Problème de virus

Résolu

Faififa -
Faififa - 29 avril 2009 à 22:17

Bonjour,

Je pense avoir que mon pc est infesté par je ne sais quoi : il est très lent; je ne peux plus ouvrit mes dossiers word ;je ne peux plus supprimer certains programme...

J'ai fais un scan hijackthis que voilà. Merci à la personne qui pourra m'aider.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:43, on 19/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Documents and Settings\tazebama.dl_
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\VMSnap3.EXE
C:\WINDOWS\Domino.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\PROGRA~1\TRANSV~1\TransVente.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\Dos Optimizer.pif
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\AVG\AVG8\aAvgApi.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\2H1EDQ3Q\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Scour Toolbar - {A057A204-BACC-4D26-9A9E-3AF287E2699B} - C:\PROGRA~1\SCOURT~1\SCOURT~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: Scour Toolbar - {A057A204-BACC-4D26-9A9E-3AF287E2699B} - C:\PROGRA~1\SCOURT~1\SCOURT~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TransVente] C:\PROGRA~1\TRANSV~1\TransVente.exe 1
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [eyeBeam SIP Client] "C:\Program Files\CounterPath\X-Lite\x-lite.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Dos Optimizer.pif = ?
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Administrateur\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {BAE1D8DF-0B35-47E3-A1E7-EEB3FF2ECD19} (CPlayFirstddfotgControl Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/diner_dash_flo_on_the_go/ddfotg.1.0.0.33.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/MSN_INTL_FRANCE/zuma/oberongamesloader.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B10011E3-A045-4223-BFAF-6E6F93EC00C3}: NameServer = 113.150.176.196,193.95.66.11
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Afficher la suite

A voir également:

Problème de virus
Virus mcafee - Accueil - Piratage
Virus facebook demande d'amis - Accueil - Facebook
Undisclosed-recipients virus - Guide
Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
Impossible de terminer l'opération car le fichier contient un virus - Forum Virus

59 réponses

Réponse 21 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

Que dois-je faire maintenant ? Est-ce que je télécharge combofix ?

Oui .

Réponse 22 / 59

Faififa

Voilà le rapport ComboFix

ComboFix 09-04-23.02 - Administrateur 22/04/2009 19:10.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.261 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur.SWEET-1E849C0F2\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\Application Data\tazebama
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-03-23 au 2009-04-23 ))))))))))))))))))))))))))))))))))))
.

