une autre opinion ? Résolu/Fermé

Question

Bonjour,
j aimerais qu un expert reprenne mon dossier, car j ai toujours ce fichu cheval de troie :

http://www.commentcamarche.net/forum/affich 11473736 un trojan resistant win32 small jhl

merci

Utilisateur anonyme · Answer

bonsoir, j'ai vu quelque chose dans le dernier rapport combo fix, 3 clés qui me semblent infectées Télécharge et installe UsbFix de C_XX, Chimay8 & Chiquitine29 http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir # Double clic sur le raccourci UsbFix présent sur ton bureau . # Choisi l option 1 ( Recherche ) # Laisse travailler l outil. # Ensuite post le rapport UsbFix.txt qui apparaitra. # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. je ne sais pas si cela a un rapport avec le cheval de troie

bigblade · Answer

désolé j ai pas tout compris dans ta phrase : Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir je regarderais de plus pret vendredi car je me leve tot demain, merci par avance deja de t etre penché sur mon cas ! si il y a d autres amateurs d idees, je prends

bigblade · Answer

par ce que tu penses que mon cheval de troie se trouve sur ma clé usb ?

Tu as pu voir toutes les demarches que j ai faites et que ce fameux fichier a été eradiqué de mon disque dur, et meme dans la base de registre. Le probleme est qu il doit y avoir une application qui l active, mais quoi ? certainement pas provenant d une sortie usb !
ccleaner le trouve mais ne le repare pas.

je te fais un hi jack pour te donner un apercu de la situation aujourd hui !

bigblade · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:31:09, on 08/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
vraidservice.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32undll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://www.bing.com/?FORM=TOOLBR&cc=fr&toHttps=1&redig=4527FFF1C12746FC9EDB535C75E80ECC
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32
vraidservice.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Printspooler] C:\Program Files\spooler.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-21-3542216805-3780390227-2774239341-1006\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-3542216805-3780390227-2774239341-1006\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-21-3542216805-3780390227-2774239341-1006\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" (User '?')
O4 - HKUS\S-1-5-21-3542216805-3780390227-2774239341-1006\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-21-3542216805-3780390227-2774239341-1006\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Defender.lnk = C:\Program Files\Windows Defender\MSASCui.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\binesources\WebMenuImg.htm
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar	oolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?eeec0c9ff9914156a6509a069904d306
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?eeec0c9ff9914156a6509a069904d306
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .UVR: C:\Program Files\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.targa.gmbh/eng/targa/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106167868515
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - 
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E1E73B44-2D20-47A9-9CA2-B534CEBBF856} (F-Secure Health Check 1.0) - http://www.neufsecurite.fr/pchc/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: AshampooDefragService -   - C:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Service Google Update (gupdate1c9be6c6fa7c582) (gupdate1c9be6c6fa7c582) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NeroNET - Ahead Software AG - C:\Program Files\Ahead\NeroNET\NeroNET.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

bigblade · Answer

O4 - HKLM\..\Run: [Printspooler] C:\Program Files\spooler.exe 

c est celui la !!!

je ne voudrais pas en arriver a faire un format C, alors si toi ou tes copains avez des solutions
merci d avances

gen-hackman · Answer

bonjour a tous

@bigblade

fais ce que te demande Nathandre car meme si cela ne vient pas de là , cela vaccinera ton pc afin de contrer d'eventuelles nouvelles infections , et fera en sorte qu'il n'y ait pas n'importe quoi qui démarre en execution automatique.

quoique avant fais quand meme ceci :


Désactiver le TeaTimer de Spybot (Merci à Nico): 

Pour désactiver le TeaTimer : 
=> Ouvrir Spybot S&D 
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui". 
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

=> Décocher la ligne TeaTimer. 
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.

bigblade · Answer

ok, voila c est fait resident n apparait plus !
je vais lancer usbfix

bigblade · Answer

############################## [ UsbFix V3.017 # Scan ]

