Sujet Précédent Sujet Suivant

Attaque Trojan downloader et email worm win32

Fermé
arcman - 12 avril 2009 à 10:29
 arcman - 14 avril 2009 à 18:28
Bonjour,

Depuis hier 11 avril, je suis infesté par des trojan downloader win 32 bho.jak, bagle.apn et .of, et par email worm win32 bagle of, entre autre.
J'ai parcouru tous les forums sur le sujet, mais rien n'y fait :
- avast antivirus a été désinstallé d'office. Impossible de le réinstaller : "n'est pas une application win32 valide"
- high jack this : idem
- spy bot : impossible de le lancer
- spyware terminator : demande de le réinstaller
- sophos anti-root kit : ne marche pas
- avg anti root kit et anti spyware ne marche pas
- adaware non plus
- windows defender : ne marche plus. Après installation de la dernière version, en cours d'installation : erreur d'écriture mpengine.dll, vous n'êtes pas autorisé. donc impossible à installer
- ccleaner : la fenêtre s'ouvre une fraction de seconde et s'éteint.

par contre :
- easy cleaner et glary utilities : ça marche. Après scan, nettoyage.

- Pour malware destroyer : quarantaine ok. Mais revient à chaque fois. voici son rapport :
Select Action Machine Name Type
Quarantine AMELINE-OLIVIER NMC.BAGLE.AS TROJAN
Quarantine AMELINE-OLIVIER NMC.BAGLEDL.BI TROJAN
Quarantine AMELINE-OLIVIER NMC.BAGLEDL.T TROJAN
Quarantine AMELINE-OLIVIER NMC.BEAGLE.DP WORM
Quarantine AMELINE-OLIVIER NMC.BEAGLE.DZ WORM
Quarantine AMELINE-OLIVIER NMC.LODEIGHT.C TROJAN
Quarantine AMELINE-OLIVIER NMC.MITGLIEDER.Q TROJAN
Quarantine AMELINE-OLIVIER NMC.MITGLIEDER.S TROJAN

- malwarebytes : voici le rapport (mais revient à chaque fois, même après reboot)

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1967
Windows 5.1.2600 Service Pack 3

12/04/2009 10:20:10
mbam-log-2009-04-12 (10-20-10).txt

Type de recherche: Examen rapide
Eléments examinés: 61029
Temps écoulé: 1 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa (Rootkit.Bagle) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Rootkit.Bagle) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Rootkit.Bagle) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\Olivier\Application Data\m (Trojan.Agent) -> Delete on reboot.

Fichier(s) infecté(s):
C:\Documents and Settings\Olivier\Application Data\drivers\srosa2.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Olivier\Application Data\drivers\winupgro.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\mdelk.exe (Trojan.Spammer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintems.exe (Trojan.Spammer) -> Delete on reboot.
C:\Documents and Settings\Olivier\Application Data\m\flec006.exe (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\Olivier\Application Data\drivers\wfsintwq.sys (Rootkit.Bagle) -> Quarantined and deleted successfully.

Ne ne sais plus quoi faire, le périphérique de son a également été supprimé, le processeur est saturé... Impossible de démarrer en mode sans échec (pour être sûr, j'ai vérifié la procédure dans l'aide de windows (je suis sous XP 3 professionnel) : touche F8 quand message "choisissez le système d'exploitation à démarrer". Ce message ne s'affiche jamais, et même si je tappe sur F8 sans arrêt, rien à faire !
Au démarrage du systeme, j'ai remarqué un message, mais qui a peut-être été déjà là alors que tout marchait bien ? : "master disk S.M.A.R.T. capabilities disabled"

J'aurais vraiment besoin d'une aide urgente !! Merci d'avance.
A voir également:

11 réponses

Réponse 1 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
12 avril 2009 à 10:33
salut arcman , tu as chopé un bon vieu bagle......


I)Telecharger Findykill:

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe


1)Double clique sur l’icône Findykill.exe
2)Installe le logiciel normallement.
3)Double clique sur la nouvelle icône crée.
4)Au menu tape « f » pour Français puis valider.
5)Choisit l’option 1 puis valide (tape «1»).
6)Patiente un petit moment puis à la fin du scan un rapport sera cré.
7)Copie et colle moi ce rapport dans ta prochaine réponse stp (le rapport se trouve dans C:\findykill )

(Note : Si vous avez un problème pour lancer le logiciel sous vista faites un clic droit sur l'icône et choisir "Exécuter en tant qu'administrateur")
0
arcman
12 avril 2009 à 10:54
Salut Toto666,

Merci d'avoir répondu aussi vite !! Voici le rapport demandé :

############################## [ FindyKill V4.722 ]

# User : Olivier (Administrateurs) # AMELINE-OLIVIER
# Update on 04/04/09 by Chiquitine29
# Start at: 10:49:08 | 12/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Processeur Intel Pentium III Xeon
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 465,75 Go (395,2 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Olivier\Application Data\drivers\winupgro.exe
C:\Program Files\K9-F\K9-F.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Olivier\Application Data\m\flec006.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wintems.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\Olivier\Application Data\drivers\winupgro.exe" (260)
"C:\Documents and Settings\Olivier\Application Data\m\flec006.exe" (3724)
"C:\WINDOWS\system32\wintems.exe" (2720)