2009-04-22 00:01 . 2009-04-22 00:01 10520 ----a-w c:\windows.0\system32\avgrsstx.dll
2009-04-22 00:01 . 2009-04-22 00:01 108552 ----a-w c:\windows.0\system32\drivers\avgtdix.sys
2009-04-22 00:01 . 2009-04-22 00:01 325640 ----a-w c:\windows.0\system32\drivers\avgldx86.sys
2009-04-22 00:01 . 2009-04-22 16:30 -------- d-----w c:\windows.0\system32\drivers\Avg
2009-04-22 00:01 . 2009-04-22 07:27 -------- d-----w c:\documents and settings\Administrateur.SWEET-1E849C0F2\Application Data\AVGTOOLBAR
2009-04-22 00:01 . 2009-04-22 00:01 -------- d-----w c:\documents and settings\All Users.WINDOWS.0\Application Data\avg8
2009-04-21 18:43 . 2002-09-07 00:00 6144 ----a-r c:\windows.0\system32\kbdth3.dll
2009-04-21 18:43 . 2002-09-07 00:00 6144 ----a-r c:\windows.0\system32\kbdth2.dll
2009-04-21 18:43 . 2002-09-07 00:00 5632 ----a-r c:\windows.0\system32\kbdth1.dll
2009-04-21 18:43 . 2002-09-07 00:00 5632 ----a-r c:\windows.0\system32\kbdth0.dll
2009-04-21 18:43 . 2002-09-07 00:00 6144 ----a-w c:\windows.0\system32\ftlx041e.dll
2009-04-21 18:40 . 2009-04-21 18:40 391 ----a-w c:\windows.0\ODBC.INI
2009-04-21 18:40 . 2003-06-19 00:31 17920 ----a-w c:\windows.0\system32\mdimon.dll
2009-04-21 18:38 . 2009-04-21 18:39 -------- d-----w c:\windows.0\SHELLNEW
2009-04-21 18:31 . 2009-04-22 07:20 -------- d-----w c:\documents and settings\Administrateur.SWEET-1E849C0F2\Contacts
2009-04-21 18:29 . 2009-04-21 18:44 -------- d-----w c:\windows.0\LastGood
2009-04-21 18:29 . 2009-04-21 18:29 -------- dc----w c:\windows.0\system32\DRVSTORE
2009-04-21 16:14 . 2004-08-03 22:58 4992 ----a-w c:\windows.0\system32\drivers\MSPQM.sys
2009-04-21 16:14 . 2006-06-14 10:50 6272 ----a-w c:\windows.0\system32\drivers\splitter.sys
2009-04-21 16:14 . 2006-02-15 02:22 142464 ----a-w c:\windows.0\system32\drivers\aec.sys
2009-04-21 16:14 . 2001-08-17 22:00 54272 ----a-w c:\windows.0\system32\drivers\swmidi.sys
2009-04-21 16:14 . 2004-08-03 23:07 52864 ----a-w c:\windows.0\system32\drivers\DMusic.sys
2009-04-21 16:14 . 2004-08-03 22:58 7552 ----a-w c:\windows.0\system32\drivers\MSKSSRV.sys
2009-04-21 16:14 . 2004-08-03 22:58 5376 ----a-w c:\windows.0\system32\drivers\MSPCLOCK.sys
2009-04-21 16:14 . 2004-08-03 23:15 60800 ----a-w c:\windows.0\system32\drivers\sysaudio.sys
2009-04-21 16:14 . 2006-06-14 10:50 172416 ----a-w c:\windows.0\system32\drivers\kmixer.sys
2009-04-21 16:14 . 2006-06-14 11:17 82944 ----a-w c:\windows.0\system32\drivers\wdmaud.sys
2009-04-21 16:14 . 2004-08-03 23:07 2944 ----a-w c:\windows.0\system32\drivers\drmkaud.sys
2009-04-21 16:13 . 2001-08-17 21:59 3072 ----a-w c:\windows.0\system32\drivers\audstub.sys
2009-04-21 16:13 . 2004-08-04 00:54 21504 ----a-w c:\windows.0\system32\hidserv.dll
2009-04-21 16:11 . 2006-10-22 11:22 323584 ----a-w c:\windows.0\system32\nvrsar.dll
2009-04-21 16:05 . 2009-04-22 07:20 766082 ----a-w c:\windows.0\system32\PerfStringBackup.INI
2009-04-21 16:04 . 2002-09-07 00:00 86044 ----a-w c:\windows.0\system32\dgsetup.dll
2009-04-21 16:02 . 2007-06-26 21:09 630 ----a-w C:\DPsFnshr.ini
2009-04-21 16:02 . 2007-06-26 21:09 0 ----a-w C:\ATICCC.ins
2009-04-21 16:02 . 2007-05-27 09:08 202187 ----a-w C:\pmtimer.exe
2009-04-21 16:02 . 2007-05-27 09:08 211039 ----a-w C:\DSPdsblr.exe
2009-04-21 16:02 . 2007-05-27 09:08 246423 ----a-w C:\DPsFnshr.exe
2009-04-21 16:02 . 2007-04-05 12:33 55808 ----a-w C:\devcon.exe
2009-04-21 16:02 . 2007-04-05 12:33 20992 ----a-w C:\makePNF.exe
2009-04-21 16:02 . 2007-04-05 12:33 137728 ----a-w C:\mute.exe
2009-04-21 16:00 . 2007-02-21 20:58 3721 ----a-w C:\DriverPack_Sound_B_wnt5_x86-32.ini