# User : PAPA (Administrateurs) # TARGA
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 11:56:27 | 08/05/2009

# 
# 
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Kaspersky Internet Security 7.0.0.124 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]7.0.0.124



############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32
vraidservice.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32undll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Mozilla Firefox\firefox.exe

################## [  Registre # Startup ]

HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="PAPA" 
HKLM_logon: "AltDefaultUserName"="PAPA" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    PinnacleDriverCheck=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    NVRaidService=C:\WINDOWS\system32
vraidservice.exe 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    CARPService=carpserv.exe 
HKLM_Run:    DAEMON Tools="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036 
HKLM_Run:    SoundMan=SOUNDMAN.EXE 
HKLM_Run:    NBKeyScan="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" 
HKLM_Run:    NeroFilterCheck=C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
HKLM_Run:    AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" 
HKLM_Run:    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    Printspooler=C:\Program Files\spooler.exe 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"  
HKCU_Run:    swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  
HKCU_Run:    WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe  

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! M:\autorun.inf  

################## [ Registre # Clés Run infectieuses ]

gen-hackman · Answer

il manque des lignes dans ce rapport

bigblade · Answer

oui j ai eu un gros plantage, j ai posté seulement ce que j ai trouvé !
apres relance du pc je fais un nouvel essai de usbfix
est ce qu il faut attendre longtemps car il s etait arreté sur une ligne rouge et puis plus rien ?

bigblade · Answer

voila j ai tout :


############################## [ UsbFix V3.017 # Scan ]

# User : PAPA (Administrateurs) # TARGA
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 12:07:12 | 08/05/2009

# 
# 
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Kaspersky Internet Security 7.0.0.124 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]7.0.0.124



############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32
vraidservice.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe

################## [  Registre # Startup ]

HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="PAPA" 
HKLM_logon: "AltDefaultUserName"="PAPA" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    PinnacleDriverCheck=C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    NVRaidService=C:\WINDOWS\system32
vraidservice.exe 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    CARPService=carpserv.exe 
HKLM_Run:    DAEMON Tools="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1036 
HKLM_Run:    SoundMan=SOUNDMAN.EXE 
HKLM_Run:    NBKeyScan="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" 
HKLM_Run:    NeroFilterCheck=C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
HKLM_Run:    AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" 
HKLM_Run:    SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe" 
HKLM_Run:    Printspooler=C:\Program Files\spooler.exe 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"  
HKCU_Run:    swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  
HKCU_Run:    WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe  

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! M:\autorun.inf  

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CARPService" "    

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{1865fad3-b7a0-11dd-852e-000fea7e2075}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{bf9ec1c1-6a2f-11d9-92be-806d6172696f}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{e8b324f5-bdc5-11dc-831d-000fea7e2075}\Shell\AutoRun\command  

################## [ ! Fin du rapport # UsbFix V3.017 ! ]

gen-hackman · Answer

tiens c'est bizarre il marque pas l'OS...


######## | Suppression | ########

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


######### | Désinstallation | #######


# Double clic sur le raccourci UsbFix présent sur ton bureau

# Choisi l option Désinstaller  ....

bigblade · Answer

c est quand je poste le resultat ca met : 
Vous avez déjà posté ce message !

est ce que tu l as eu ?

gen-hackman · Answer

ok deposes-le ici puis renvoies le lien obtenu

http://www.cijoint.fr/

bigblade · Answer

http://www.cijoint.fr/cjlink.php?file=cj200905/cijysuCKgt.txt

gen-hackman · Answer

Pour ceux que ca intereese et pour la continuité :

############################## [ UsbFix V3.017 # Cleaning ]

# User : PAPA (Administrateurs) # TARGA
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 12:29:40 | 08/05/2009

# 
# 
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Kaspersky Internet Security 7.0.0.124 [ Enabled | Updated ]
# FW : Kaspersky Internet Security[ Enabled ]7.0.0.124



############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE

################## [ Fichiers # Dossiers infectieux ]

(!) Not Deleted ! M:\autorun.inf   

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CARPService" "    