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]

Found ! C:\WINDOWS\Prefetch\104296.EXE-0CB1A902.pf
Found ! C:\WINDOWS\Prefetch\168125.EXE-2691F37A.pf
Found ! C:\WINDOWS\Prefetch\176890.EXE-2AE316B1.pf
Found ! C:\WINDOWS\Prefetch\213796.EXE-161F7F4D.pf
Found ! C:\WINDOWS\Prefetch\218234.EXE-37A6708C.pf
Found ! C:\WINDOWS\Prefetch\222750.EXE-0FDC7AEE.pf
Found ! C:\WINDOWS\Prefetch\473921.EXE-25848CC3.pf
Found ! C:\WINDOWS\Prefetch\96484.EXE-11391B2A.pf
Found ! C:\WINDOWS\Prefetch\FLEC006.EXE-28390222.pf
Found ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Found ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf

################## [ C:\WINDOWS\System32... ]

Found ! C:\WINDOWS\system32\wintems.exe
Found ! C:\WINDOWS\system32\ban_list.txt

################## [ C:\Documents and Settings\Olivier\Application Data ]

Found ! "C:\Documents and Settings\Olivier\Application Data\m\shared"
Found ! "C:\Documents and Settings\Olivier\Application Data\m\flec006.exe"
Found ! "C:\Documents and Settings\Olivier\Application Data\m"
Found ! "C:\Documents and Settings\Olivier\Application Data\drivers"
Found ! "C:\Documents and Settings\Olivier\Application Data\drivers\winupgro.exe"
Found ! "C:\Documents and Settings\Olivier\Application Data\drivers\downld"

################## [ C:\Documents and Settings\Olivier...\Temp Files... ]


################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\Local AppWizard-Generated Applications\install_crack
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\bisoft
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\FFC
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\FirtR
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\MuleAppData
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_crack
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\FirtR
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Found ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1

################## [ Recherche dans supports amovibles]

# Recherche fichiers connus :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.722 ! ]
0
Réponse 2 / 11
Utilisateur anonyme
12 avril 2009 à 10:35
Salut, d'après ce qu'on dit, Bagle est une véritable saloperie, à ta place, plutôt que d'essayer de le désinfecter, je réinstallerais complètement tout l'ordinateur. Fais une sauvegarde de tes documents importants, et formate le disque pour réinstaller un Windows.

Bagle se propage en général par des cracks logiciels ou sur des sites pornos infectés, il arrive rarement tout seul sur un PC. Lorsque tout sera réinstallé, tu peux essayer un autre antivirus, car si Avast n'a pas détecté ce virus pourtant assez répandu, cela veut dire qu'il n'a pas fait son job.
0
arcman
12 avril 2009 à 10:57
Salut Rocky_123

Merci pour ta réponse. J'ai bien l'impression qu'il est assez puissant ce trojan, mais avant de formater, j'espère que je trouverai une solution moins radicale. Et puis, est-ce que cette saleté ne s'est pas nichée dans un de mes fichiers perso ?
A voir..
Merci encore
0
Réponse 3 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
12 avril 2009 à 10:58
I)Nettoyage de Findykill :

1)Relance le logiciel Findykill.
2)Au menu, tape « 2 » puis entrée.
3)Poste moi le rapport stp.


Puis refait moi l'option 1 pour vérifier.
0
arcman
12 avril 2009 à 11:09
voici le rapport après l'étape 2

############################## [ FindyKill V4.722 ]

# User : Olivier (Administrateurs) # AMELINE-OLIVIER
# Update on 04/04/09 by Chiquitine29
# Start at: 11:02:10 | 12/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Processeur Intel Pentium III Xeon
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 465,75 Go (395,31 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]

Deleted ! C:\WINDOWS\Prefetch\104296.EXE-0CB1A902.pf
Deleted ! C:\WINDOWS\Prefetch\168125.EXE-2691F37A.pf
Deleted ! C:\WINDOWS\Prefetch\176890.EXE-2AE316B1.pf
Deleted ! C:\WINDOWS\Prefetch\213796.EXE-161F7F4D.pf
Deleted ! C:\WINDOWS\Prefetch\218234.EXE-37A6708C.pf
Deleted ! C:\WINDOWS\Prefetch\222750.EXE-0FDC7AEE.pf
Deleted ! C:\WINDOWS\Prefetch\473921.EXE-25848CC3.pf
Deleted ! C:\WINDOWS\Prefetch\96484.EXE-11391B2A.pf
Deleted ! C:\WINDOWS\Prefetch\FLEC006.EXE-28390222.pf
Deleted ! C:\WINDOWS\Prefetch\MDELK.EXE-1D176F91.pf
Deleted ! C:\WINDOWS\Prefetch\WINTEMS.EXE-2A563F9B.pf
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-140A6D79.pf