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-22 07:40 . 2008-07-15 14:45 -------- d-----w c:\program files\eToro
2009-04-22 07:20 . 2002-09-07 00:00 47160 ----a-w c:\windows.0\system32\perfc00C.dat
2009-04-22 07:20 . 2002-09-07 00:00 365210 ----a-w c:\windows.0\system32\perfh00C.dat
2009-04-21 18:38 . 2009-04-21 18:38 -------- d-----w c:\program files\Microsoft Works
2009-04-21 18:29 . 2009-04-21 18:29 -------- d-----w c:\program files\MSN Messenger
2009-04-21 14:47 . 2008-03-27 22:23 90 ----a-w C:\Setup.log
2009-04-21 14:47 . 2008-12-23 19:04 -------- d-----w c:\program files\SAGEM
2009-04-21 14:41 . 2009-04-21 14:22 86343 ----a-w c:\windows.0\pchealth\helpctr\OfflineCache\index.dat
2009-04-21 14:25 . 2009-04-21 14:25 685816 ----a-w c:\windows.0\system32\drivers\sptd.sys
2009-04-21 14:19 . 2009-04-21 14:19 21892 ----a-w c:\windows.0\system32\emptyregdb.dat
2009-04-21 14:17 . 2008-03-27 21:50 -------- d-----w c:\program files\Windows Media Connect 2
2009-04-20 18:19 . 2008-11-10 09:58 -------- d-----w c:\program files\Trend Micro
2009-04-20 18:00 . 2009-04-20 17:59 5214 ----a-w C:\UsbFix.txt
2009-04-20 16:57 . 2008-06-19 21:53 0 ----a-w C:\TV.TRV
2009-04-20 08:58 . 2008-04-03 10:59 -------- d-----w c:\program files\TransVente
2009-04-19 14:59 . 2009-04-17 13:09 -------- d-----w c:\documents and settings\Administrateur\Application Data\scourtoolbar
2009-04-17 13:09 . 2009-04-17 13:09 -------- d-----w c:\program files\scourtoolbar
2009-04-06 21:13 . 2008-03-28 13:51 -------- d-----w c:\documents and settings\Administrateur\Application Data\LimeWire
2009-03-14 10:40 . 2008-03-27 22:05 -------- d-----w c:\program files\Fichiers communs\Adobe
2009-03-13 17:05 . 2009-03-13 17:05 -------- d-----w c:\program files\CounterPath
2008-09-03 16:10 . 2008-03-27 22:13 57576 ----a-w c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2008-07-29 18:41 . 2008-07-29 18:41 137 ----a-w c:\documents and settings\Administrateur\Local Settings\Application Data\fusioncache.dat
.

------- Sigcheck -------

[-] 2007-06-26 20:18 360576 C7BE59B07C6EB74BEA6FD67C1B164015 c:\windows.0\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows.0\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows.0\system32\NvMcTray.dll" [2006-10-22 86016]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-04-20 1932568]
"SoundMan"="SOUNDMAN.EXE" - c:\windows.0\SOUNDMAN.EXE [2007-04-16 577536]
"nwiz"="nwiz.exe" - c:\windows.0\system32\nwiz.exe [2006-10-22 1622016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - c:\windows.0\system32\advpack.dll [2007-06-26 124928]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"StartMenuLogoff"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-04-22 00:01 10520 ----a-w c:\windows.0\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=

S0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows.0\system32\DRIVERS\xfilt.sys [2006-10-18 17920]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows.0\System32\Drivers\avgldx86.sys [2009-04-22 325640]
S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows.0\System32\Drivers\avgtdix.sys [2009-04-22 108552]
S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-20 298264]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - SRSERVICE
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-22 19:14
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2009-04-22 19:15
ComboFix-quarantined-files.txt 2009-04-22 18:15

Avant-CF: 16 643 633 152 octets libres
Après-CF: 18 025 877 504 octets libres

150

Réponse 23 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

Ok ,recolle moi un nouveau rapport RSIT et dis moi comment se comporte le pc ?

Réponse 24 / 59

Faififa

Le pc est beaucoup plus rapide qu'avant Pour moi la vitesse est devenue normale

Voilà le rapport :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-22 19:36:47
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 17 GB (57%) free of 30 GB
Total RAM: 511 MB (44% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:40:31, on 22/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS.0\system32\nvsvc32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\notepad.exe
C:\WINDOWS.0\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS.0\system32\sol.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS.0\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS.0\system32\cisvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Réponse 26 / 59

Faififa

Voilà le rapport MBA :

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2028
Windows 5.1.2600 Service Pack 2

22/04/2009 21:45:33
mbam-log-2009-04-22 (21-45-33).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Eléments examinés: 151753
Temps écoulé: 55 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\SYSTEM\Application Data\tazebama\zPharaoh.dat (Worm.Mabezat) -> Quarantined and deleted successfully.

