2009-04-02 18:30 . 2009-04-02 18:30 d-------- c:\program files\Common Files\Ciel 2009-04-02 18:30 . 2009-04-02 18:30 d-------- c:\program files\Ciel 2009-04-02 18:30 . 2009-04-02 18:30 d-------- C:\Données Ciel 2009-04-02 18:30 . 2007-06-13 12:12 3,186,688 --a------ c:\windows\System32\cdintf300.dll 2009-04-02 18:30 . 2007-06-13 12:12 3,186,688 --a------ c:\windows\System32\acXMLParser.dll 2009-04-02 18:27 . 2009-04-02 18:34 d-------- c:\program files\OFFICE One v7 2009-04-02 18:02 . 2009-04-03 20:03 d-------- c:\program files\Java 2009-04-02 18:02 . 2009-04-02 18:02 d-------- c:\program files\Common Files\Java 2009-04-02 18:00 . 2009-04-02 18:00 d-------- c:\program files\OFFICE One 7.0 2009-04-01 15:15 . 2009-04-01 15:15 d-------- c:\users\Camboly Bryan\AppData\Roaming\vlc 2009-04-01 15:13 . 2009-04-01 15:13 d-------- c:\program files\VideoLAN 2009-03-25 18:03 . 2009-03-29 20:40 d-------- c:\users\Camboly Bryan\AppData\Roaming\Azureus 2009-03-25 18:03 . 2009-03-25 18:03 d-------- c:\users\All Users\Azureus 2009-03-25 18:03 . 2009-03-25 18:03 d-------- c:\programdata\Azureus 2009-03-25 18:01 . 2009-03-25 18:01 d-------- c:\program files\Common Files\i4j_jres 2009-03-23 20:30 . 2009-04-13 08:28 d-------- c:\users\Camboly Bryan\Tracing 2009-03-23 20:30 . 2009-03-23 20:30 d-------- c:\program files\Microsoft 2009-03-23 20:29 . 2009-03-23 20:30 d-------- c:\program files\Windows Live 2009-03-23 20:26 . 2009-03-23 20:26 d-------- c:\program files\Common Files\Windows Live 2009-03-22 18:32 . 2009-03-23 20:30 d-------- c:\users\Public\Documents 2009-03-19 17:22 . 2009-03-19 17:22 d-------- c:\program files\GCFScape 2009-03-18 20:47 . 2009-03-18 20:47 d-------- c:\program files\Eidos 2009-03-18 14:37 . 2009-03-18 14:37 d-------- c:\program files\Lionhead Studios Ltd 2009-03-17 13:25 . 2009-03-17 20:00 d-------- C:\HammerAutosave 2009-03-15 17:26 . 2009-03-15 17:26 77 --a------ c:\windows\adidsl.ini 2009-03-15 17:25 . 2009-03-15 17:25 d-------- c:\users\Camboly Bryan\{e8b81809-894f-4d43-aeb5-15c986119d10} 2009-03-15 17:22 . 2009-03-15 17:22 d-------- c:\users\Camboly Bryan\AppData\Roaming\InstallShield 2009-03-15 17:22 . 2002-03-07 17:38 261,952 --a------ c:\windows\System32\drivers tbld3.bnm 2009-03-15 17:19 . 2006-06-16 15:36 89,088 --a------ c:\windows\System32\atl71.dll 2009-03-13 21:18 . 2009-03-13 21:18 d-------- c:\program files\JoWooD 2009-03-13 21:18 . 1998-10-07 14:08 327,168 --a------ c:\windows\IsUn040c.exe 2009-03-13 19:14 . 2009-03-13 19:14 d-------- c:\users\Camboly Bryan\AppData\Roaming\Yahoo! 2009-03-13 19:14 . 2009-03-13 19:24 d-------- c:\program files\Yahoo! 2009-03-13 19:14 . 2009-03-13 19:14 d-------- c:\program files\CCleaner . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-04-13 13:24 28,599 ----a-w c:\users\All Users vModes.dat 2009-04-13 13:24 28,599 ----a-w c:\programdata vModes.dat 2009-04-13 06:28 --------- d-----w c:\program files\Steam 2009-04-10 18:33 --------- d-----w c:\program files\Common Files\Symantec Shared 2009-04-10 11:11 --------- d-----w c:\programdata\Symantec 2009-04-07 20:56 --------- d-----w c:\programdata\P4G 2009-04-07 20:56 --------- d-----w c:\programdata\Microsoft Help 2009-04-07 20:56 --------- d-----w c:\program files\Metin2_France 2009-04-03 19:52 --------- d--h--w c:\program files\InstallShield Installation Information 2009-04-02 16:30 --------- d-----w c:\program files\Common Files\InstallShield 2009-04-02 16:29 155,995 ----a-w c:\windows\Java\Packages\PNRFPJB7.ZIP 2009-04-01 16:12 --------- d-----w c:\programdata\ASUS 2009-03-18 12:35 --------- d-----w c:\program files\Common Files\Steam 2009-03-11 