################## [ C:\WINDOWS\System32... ]

Deleted ! C:\WINDOWS\system32\ban_list.txt

################## [ C:\Users\...\AppData\Roaming ]

Deleted ! "C:\Documents and Settings\Olivier\Application Data\drivers\downld"
Deleted ! "C:\Documents and Settings\Olivier\Application Data\drivers"

################## [ Cleaning .. Temp Files... ]

Deleted ! C:\DOCUME~1\Olivier\LOCALS~1\Temp\eToroSetup.exe

################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\FirtR
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\install_crack
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\FFC
Deleted ! HKEY_USERS\S-1-5-21-1417001333-706699826-1606980848-1003\Software\MuleAppData

################## [ Cleaning Removable drives ]

# Deleting Files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2
# Safe boot mode restored !

################## [ Searching Other Infections ]

Suspect ! : C:\Program Files\Messenger\msmsgs.exe
# Taille : 847872 # MD5 : 0E15BB4571FDD3EE1665587F44313A0F
File was renamed : msmsgs.exe.REN


################## [ Corrupted files # Re-Installation required ]

C:\Program Files\CCleaner\Cleaner.exe
C:\Program Files\Fichiers communs\Sonic Shared\Sonic Central\Audio\Launch.exe
C:\Program Files\Fichiers communs\Sonic Shared\Sonic Central\Data\Launch.exe
C:\Program Files\Glary Utilities\uninstaller.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Samsung PC Studio 3 - portable\LiveUpdate.exe
C:\Program Files\Samsung PC Studio 3 - portable\Update\LiveUpdate.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\helper.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\sarcli.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\Program Files\Spyware Terminator\update\SpywareTerminatorShield.Exe
C:\Program Files\Trend Micro\moulin\HijackThis.exe
C:\RECYCLER\S-1-5-21-1417001333-706699826-1606980848-1003\Dc2\HijackThis.exe
C:\RECYCLER\S-1-5-21-1417001333-706699826-1606980848-1003\Dc4\HijackThis.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB938127-v2-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB946648\update\update.exe
C:\WINDOWS\$hf_mig$\KB950762\update\update.exe
C:\WINDOWS\$hf_mig$\KB950974\update\update.exe
C:\WINDOWS\$hf_mig$\KB951066\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951698\update\update.exe
C:\WINDOWS\$hf_mig$\KB951748\update\update.exe
C:\WINDOWS\$hf_mig$\KB951978\update\update.exe
C:\WINDOWS\$hf_mig$\KB952287\update\update.exe
C:\WINDOWS\$hf_mig$\KB952954\update\update.exe
C:\WINDOWS\$hf_mig$\KB954211\update\update.exe
C:\WINDOWS\$hf_mig$\KB954459\update\update.exe
C:\WINDOWS\$hf_mig$\KB954600\update\update.exe
C:\WINDOWS\$hf_mig$\KB955069\update\update.exe
C:\WINDOWS\$hf_mig$\KB955839\update\update.exe
C:\WINDOWS\$hf_mig$\KB956390-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB956391\update\update.exe
C:\WINDOWS\$hf_mig$\KB956802\update\update.exe
C:\WINDOWS\$hf_mig$\KB956803\update\update.exe
C:\WINDOWS\$hf_mig$\KB956841\update\update.exe
C:\WINDOWS\$hf_mig$\KB957097\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB958644\update\update.exe
C:\WINDOWS\$hf_mig$\KB958687\update\update.exe
C:\WINDOWS\$hf_mig$\KB958690\update\update.exe
C:\WINDOWS\$hf_mig$\KB960225\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB960715\update\update.exe
C:\WINDOWS\$hf_mig$\KB961260-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB967715\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\9be74ccf2e967ebc45085789ed7bfc38\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\a37a907ce729d9b027006f974e62dcad\update\update.exe
C:\WINDOWS\system32\dllcache\register.exe
C:\WINDOWS\system32\dllcache\sysinfo.exe

################## [ ! End of Report # FindyKill V4.722 ! ]


Et voici le rappor en refaisant l'option 1 :


############################## [ FindyKill V4.722 ]

# User : Olivier (Administrateurs) # AMELINE-OLIVIER
# Update on 04/04/09 by Chiquitine29
# Start at: 11:08:05 | 12/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Processeur Intel Pentium III Xeon
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 465,75 Go (395,34 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]


################## [ C:\WINDOWS\System32... ]


################## [ C:\Documents and Settings\Olivier\Application Data ]


################## [ C:\Documents and Settings\Olivier...\Temp Files... ]


################## [ Registre / Clés infectieuses ]

Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA


################## [ Recherche dans supports amovibles]

# Recherche fichiers connus :


################## [ Registre / Mountpoint2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.722 ! ]
0
Réponse 4 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
12 avril 2009 à 11:10
Repasse l'option 2 une nouvelle fois stp puis poste le rapport.