Réponse 27 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

On tient le bon bout !

Fais un scan en ligne Kaspersky avec Internet Explorer.
- Clique sur Démarrer Online-Scanner

- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail.
- Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Réponse 28 / 59

Faififa

Voilàle rapport engendré par Kapersky :

KASPERSKY ON-LINE SCANNER REPORT
Thursday, April 23, 2009 9:43:47 AM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.84.2
Dernière mise à jour de la base antivirus Kaspersky : 23/04/2009
Enregistrements dans la base antivirus Kaspersky : 1872434

Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai

Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
F:\

Statistiques de l'analyse
Total d'objets analysés 64331
Nombre de virus trouvés 0
Nombre d'objets infectés 0 / 0
Nombre d'objets suspects 0
Durée de l'analyse 01:49:42

Nom de l'objet infecté Nom du virus Dernière action
C:\autorun.inf\lpt3.This folder was created by UsbFix L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS.0\Application Data\avg8\Log\avgcore.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS.0\Application Data\avg8\Log\avgns.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS.0\Application Data\avg8\Log\avgrs.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS.0\Application Data\avg8\Log\avgsched.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS.0\Application Data\avg8\Log\avgsched.log.1 L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS.0\Application Data\avg8\Log\avgui.log L'objet est verrouillé ignoré

C:\Documents and Settings\All Users.WINDOWS.0\Application Data\avg8\Log\avgwd.log L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\LocalService.AUTORITE NT\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT\Cookies\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT\NTUSER.DAT L'objet est verrouillé ignoré

C:\Documents and Settings\NetworkService.AUTORITE NT\ntuser.dat.LOG L'objet est verrouillé ignoré

C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

C:\System Volume Information\_restore{08ADC278-6A0D-4313-93BD-645405599AA6}\RP2\change.log L'objet est verrouillé ignoré

C:\WINDOWS.0\CSC\00000001 L'objet est verrouillé ignoré

C:\WINDOWS.0\Debug\PASSWD.LOG L'objet est verrouillé ignoré

C:\WINDOWS.0\SchedLgU.Txt L'objet est verrouillé ignoré

C:\WINDOWS.0\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\default L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\default.LOG L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\Internet.evt L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\SAM L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\SAM.LOG L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\SECURITY L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\software L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\software.LOG L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\system L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\config\system.LOG L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\drivers\sptd.sys L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\h323log.txt L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

C:\WINDOWS.0\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

C:\WINDOWS.0\WindowsUpdate.log L'objet est verrouillé ignoré

D:\autorun.inf\lpt3.This folder was created by UsbFix L'objet est verrouillé ignoré

D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.

Réponse 29 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

Ca m'a l'air tout bon .

Je voudrais maintenant que tu branches tous tes Clés,disques externes et une fois fait ça recolle moi un dernier log RSIT ;ensuite on pourra conclure ce topique .

Réponse 30 / 59

Faififa

Voilà le rapport:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-24 20:25:38
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 17 GB (57%) free of 30 GB
Total RAM: 511 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:08, on 24/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS.0\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Domino.exe
C:\WINDOWS.0\vmsnap3.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS.0\VMSnap3.EXE
O4 - HKLM\..\Run: [Domino] C:\WINDOWS.0\Domino.EXE
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS.0\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS.0\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS.0\system32\cisvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

Réponse 31 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

L'infection est toujours présente !