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{bf9ec1c1-6a2f-11d9-92be-806d6172696f}\Shell\AutoRun\command   
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{e8b324f5-bdc5-11dc-831d-000fea7e2075}\Shell\AutoRun\command   

################## [ Listing des fichiers présent ]

[19/01/2005 16:46|--a------|0] - C:\AUTOEXEC.BAT
[03/12/2006 22:41|--a------|216] - C:\Boot.bak
[11/03/2009 18:52|-rahs----|286] - C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[04/08/2004 00:00|--a------|263488] - C:\cmldr
[19/01/2005 16:46|--a------|0] - C:\CONFIG.SYS
[?|?|?] - C:\hiberfil.sys
[19/01/2005 16:46|-rahs----|0] - C:\IO.SYS
[19/01/2005 16:46|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[15/05/2008 22:40|-rahs----|252240] - C:
tldr
[?|?|?] - C:\pagefile.sys
[08/05/2009 12:32|--a------|3041] - C:\UsbFix.txt
[18/01/2005 18:50|--a------|1078] - D:\README.TXT
[20/01/2004 14:50|--a------|20480] - D:\AUTORUN.EXE
[25/11/2008 17:44|--a------|347648] - K:\cv afpa.doc
[01/04/2009 09:15|--a------|35840] - K:\CV1.doc
[07/05/2009 17:23|--a------|20480] - K:\mail.doc
[27/03/2009 18:05|--a------|36864] - K:\Synthese.doc
[01/05/2009 12:25|--a------|733413376] - K:\X-Men Origins Wolverine 2009 French Workprint Md Xvid-Xmen Fuck.avi
[27/04/2009 19:27|--a------|39639] - K:\AfficherOffre.do.htm
[30/04/2009 16:09|--a------|30720] - K:\Réponse à annonce, la démarche-1.doc
[28/04/2009 12:58|--a------|173129] - K:\Offre d'emploi Conservateur adjoint des cimetières h-f Morbihan - Emploi_LaGazetteDesCommunes_com.mht
[28/04/2009 12:59|--a------|167370] - K:\Offre d'emploi Technicien supérieur h-f Morbihan - Emploi_LaGazetteDesCommunes_com.mht
[30/04/2009 16:09|--a------|27648] - K:\Schéma de présentation d'une lettre candidature spontanée-1.doc
[28/03/2009 11:56|--a------|22016] - K:\Motivation A 44 SECURITE.doc
[28/03/2009 11:56|--a------|25088] - K:\Motivation CEROC.doc
[28/03/2009 11:56|--a------|22528] - K:\Motivation G4S.doc
[28/03/2009 11:56|--a------|27136] - K:\Motivation SELLOR..doc
[01/05/2009 08:28|--a------|29803] - K:\Travailler chez Securitas - Securitas France SARL.htm
[01/05/2009 08:29|--a------|30386] - K:\Nos valeurs - Securitas France SARL.htm
[06/05/2008 14:26|-r-------|309] - M:\autorun.inf
[23/10/2007 09:45|-r-------|1336632] - M:\LaunchU3.exe
[06/05/2008 14:11|-r-------|5600229] - M:\LaunchPad.zip
[12/09/2008 19:03|--a------|732125854] - N:\max la menace r5 Ld Xvid-Ghost Caline012 Licokine Team.avi
[23/10/2007 08:45|-ra------|1336632] - N:\LaunchU3.exe
[08/04/2009 12:38|--a------|732940288] - N:\Fast And Furious 4 Ts French Md Divx King Fuck.avi

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# K:\autorun.inf -> Folder created by UsbFix.  
# N:\autorun.inf -> Folder created by UsbFix.  