Apres a tu accès au mode sans échec ?
0
arcman
12 avril 2009 à 11:22
voici le rapport après un 2ème passage. Pour le mode sans échec, j'ai essayé F8 à en avoir une crampe, rien a faire, du coup j'ai pianoté sur tous les F, rien. Mais je ne suis pas forcément très doué...

############################## [ FindyKill V4.722 ]

# User : Olivier (Administrateurs) # AMELINE-OLIVIER
# Update on 04/04/09 by Chiquitine29
# Start at: 11:13:01 | 12/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

# Processeur Intel Pentium III Xeon
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 465,75 Go (395,34 Go free) # NTFS
# D:\ # Disque amovible
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque CD-ROM

############################## [ Active Processes ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\userinit.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ]


################## [ C:\WINDOWS\System32... ]


################## [ C:\Users\...\AppData\Roaming ]


################## [ Cleaning .. Temp Files... ]


################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA

################## [ Cleaning Removable drives ]

# Deleting Files :


################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2

################## [ Searching Other Infections ]

# -> Nothing found.

################## [ Corrupted files # Re-Installation required ]

C:\Program Files\CCleaner\Cleaner.exe
C:\Program Files\Fichiers communs\Sonic Shared\Sonic Central\Audio\Launch.exe
C:\Program Files\Fichiers communs\Sonic Shared\Sonic Central\Data\Launch.exe
C:\Program Files\Glary Utilities\uninstaller.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Samsung PC Studio 3 - portable\LiveUpdate.exe
C:\Program Files\Samsung PC Studio 3 - portable\Update\LiveUpdate.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\helper.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\sarcli.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\Program Files\Spyware Terminator\update\SpywareTerminatorShield.Exe
C:\Program Files\Trend Micro\moulin\HijackThis.exe
C:\RECYCLER\S-1-5-21-1417001333-706699826-1606980848-1003\Dc2\HijackThis.exe
C:\RECYCLER\S-1-5-21-1417001333-706699826-1606980848-1003\Dc4\HijackThis.exe
C:\WINDOWS\$hf_mig$\KB898461\update\update.exe
C:\WINDOWS\$hf_mig$\KB938127-v2-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB946648\update\update.exe
C:\WINDOWS\$hf_mig$\KB950762\update\update.exe
C:\WINDOWS\$hf_mig$\KB950974\update\update.exe
C:\WINDOWS\$hf_mig$\KB951066\update\update.exe
C:\WINDOWS\$hf_mig$\KB951376-v2\update\update.exe
C:\WINDOWS\$hf_mig$\KB951698\update\update.exe
C:\WINDOWS\$hf_mig$\KB951748\update\update.exe
C:\WINDOWS\$hf_mig$\KB951978\update\update.exe
C:\WINDOWS\$hf_mig$\KB952287\update\update.exe
C:\WINDOWS\$hf_mig$\KB952954\update\update.exe
C:\WINDOWS\$hf_mig$\KB954211\update\update.exe
C:\WINDOWS\$hf_mig$\KB954459\update\update.exe
C:\WINDOWS\$hf_mig$\KB954600\update\update.exe
C:\WINDOWS\$hf_mig$\KB955069\update\update.exe
C:\WINDOWS\$hf_mig$\KB955839\update\update.exe
C:\WINDOWS\$hf_mig$\KB956390-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB956391\update\update.exe
C:\WINDOWS\$hf_mig$\KB956802\update\update.exe
C:\WINDOWS\$hf_mig$\KB956803\update\update.exe
C:\WINDOWS\$hf_mig$\KB956841\update\update.exe
C:\WINDOWS\$hf_mig$\KB957097\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215\update\update.exe
C:\WINDOWS\$hf_mig$\KB958215-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB958644\update\update.exe
C:\WINDOWS\$hf_mig$\KB958687\update\update.exe
C:\WINDOWS\$hf_mig$\KB958690\update\update.exe
C:\WINDOWS\$hf_mig$\KB960225\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714\update\update.exe
C:\WINDOWS\$hf_mig$\KB960714-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB960715\update\update.exe
C:\WINDOWS\$hf_mig$\KB961260-IE7\update\update.exe
C:\WINDOWS\$hf_mig$\KB967715\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\9be74ccf2e967ebc45085789ed7bfc38\update\update.exe
C:\WINDOWS\SoftwareDistribution\Download\a37a907ce729d9b027006f974e62dcad\update\update.exe
C:\WINDOWS\system32\dllcache\register.exe
C:\WINDOWS\system32\dllcache\sysinfo.exe

################## [ ! End of Report # FindyKill V4.722 ! ]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
12 avril 2009 à 11:23
I)Télécharger sur ton bureau Malwarebyte's Anti-Malware :

telecharge malware's bytes a cette adresse:

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

1)Double-clic « mbam-setup »,l'installation se lance (installer sans rien changer).
2)Lance le programme,va dans l'onlet « mise à jour » puis clique « recherche de mise à jour ».
3)Va dans l'onglet « recherche » puis cocher « Exécuter un exament complet » >>clique « rechercher » puis lancer l'examen.
4)A la fin du scan ,si il y a des infections clique « afficher résultat ».
5)fermer toutes les autres applications.
6)Vérifier si tout est coché et clic « Supprimer la sélection ».