23:31 --------- d-----w c:\program files\Windows Mail 2009-03-11 16:18 --------- d-----w c:\users\Camboly Bryan\AppData\Roaming\Symantec 2009-03-11 16:15 --------- d-----w c:\program files\Common Files\Adobe 2009-03-11 16:09 --------- d-sh--w c:\programdata\Templates 2009-03-11 16:09 --------- d-sh--w c:\programdata\Start Menu 2009-03-11 16:09 --------- d-sh--w c:\programdata\Favorites 2009-03-11 16:09 --------- d-sh--w c:\programdata\Documents 2009-03-11 16:09 --------- d-sh--w c:\programdata\Desktop 2009-03-11 16:09 --------- d-sh--w c:\programdata\Application Data 2009-02-09 03:10 2,033,152 ----a-w c:\windows\System32\win32k.sys 2009-02-06 17:52 49,504 ----a-w c:\windows\System32\sirenacm.dll 2009-01-15 06:11 827,392 ----a-w c:\windows\System32\wininet.dll 2008-07-02 03:28 61,440 ----a-w c:\program files\Common Files\CPInstallAction.dll 2008-05-22 17:35 51,962 ----a-w c:\program files\Common Files\banner.jpg 2008-01-21 02:43 174 --sha-w c:\program files\desktop.ini 2007-06-12 18:34 35,822 ----a-w c:\program files\Common Files\ASPG_icon.ico . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1] @="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}" [HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}] 2007-06-02 03:08 143360 --a------ c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-06-09 2363392] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-25 39408] "Steam"="c:\program files\Steam\Steam.exe" [2009-03-11 1410296] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408] "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-02-19 1471728] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ OFFICE One Startup v7.lnk - c:\program files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-03-12 737800] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3codecp"= l3codecp.acm [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 23:16 39792 c:\program files\Adobe\Reader 8.0\Reader eader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] --a------ 2008-12-25 13:12 30192 c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 R0 lullaby;lullaby;c:\windows\System32\drivers\lullaby.sys [2008-12-25 15416] R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-04-10 1153368] R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\System32\drivers\SiSGB6.sys [2007-11-16 48128] S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-12-25 30192] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}] \shell\AutoRun\command - E:\SETUP.EXE [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\program files\Common Files\LightScribe\LSRunOnce.exe" . - - - - ORPHELINS SUPPRIMES - - - - MSConfigStartUp-ChkMail - c:\program files\ChkMail\ChkMail\ChkMail.exe . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ mWindow Title = IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: Microsoft XML Parser for Java - file:///C:/Windows/Java/classes/xmldso.cab FF - ProfilePath - c:\users\Camboly Bryan\AppData\Roaming\Mozilla\Firefox\Profiles\s7svvsf3.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ . ************************************************************************** catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-04-13 15:30:22 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... C:\ADSM_PData_0150 Scan terminé avec succès Fichiers cachés: 1 ************************************************************************** . Heure de fin: 2009-04-13 15:32:34 ComboFix-quarantined-files.txt 2009-04-13 13:32:32 Avant-CF: 164 437 225 472 octets libres Après-CF: 164,402,335,744 octets libres 215 --- E O F --- 2009-04-11 09:19:07