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.017 ! ]

gen-hackman · Answer

################## [ Fichiers # Dossiers infectieux ]

(!) Not Deleted ! M:\autorun.inf   

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "CARPService" "    

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{bf9ec1c1-6a2f-11d9-92be-806d6172696f}\Shell\AutoRun\command   
Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{e8b324f5-bdc5-11dc-831d-000fea7e2075}\Shell\AutoRun\command   

################## [ Listing des fichiers présent ]

gen-hackman · Answer

Fais un scan avec ton kaspersky

bigblade · Answer

c est parti ca va prendre un peu de temps !

gen-hackman · Answer

oui je sais :)

gen-hackman · Answer

oui Nathandre :)

on peut savoir ce qu'est ton lecteur F:\   ?

bigblade · Answer

mon lecteur f est mon graveur.

l analyse kaspersky est terminee est il n y a aucun code malicieux découvert

bigblade · Answer

Ben ecoutez je viens de lancer un ccleaner et au miracle il ne trouve plus le spooler.exe !
j ai fait un redemarrage et encore une analyse, non il n est plus la !!???
Est ce qu on peut dire que j en suis débarassé ? comment en etre sur ?

est ce que je relance le mode tea timer de spybot ?

bigblade · Answer

j ai aussi RegistryBooster 2 pour la base de registre.
donc pour toi le cheval de troie est parti ? pourtant on a fait aucune manip, seulement un scan avec
usbfix !!
ca consiste en quoi ton nettoyage ?
tu ne m as pas dis si je dois réactiver le tea timer de spybot ?

bigblade · Answer

j ai kaspersky
j aimerais quand meme avoir une explication supplementaire de se que tu m as fait faire
car tu as pu le constater j ai fait pas mal de manip au paravant, sans succés !
en tout cas merci beaucoup a toi et a gen-hackman

est ce que je peux oser cocher la case "résolu" ?

bigblade · Answer

dans l onglet restauration du systeme
la case et la phrase mettre restauration systeme hors tension est grisée

bigblade · Answer

alors j ai du nouveau, une fois que j ai activé tea timer et fais un ccleaner l erreur est de retour !

bigblade · Answer

ben oui c est mon probleme depuis nle debut, j ai bien cru que c etait bon, mais une fois le tea timer réactivé il est réapparu dans le ccleaner
j arrive a le supprimé dans le regedit, mais apres quand j actualise, il revient

bigblade · Answer

ca n a rien avoir avec le tea timer de spybot ?

as tu des potes qui pourraient avoir une idée ?

bigblade · Answer

ben voila il disparait , ccleaner le corrige !

alors qu est ce qu on fait ? avec ce tea timer ?

bigblade · Answer

quand j ai decoché resident tea timer, c est un parametre de protection de spybot

bigblade · Answer

apres plusierus test,quand l option tea timer de spybot est coché, l erreur reste malgré ccleaner.
des lors qu il est décoché et suivi d un redemarrage, il n apparait plus grace au ccleaner.

donc qu est ce que je dois en déduire ? dois je désinstaller spybot et le réinstaller avec le tea timer pour voir ?
ou il est bien caché quelque part et c est que le tea timer qui l active, dans ce cas la dur dur pour le détruire définitivement !

bigblade · Answer

je l ai recherché dans le regedit et je ne le trouve plus !

bigblade · Answer

qu est ce que tu veux que je fasse ?

bigblade · Answer

je viens de fouiller dans tous les dossiers que tu viens de me dire dans le regedit et je n ai aucune trace de spooler.exe, il faut dire que le tea timer de spybot est toujours désactivé !

bigblade · Answer

mais si je fais ca, ca reviendra comme avant, c est sur je vais le trouver dans le regedit mais je ne pourrais le supprimer

bigblade · Answer

et gen-hackman, tu le connais
est ce qu il a une idée ?
pour le moment je n ai pas réactivé le tea timer de spybot

gen-hackman · Answer

salut à tous je crois que ca vient des pilotes d'imprimantes aussi

gen-hackman · Answer

un truc a essayer aussi :

Dévacciner avec spybot , renettoyer puis revacciner

gen-hackman · Answer

ok :)

bigblade · Answer

merci nat de faire le lien entre les deux posts, si hackman veut suivre :
http://www.commentcamarche.net/forum/affich 11473736 un trojan resistant win32 small jhl?page=5#110

Une autre opinion ?

41 réponses

Discussions similaires