7)Un rapport s'ouvre copier-coller dans ta prochaine réponse


si tu as le logiciel spybot sur ton ordinateur suit l’étape 1 sinon passe directement à l’étape2.

I)Désactivation du Tea Timer de spybot:

lance ton logiciel spybot puis clique sur "Mode" puis clique(coche) sur "Mode avancé"
Une colonne de menus apparaît dans la partie gauche :

Puis clique sur"Outils"puis "Résident" decoche moi cette case "Résident Teatimer" .

Normallement il ne devrait plus avoir d’icones de spybot dans ta barre de taches.

laisses le désactivé,tu le réactivera plus tard à la fin de la désinfection .

II)Telecharge et enregistre sur ton bureau Hijackthis :

http://www.trendsecure.com/portal/fr/_download/HiJackThis.exe]telecharger hijackthis

1)Va sur l’icône de hijackthis qui est sur ton bureau puis fait clique droit sur cet icône puis renommer et renomme le teste.exe
2)Double clique sur l’icône teste.exe qui à été renommé puis clique sur éxécuter pour l’installer.
3)le menu se lance Clique sur la case Do a system scan and save the log
4)Un rapport s’ouvre copie et colle le dans ta prochaine réponse
0
arcman
12 avril 2009 à 12:20
RAS pour spy bot.
Voici le rapport de highjack this :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:19:23, on 12/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\K9-F\K9-F.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Olivier\Mes documents\OLIVIER\logiciels\sécurité\teste.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EssentialPIM.lnk = C:\Program Files\EssentialPIM - agenda\EssentialPIM.exe
O4 - Global Startup: Outlook Espress.lnk = C:\Program Files\Outlook Express\msimn.exe
O4 - Global Startup: Version française de K9.lnk = C:\Program Files\K9-F\K9-F.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Ghost Navigator2_8 - cache l'IP\Ghost (file missing)
O9 - Extra 'Tools' menuitem: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Ghost Navigator2_8 - cache l'IP\Ghost (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Service Google Update (gupdate1c9ba842715779c) (gupdate1c9ba842715779c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 6 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
12 avril 2009 à 13:16
Ou est le rapport malwarebyte's??

Désinstalle ton ancien antivirus puis installe antivir:
http://www.libellules.ch/tuto_antivir.php
Suit ce tutoriel et poste le rapport stp.

I)Telecharger random's system information tool: (RSIT)

http://images.malwareremoval.com/random/RSIT.exe

1)Double clique sur l’icône RSIT.exe
2)Clique sur continue.
3)L’analyse terminée, deux fichiers s’ouvriront, poste moi les 2 rapports stp.
Si les 2 fichiers ne s’ouvrent pas va dans C:\rsit , tu y trouvera les 2 fichiers info.txt et log.txt
0
arcman
12 avril 2009 à 14:44
voici le rapport de malwarebytes

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 1970
Windows 5.1.2600 Service Pack 3

12/04/2009 14:15:22
mbam-log-2009-04-12 (14-15-22).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 200623
Temps écoulé: 25 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


ensuite, voici le rapport d'Antivir :

Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 12 avril 2009 14:12

La recherche porte sur 1347111 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows :(Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :AMELINE-OLIVIER

Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 07:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 12:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 11:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 06:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 12:10:36
ANTIVIR2.VDF : 7.1.3.0 1330176 Bytes 01/04/2009 12:10:38
ANTIVIR3.VDF : 7.1.3.42 169984 Bytes 11/04/2009 12:10:38
Version du moteur: 8.2.0.138
AEVDF.DLL : 8.1.1.0 106868 Bytes 12/04/2009 12:10:44
AESCRIPT.DLL : 8.1.1.73 373114 Bytes 12/04/2009 12:10:43
AESCN.DLL : 8.1.1.10 127348 Bytes 12/04/2009 12:10:43
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 12:58:38
AEPACK.DLL : 8.1.3.12 397687 Bytes 12/04/2009 12:10:42
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 12/04/2009 12:10:42
AEHEUR.DLL : 8.1.0.114 1700214 Bytes 12/04/2009 12:10:41
AEHELP.DLL : 8.1.2.2 119158 Bytes 12/04/2009 12:10:40
AEGEN.DLL : 8.1.1.33 340340 Bytes 12/04/2009 12:10:39
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 09:05:56
AECORE.DLL : 8.1.6.7 176502 Bytes 12/04/2009 12:10:39
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 09:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 07:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 08:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 11:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 10:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 07:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 11:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 16:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 11:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 11:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 06:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 09:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : dimanche 12 avril 2009 14:12

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'teste.exe.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'K9-F.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msimn.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'issch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'tfswctrl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !
[AVERTISSEMENT] Erreur système [21]: Le périphérique n'est pas prêt.