anthony5151 · Answer

OK, tu as aussi une infection de disque amovible :


Télécharge UsbFix (de Chiquitine29 et C_XX) sur ton Bureau

• Lance l'installation avec les paramètres par défaut
• Branche tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le raccourci UsbFix sur ton Bureau
• Au menu principal, choisis l'option 1
• A la fin, un rapport va apparaitre, poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur --> C:\UsbFix.txt)

BloodSoil · Answer

Y me dit accès refuser et il se ferme.
Comment je fais?

anthony5151 · Answer

Lance le en faisant un clic-droit dessus et en choisissant "Exécuter en temps qu'administrateur"

BloodSoil · Answer

OK voici le rapport après analyse:


############################## [ UsbFix V3.007 ] 

# User : Camboly Bryan (Administrateurs) # PC-DE-CAMBOLYBR
# Update on 13/04/09 by C_XX & Chiquitine29
# Start at: 18:55:56 | 16/04/2009

# Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 232,88 Go (149,14 Go free) [VistaOS] # NTFS
# D:\ # Disque fixe local # 223,12 Go (223,08 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM # 588,26 Mo (0 Mo free) [PLAYDISC] # CDFS
# F:\ # Disque amovible # 962,2 Mo (88,56 Mo free) # FAT
# G:\ # Disque amovible # 1,86 Go (1,84 Go free) [UDISK 2.0] # FAT
 
############################## [ Processus actifs ] 
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Windows\system32	askeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Steam\steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Windows\System32\ACEngSvr.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Program Files\ATK Hotkey\WDC.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Common Files\Steam\SteamService.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Media Player\wmplayer.exe
\?\C:\Windows\system32\wbem\WMIADAP.EXE
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ] 

HKCU_Main:  "Local Page"="C:\Windows\system32\blank.htm" 
HKCU_Main:  "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF" 
HKCU_Main:  "Start Page"="https://www.google.fr/?gws_rd=ssl" 
HKLM_logon: "Userinit"="C:\Windows\system32\userinit.exe," 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKCU_Run:    LightScribe Control Panel=C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden  
HKCU_Run:    swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  
HKCU_Run:    Steam="C:\Program Files\Steam\Steam.exe" -silent  
HKCU_Run:    msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background  
HKCU_Run:    ccleaner="C:\Program Files\CCleaner\CCleaner.exe" /AUTO  
HKCU_Run:    SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe  
HKLM_Run:    avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 

################## [ Informations ] 
 
# Contenu de l'autorun E:\autorun.inf 
[autorun]
OPEN=SETUP.EXE
ICON=DIABLOII.ICO

 

# -> ( Value | Good = 0x0 Bad = 0x1 )

# HKCU\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0) 
# HKCU\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0) 
# HKCU\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0) 

# HKLM\SOFTWARE\...\Policies\System "DisableRegedit" = (0x0) 
# HKLM\SOFTWARE\...\Policies\System "DisableRegistryTools" = (0x0) 
# HKLM\SOFTWARE\...\Policies\System "DisableTaskMgr" = (0x0) 

################## [ Fichiers # Dossiers infectieux ] 

Found ! E:\Setup.exe  
Found ! E:\autorun.inf  
 
################## [ Registre # Clés Run infectieuses ] 
 
# -> Not Found !  
 
################## [ Registre # Mountpoints2 ] 
 
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}\shell\AutoRun\command
@=	E:\SETUP.EXE
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}\shell\AutoRun\command
@=	E:\SETUP.EXE
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}\shell\AutoRun\command
@=	E:\SETUP.EXE
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}\shell\AutoRun\command
@=	E:\SETUP.EXE
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}\shell\AutoRun\command
@=	E:\SETUP.EXE
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}\shell\AutoRun\command
@=	E:\SETUP.EXE

################## [ ! Fin du rapport # UsbFix V3.007 ! ]

anthony5151 · Answer

Ok, on passe au nettoyage :


Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) 

# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "Exécuter en tant qu'administrateur"
# Choisis l'option 2 ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Un rapport UsbFix.txt apparaitra, poste le dans ta prochaine réponse stp.