Branche ton lecteur G:\ ensuite fais ceci :

Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

:processes
explorer.exe

:Reg

:files
G:\zPharaoh.exe
c:\windows\system32\setupfilter.exe
:services

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]

Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Réponse 32 / 59

Faififa

J'ai fait comme tu m'as die et j'ai redémarré le pc et voici le rapport :

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== REGISTRY ==========
========== FILES ==========
File/Folder G:\zPharaoh.exe not found.
c:\windows\system32\setupfilter.exe moved successfully.
========== SERVICES/DRIVERS ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Temporary Internet Files\Content.IE5\EO443DPZ\affich-12086247-probleme-de-virus[1].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Temporary Internet Files\Content.IE5\DV31D5V1\6BAFCAU0V4ZACATFA314CA6FFSB2CAFRTWJ6CA50LBQWCA32LQ51CA5F76MDCAJZPDY5CAU17NGVCAOUKXXACAP2GFSACAT6G6OQCA94WHJMCA6NA31LCACB343ICAVNR3V8.htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Temporary Internet Files\Content.IE5\DV31D5V1\AD29CASBHLFOCAOOOBDACAVAGJ2LCA6Q15MYCA4V53MKCAS90EEECAJ73W11CA0G714WCALVQSQXCA1VF2SBCAJ3JMR5CACHW64LCAOMFK5ECA6AHIH8CAYIPXU2CAL7GLWX.htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Administrateur.SWEET-1E849C0F2\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04252009_100743

Réponse 33 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

Grrr.....Il reste toujours ce disque externe qui est infecté : G:\zPharaoh.exe

On va essayer autre chose :

Télécharge Flash_Disinfector de sUBs ici
:
https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre le sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"

Appuye sur "Ok", pour faire réapparaitre le bureau

Ensuite tu me recolle un log RSIT en suivant .

Réponse 34 / 59

Faififa

Voilà le rapport RSIT:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-25 10:55:31
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 17 GB (56%) free of 30 GB
Total RAM: 511 MB (62% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:55:50, on 25/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS.0\SOUNDMAN.EXE
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS.0\VMSnap3.EXE
C:\WINDOWS.0\Domino.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS.0\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS.0\VMSnap3.EXE
O4 - HKLM\..\Run: [Domino] C:\WINDOWS.0\Domino.EXE
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS.0\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS.0\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: CiSvc - Unknown owner - C:\WINDOWS.0\system32\cisvc.exe (file missing)
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

Réponse 35 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

Elles reviennent a chaque tentatives de suppressions !

1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2.

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

4. The Avenger va automatiquement faire ce qui suit:

Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Réponse 36 / 59

Faififa

J'ai fait exactement ce que tu m'as dit mais ça ne s'est pas passé comme tu l'as décrit en 4.

Le programme a fait son scan et m'a demandé de redémarré j'ai répondu OK et quand il s'est ouvert j'ai trouvé le rapport que voici :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Completed script processing.

*******************

Finished! Terminate.

Réponse 37 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to delete:
c:\windows\system32\setupfilter.exe
c:\pmtimer.exe
c:\mute.exe
c:\makepnf.exe
c:\dspdsblr.exe
c:\dpsfnshr.exe
c:\devcon.exe

Registry keys to delete:
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{110cb218-30bf-11de-a78f-0016ec2e8080}]

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.

Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:

Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

Réponse 38 / 59

Faififa

Quand je clique sur execute après avoir copié-collé le script que tu m'a donné (avec la méthode que tu m'as donné );j'ai un message d'erreur :

Error : invalid script syntax in command :
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{110cb218-30bf-11de-a78f-0016ec2e8080}]
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.Skipping line.(Registry key deletion mode )

Je clique OK ou pas ?

Réponse 39 / 59

jfkpresident Messages postés 13408 Date d'inscription Statut Contributeur sécurité Dernière intervention 1 175

Je clique OK ou pas ?

Oui .

Réponse 40 / 59

Faififa

Voilà le rapport obtenu :

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun Apr 26 12:28:14 2009

12:28:00: Error: Invalid registry syntax in command:
"[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{110cb218-30bf-11de-a78f-0016ec2e8080}]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
12:28:14: Error: Execution aborted by user!

//////////////////////////////////////////

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sun Apr 26 14:00:58 2009

14:00:43: Error: Invalid registry syntax in command:
"[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{110cb218-30bf-11de-a78f-0016ec2e8080}]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Error: Script file not found!
Could not open script file! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Abort!

Discussions similaires

Softonic,est-ce un virus ?

message de postmaster incessant !

Désinstaller Softonic

Message Apple virus !!

4 virus en raison d’un porno ????

Votre réponse

Discussions similaires