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '55' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.BAGLE.AS\Files\WINDOWS\System32\wintems.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4fdcf3.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.BAGLEDL.BI\Files\WINDOWS\System32\wintems.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4fdcf6.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.BAGLEDL.T\Files\WINDOWS\System32\wintems.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4fdcf9.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.BEAGLE.DP\Files\WINDOWS\System32\wintems.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4fdcfc.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.BEAGLE.DZ\Files\WINDOWS\System32\wintems.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4fdcff.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.LODEIGHT.C\Files\Documents and Settings\Olivier\Application Data\m\data.oct
[RESULTAT] Contient le modèle de détection du ver WORM/Bagle.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a55dcfc.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.LODEIGHT.C\Files\Documents and Settings\Olivier\Application Data\m\flec006.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a46dd09.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.MITGLIEDER.Q\Files\WINDOWS\System32\wintems.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4fdd0a.qua' !
C:\Program Files\EMCO Malware Destroyer\Quarantine\AMELINE-OLIVIER\NMC.MITGLIEDER.S\Files\WINDOWS\System32\wintems.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc98de3.qua' !
C:\Program Files\Messenger\msmsgs.exe.REN
[RESULTAT] Contient le modèle de détection du ver WORM/Bagle.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a4edf7d.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0007850.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfc8.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0007860.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f501.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0007982.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfcb.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0007985.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f504.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008002.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfcc.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008005.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f505.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008009.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfcd.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008010.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f506.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008025.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfce.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008028.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f507.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008029.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfc0.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008030.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfcf.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP115\A0008032.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f518.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008281.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfd8.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008284.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f511.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008285.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfd9.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008294.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f512.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008298.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfda.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008301.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f513.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008304.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfdc.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008306.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfdb.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008345.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f515.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008348.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfde.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008354.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfdd.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008355.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f516.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008361.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f517.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008364.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfd0.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008366.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfdf.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008378.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f528.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008379.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe1.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008382.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe0.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008385.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f529.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008387.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe2.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008513.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe4.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008516.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f52d.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008519.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe6.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008520.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe5.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008524.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f52e.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008527.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f52f.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008529.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dff8.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008540.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f531.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008542.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe7.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008545.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f520.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008547.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe9.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP117\A0008550.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfe8.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP118\A0008566.sys
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f522.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP118\A0008567.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfeb.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP118\A0008568.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f524.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP118\A0008582.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfea.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008725.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfed.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008726.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfee.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008727.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f527.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008728.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f52b.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008729.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dfef.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008730.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b90f538.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008731.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dff1.qua' !
C:\System Volume Information\_restore{06F61976-988C-4829-AAC0-1C88D2252A75}\RP119\A0008732.exe
[RESULTAT] Contient le cheval de Troie TR/Bagle.Gen.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a11dff0.qua' !
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !


Fin de la recherche : dimanche 12 avril 2009 14:39
Temps nécessaire: 26:47 Minute(s)

La recherche a été effectuée intégralement

7129 Les répertoires ont été contrôlés
280025 Des fichiers ont été contrôlés
67 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
67 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
279956 Fichiers non infectés
2939 Les archives ont été contrôlées
6 Avertissements
67 Consignes

et enfin les 2 rpport de RSIT :
le log.text d'abord :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Olivier at 2009-04-12 14:41:09
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 405 GB (85%) free of 477 GB
Total RAM: 3070 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:41:22, on 12/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\K9-F\K9-F.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\Olivier\Mes documents\OLIVIER\logiciels\sécurité\teste.exe.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Documents and Settings\Olivier\Mes documents\OLIVIER\logiciels\sécurité\RSIT.exe
C:\Program Files\trend micro\Olivier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EssentialPIM.lnk = C:\Program Files\EssentialPIM - agenda\EssentialPIM.exe
O4 - Global Startup: Outlook Espress.lnk = C:\Program Files\Outlook Express\msimn.exe
O4 - Global Startup: Version française de K9.lnk = C:\Program Files\K9-F\K9-F.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Ghost Navigator2_8 - cache l'IP\Ghost (file missing)
O9 - Extra 'Tools' menuitem: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Ghost Navigator2_8 - cache l'IP\Ghost (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Google Update (gupdate1c9ba842715779c) (gupdate1c9ba842715779c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 7 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
12 avril 2009 à 21:13
1) Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.

:processes
explorer.exe

:Files
C:\WINDOWS\NAVIGMA.INI

:reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Olivier\Application Data\m\flec006.exe"="C:\Documents and Settings\Olivier\Application Data\m\flec006.exe:*:Disabled:flec006"

:commands
[emptytemp]
[start explorer]
[reboot]




clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.

Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.
Poste un nouveau rapport RSIT stp.
0
arcman
13 avril 2009 à 12:51
Voici le rapport OTEMOVIT3 :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\WINDOWS\NAVIGMA.INI moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shared­access\parameters\firewallpolicy\standardprofile\authorizeda­pplications\list\\"C:\Documents and Settings\Olivier\Application Data\m\flec006.exe"|"C:\Documents and Settings\Olivier\Application Data\m\flec006.exe:*:Disabled:flec006" /E : value set successfully!
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Olivier\LOCALS~1\Temp\fb_3140.evn scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Olivier\LOCALS~1\Temp\fb_3140.lck scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\FZHD1WL1\forum-7-virus-securite[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\A25KJT68\affich-11959459-attaque-trojan-downloader-et-email-worm-win32[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\6O402K49\ads[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\6O402K49\ads[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_544.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04132009_124222

Files moved on Reboot...
File C:\DOCUME~1\Olivier\LOCALS~1\Temp\fb_3140.evn not found!
File C:\DOCUME~1\Olivier\LOCALS~1\Temp\fb_3140.lck not found!
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\FZHD1WL1\forum-7-virus-securite[1].htm moved successfully.
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\A25KJT68\affich-11959459-attaque-trojan-downloader-et-email-worm-win32[1].htm moved successfully.
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\6O402K49\ads[1].htm moved successfully.
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\6O402K49\ads[2].htm moved successfully.
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_544.dat not found!


Et le rapport de RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Olivier at 2009-04-13 12:47:45
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 408 GB (86%) free of 477 GB
Total RAM: 3070 MB (84% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:51, on 13/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\K9-F\K9-F.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Olivier\Mes documents\OLIVIER\logiciels\sécurité\RSIT.exe
C:\Program Files\trend micro\Olivier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EssentialPIM.lnk = C:\Program Files\EssentialPIM - agenda\EssentialPIM.exe
O4 - Global Startup: Outlook Espress.lnk = C:\Program Files\Outlook Express\msimn.exe
O4 - Global Startup: Version française de K9.lnk = C:\Program Files\K9-F\K9-F.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Ghost Navigator2_8 - cache l'IP\Ghost (file missing)
O9 - Extra 'Tools' menuitem: Ghost Navigator - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Program Files\Ghost Navigator2_8 - cache l'IP\Ghost (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Service Google Update (gupdate1c9ba842715779c) (gupdate1c9ba842715779c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 8 / 11
p_teerak
13 avril 2009 à 16:58
Bonjour a tous,
ne vous prenez pas la tete, hier j ai eu une invasion de trojan win32/bagle.apn suite a un telechargement sur lamule d un crack !!!!
symptomes: avast desactivé ,centre de securité fermé, plus de possibilité d ouvrir ccleaner, spydbot.
et tres tres lent pour la connexion internet . mais j ai reusi a iradiquer les virus, j en avais 41 en faisant un un scan avec Findykill, ki ma restaure la clé pour ouvrir mes logiciels de protection et avec ELIBAGLA, puis j ai passé avast , que j ai du reinstallé car il n etait plus reconnu,et kaspersky anti trojan en ligne !!!! now tout est ok
avant de tout reinstaller essayer cela vaut le coup de passer 4/5 heures dessus sans perdre tout !!
bonne journee
0
arcman
13 avril 2009 à 18:29
Salut P_teerak,

Tu as raison, ça vaut le coup de galérer pendant plusieurs heures et je voudrais remercier à ce propos TOTO666 qui m'a sauvé mon PC, avec a peu près le même genre d'outil dont tu fais référence. Par contre, c'est vrai, je pense que le meilleur moyen d'éviter de chopper des cochonneries, c'est de rester a peu près réglo...
Merci encore et bon courage pour ceux qui rament en ce moment....
0
Réponse 9 / 11
Utilisateur anonyme
13 avril 2009 à 17:03
Forcément quand on commence à jouer avec les cracks il y a 80% de chances de choper un truc. LOL.

Et à mon avis, une fois qu'un PC a été infecté par un gros virus, il n'est plus totalement sûr. Il y a des choses qui peuvent rester et des fichiers modifiés qui le rendent instable.
0
Réponse 10 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
13 avril 2009 à 18:56
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.

:processes
explorer.exe

:Files
C:\Documents and Settings\Olivier\Application Data\m\flec006.exe

:commands
[emptytemp]
[start explorer]
[reboot]




clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Clique sur Exit pour fermer.

Poste le rapport ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.

As tu encore des problèmes??
0
arcman
13 avril 2009 à 20:49
voici le rapport demandé :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\Documents and Settings\Olivier\Application Data\m\flec006.exe not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\J9GDUVFZ\affich-11959459-attaque-trojan-downloader-et-email-worm-win32[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\J9GDUVFZ\MQBCA4F93T2CAG9FYDUCADRH5W1CACGL96ACA3INTQTCA7R7Q13CAQC1TUICA162EX8CAFY1NOGCAKQHY3SCAQW2YAPCABNRQOICAGKJFTFCA8V3XQ0CA69CT4ICAK9H58MCAIXIQ1PCAG29E6OCAO3FJUA.htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\J9GDUVFZ\VU7CAE4RF21CAB8IWF8CANH0GEZCATH7LZ7CAXDYSEPCAWRLJ8HCA6Z3EKOCA2TVUKWCAX1FWSPCAU0ZCBHCAN0Q8VBCA1X3CHCCAO1JL2ZCAGTH9SPCA2IXY7ZCALBS1XQCAHBOD34CA84Q171CAQH5A6Q.htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_640.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04132009_203636