BloodSoil · Answer

tout c'est bien passer,


############################## [ UsbFix V3.007 ] 

# User : Camboly Bryan (Administrateurs) # PC-DE-CAMBOLYBR
# Update on 13/04/09 by C_XX & Chiquitine29
# Start at: 19:55:52 | 16/04/2009

# Intel(R) Core(TM)2 Duo CPU     P8400  @ 2.26GHz
# Microsoft® Windows Vista™ Édition Familiale Premium  (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 7.0.6001.18000
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 232,88 Go (149,39 Go free) [VistaOS] # NTFS
# D:\ # Disque fixe local # 223,12 Go (223,08 Go free) [DATA] # NTFS
# E:\ # Disque CD-ROM # 588,26 Mo (0 Mo free) [PLAYDISC] # CDFS
# F:\ # Disque amovible # 962,2 Mo (88,56 Mo free) # FAT
# G:\ # Disque amovible # 1,86 Go (1,86 Go free) [UDISK 2.0] # FAT
 
############################## [ Processus actifs ] 
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Windows\system32\WLANExt.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32	askeng.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\lpksetup.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\userinit.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\DllHost.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ASUS\ASUS CopyProtect\aspg.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Windows\System32\ACEngSvr.exe

################## [ Fichiers # Dossiers infectieux ] 

(!) Not Deleted ! E:\Setup.exe   
(!) Not Deleted ! E:\"autorun.inf"   
 
################## [ Registre # Clés Run infectieuses ] 
 
# -> Not Found !  
 
################## [ Registre # Mountpoints2 ] 
 
Deleted ! HKCU\Software\....\MountPoints2\{ca25fbee-d269-11dd-a096-806e6f6e6963}\Shell\AutoRun\command    
 
################## [ Listing des fichiers présent ] 

C:\autoexec.bat  
E:\PLAYD2.EXE  
E:\SETUP.EXE  
E:\AUTORUN.INF  

################## [ Vaccination ] 
 
# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.007 ! ]

anthony5151 · Answer

Est-ce que tu avais bien lancé USBFix par "Exécuter en tant qu'administrateur" comme je te l'ai indiqué ?
Parce qu'il n'a apparemment pas réussi à supprimer deux fichiers néfastes...

Peux-tu réessayer stp ?

BloodSoil · Answer

Si tu parle des fichier du lecteur E:, je ne peu rien faire c'est un un lecteur dvd et le disque qu'il y avait dedans (que j'avais oublier d'enlever) et un jeu vidéo : Diablo2

J'avais bien lancer avec l'option "exécuter en temps qu'administrateur"

Voila, Bien a toi.

anthony5151 · Answer

Très bien, poste un nouveau rapport RSIT
Ensuite, fais cet ultime scan, pour vérifier qu'il n'y a plus d'infection (il restera une dernière étape après) :


Scan en ligne Kaspersky

• Désactive ton antivirus

• Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr (avec Internet Explorer uniquement)

• En bas à droite clique sur Démarrer Online-scanner

• Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

• Accepte les Contrôle ActiveX

• Choisis Poste de travail pour le scan.

• Celui-ci terminé, sauvegarde (choisis fichier texte) et poste le rapport. 

• Pour t'aider à utiliser le scan en ligne : https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

BloodSoil · Answer

Désolé j'ai pas beaucoup de temps en ce moment, simplement je te remet les rapport la semaine prochaine j'ai pas le temps cette semaine.

Lache pas le truc on remet simplement ça a la semaine prochaine d'accord?

anthony5151 · Answer

Pas de problème ;)

A bientot.

johann74270 · Answer

Il sufffit de fair un scan en mode sans echec avec avg et malewarebytes , si ca recommence reformatte ton ordi

Johann74270 · Answer

Prend Avira Antivir Comme Antivirus C'Est Le Meilleur, Fais Un Scan En Mode Sans Echec

Trojan.initfakeav et attaque en chaine. - Page 2

Discussions similaires

Newsletters