Files moved on Reboot...
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\J9GDUVFZ\affich-11959459-attaque-trojan-downloader-et-email-worm-win32[1].htm moved successfully.
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\J9GDUVFZ\MQBCA4F93T2CAG9FYDUCADRH5W1CACGL96ACA3INTQTCA7R7Q13CAQC1TUICA162EX8CAFY1NOGCAKQHY3SCAQW2YAPCABNRQOICAGKJFTFCA8V3XQ0CA69CT4ICAK9H58MCAIXIQ1PCAG29E6OCAO3FJUA.htm moved successfully.
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\Content.IE5\J9GDUVFZ\VU7CAE4RF21CAB8IWF8CANH0GEZCATH7LZ7CAXDYSEPCAWRLJ8HCA6Z3EKOCA2TVUKWCAX1FWSPCAU0ZCBHCAN0Q8VBCA1X3CHCCAO1JL2ZCAGTH9SPCA2IXY7ZCALBS1XQCAHBOD34CA84Q171CAQH5A6Q.htm moved successfully.
C:\Documents and Settings\Olivier\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.
File C:\WINDOWS\temp\Perflib_Perfdata_640.dat not found!


A priori, tout fonctionne parfaitement ! Merci encore d'avoir pris tout ce temps pour sauver ma bécane !! Mais ça vallait le coup de passer du temps, pour éviter de reformer le disque.
0
Réponse 11 / 11
toto666 Messages postés 325 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 27 mai 2009 14
13 avril 2009 à 22:12
ree,

dernière procédure à passé.

I)Télécharger ToolsCleaner :

ToolsCleaner sert à supprimer correctement tous les logiciels que tu as installé pour la désinfection sur ton ordinateur. Les logiciels de désinfection sont des outils très puissants , en cas d’une mauvaise utilisation de ceci , cela pourrait provoquer des bugs ou des plantages sur ton pc .
C'est pour cette raison que tu doit supprimer ce logiciels de ton pc .


http://pc-system.fr/


1)Double clique sur l’icône ToolsCleaner2.exe .
2)Une fois le logiciel ouvert , clique sur Recherche .
3)Patiente un moment le temps du scan sans rien toucher au logiciel .
4)Une fois la recherche finit , clique sur l’option supprimer .
5)Poste moi le rapport dans ta prochaine réponse se trouvant dans C:\TCleaner.txt stp .

I)Choisir un bon navigateur :

IE est le navigateur utilisé par défault sur les systèmes d’éxploitation windows donc c’est la principale cible des pirates informatiques qui exploitent les failles des navigateurs pour propager leur virus.
Je te[b] mozilla ou opéra.
Ce sont deux navigateurs très performants , rapides et sécurisés .

Je te conseille de lire ce sujet de Malekal_morte sur les failles des navigateurs , il est à lire en entier.

http://forum.malekal.com/viewtopic.php?f=45&t=4959

Téléchargement de mozilla :
http://www.mozilla-europe.org/fr

Ou Opéra :
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/61.html

Nettoyage de ton PC avec ccleaner
Crap Cleaner appellé communément CCleaner est un logiciel qui vous aidera à décrasser Windows en profondeur. Il est gratuit, en français et fonctionne avec toutes les versions de Windows.
Télécharge sur ton pc le logiciel ccleaner
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

Suit moi ce tutoriel de Ruru21 sur l’utilisation de ccleaner

https://forums.cnetfrance.fr



I)Restauration de ton système :

Cette partie sert à supprimer les infections qui se trouvent dans la restauration du système.

Clique sur démarrer.
Cliquer droit sur "Poste de travail" puis choisir "Propriétés".
Sélectionner l'onglet "Restauration du système".
Cocher "Désactiver la Restauration du système sur tous les lecteurs" ou "Désactiver la Restauration du système" puis appliquer.
Redémarre ton ordinateur

Puis retourne sur "Poste de travail" , "Propriétés" décoche cette fois "Désactiver la Restauration du système" puis ok.



Création du point de restauration:

- Aller dans le Menu Démarrer puis dans Programmes,
- Ensuite dans Accessoires et enfin dans Outils système,
- Choisir Restauration du système,
- Sélectionner Créer un point de restauration,
- Cliquer sur Suivant,
- Entrer un nom pour le point de restauration : ce nom assez simple et évoquateur,
- Cliquer sur Créer et le point de restauration se créé automatiquement.
0
arcman
14 avril 2009 à 18:28
Bonjour TOTO666

Je rentre juste du boulot, le temps de faire tes manip. Voici le rapport de ToolsCleaner :

[ Rapport ToolsCleaner version 2.3.4 (par A.Rothstein & dj QUIOU) ]

--> Recherche:


---------------------------------
--> Suppression:


J'ai passé également CCleaner et fait le point de restauration.
Tout à l'air Ok !!
0

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Menaces HackTool:Win32
LeMax5993 -
lisa4777 -

4 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses