Processus et Hijackthis Fermé

Question

Bonjour, :)

Voilà j'ai cinq cent millions de processus et ils me mangent toute mon énergie :( :( :(

j'ai eu 6 virus d'un coup, j'ai nettoyé mon pc avec spyware terminator il a effacé tous les virus mais dans mon gestionnaire de tâches j'ai onze svchost.exe, cinq iexplore.exe ça me parait assseezzzzzzzzzzzzz louche surtout que mon pc est tout lent :s

j'ai fait un tasklist sous cmd pour savoir à quoi sont utile ces processus et il y en a plein où on me marque n/a

donc je ne sais même pas à quoi ils sont utiles.

aidez moiiii :) j'ai fais un hijackthis et je ne sais pas quoi faire de ce qu'il en sort. je le post?

merci pour votre aide bisoux bisoux

Destrio5 · Answer

Bonjour,

Tu peux poster ton rapport HijackThis.

Chaym · Answer

coucou voilà le log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:46:51, on 11/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Chaïma\Bureau\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://defaulthomepage.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UVS12 Preload] C:\Program Files\Corel\Corel VideoStudio 12\uvPL.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Systems Update] C:\Program Files\Fichiers communs\SERVICES\S-1-5-21-1303342014-1704936951-537590071-0504\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [Systems Update] C:\Program Files\Fichiers communs\SERVICES\S-1-5-21-1303342014-1704936951-537590071-0504\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Destrio5 · Answer

Tu es infecté.

--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)

--> Clique sur Continue à l'écran Disclaimer.

--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

Chaym · Answer

waaa ca fait peur :) je fait ça tout de suite Destrio5

Chaym · Answer

voilà le log.txt : 

Logfile of random's system information tool 1.06 (written by random/random)
Run by Chaym at 2009-05-11 15:24:15
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 45 GB (58%) free of 78 GB
Total RAM: 511 MB (31% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:28, on 11/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\Documents and Settings\Chaym\Bureau\RSIT.exe
C:\Documents and Settings\Chaym\Bureau\Chaym.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://defaulthomepage.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UVS12 Preload] C:\Program Files\Corel\Corel VideoStudio 12\uvPL.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Systems Update] C:\Program Files\Fichiers communs\SERVICES\S-1-5-21-1303342014-1704936951-537590071-0504\services.exe
O4 - HKCU\..\Policies\Explorer\Run: [Systems Update] C:\Program Files\Fichiers communs\SERVICES\S-1-5-21-1303342014-1704936951-537590071-0504\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe

Destrio5 · Answer

On va commencer le nettoyage.

--> Télécharge UsbFix (de C_XX & Chiquitine29) sur ton Bureau.

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Choisis l'option 1 (Recherche).

--> Laisse travailler l'outil.

--> Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

Chaym · Answer

Pq la moitié du texte est grisé? tu as reçu?

Destrio5 · Answer

Oui, j'ai bien tout reçu.

Chaym · Answer

ils ne risquent pas d'être infecté? car j'ai deja eu un virus sur une de mes cartes sd que j'ai du formater

Destrio5 · Answer

Au pire, UsbFix désinfectera.

Chaym · Answer

voila le txt d'usbfix (il en a trouvé :s :s :s )



############################## [ UsbFix V3.018 # Scan ]

# User : Chaym (Administrateurs) # .......
# Update on 11/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:40:55 | 11/05/2009

# AMD Athlon(tm) 
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AVG 7.5.557 7.5.557 [ Enabled | (!) Outdated ]
# FW : [ (!) Disabled ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 76,32 Go (44,04 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 488,59 Mo (488,37 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe
C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [  Registre # Startup ]

HKCU_Main:  "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:  "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" 
HKCU_Main:  "Start Page"="https://www.google.com/?gws_rd=ssl" 
HKLM_logon: "Userinit"="C:\WINDOWS\system32\userinit.exe," 
HKLM_logon: "DefaultUserName"="Cha‹ma" 
HKLM_logon: "AltDefaultUserName"="Cha‹ma" 
HKLM_logon: "LegalNoticeCaption"="" 
HKLM_logon: "LegalNoticeText"="" 
HKLM_Run:    ATIPTA=C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 
HKLM_Run:    NeroCheck=C:\WINDOWS\System32\NeroCheck.exe 
HKLM_Run:    TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot 
HKLM_Run:    SmcService=C:\PROGRA~1\Sygate\SPF\smc.exe -startgui 
HKLM_Run:    LogitechQuickCamRibbon="C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide 
HKLM_Run:    SunJavaUpdateSched=C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe 
HKLM_Run:    AVG7_CC=C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP 
HKLM_Run:    UVS12 Preload=C:\Program Files\Corel\Corel VideoStudio 12\uvPL.exe 
HKLM_Run:    SpywareTerminator="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" 
HKLM_Run:    MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background  
HKCU_Run:    MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background  
HKCU_Run:    Systems Update=C:\Program Files\Fichiers communs\SERVICES\S-1-5-21-1303342014-1704936951-537590071-0504\services.exe  
HKCU_Run:    HKEY_CURRENT_USER\software\microsoft\windows\currentversionun\AdobeUpdater=  

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\system32\autorun.inf  
Found ! F:\.\RECYCLER\autorun.exe  
Found ! F:\autorun.inf  
Found ! F:ecycler\autorun.exe  

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\windows nt\currentversion\winlogon\ "Taskman"    

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{b6a09eb8-292f-11de-8c22-000ea63c9207}\Shell\AutoRun\command  
HKCU\Software\Microsoft\....\MountPoints2\{b6a09eb8-292f-11de-8c22-000ea63c9207}\Shell\open\Command  

################## [ ! Fin du rapport # UsbFix V3.018 ! ]

Destrio5 · Answer

Oui, ta clé est infectée.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix présent sur ton Bureau.

--> Choisis l'option 2 (Suppression).

--> Ton Bureau disparaîtra et le PC redémarrera.

--> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

--> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau .

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Chaym · Answer

voila le txt, ça dit quoi?



############################## [ UsbFix V3.018 # Cleaning ]

# User : Chaym (Administrateurs) # ....
# Update on 11/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 15:51:58 | 11/05/2009

# AMD Athlon(tm) XP
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled
# AV : AVG 7.5.557 7.5.557 [ Enabled | (!) Outdated ]
# FW : [ (!) Disabled ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 76,32 Go (44,04 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 488,59 Mo (488,37 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wscntfy.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\system32\autorun.inf    
F:\autorun.inf # -> fichier appelé : "F:\RECYCLER\autorun.exe" ( présent ! )  
Deleted ! -> F:\RECYCLER\autorun.exe 
Deleted ! F:\autorun.inf    

################## [ Registre # Clés Run infectieuses ]

Deleted ! HKLM\software\microsoft\windows nt\currentversion\winlogon\ "Taskman"    

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{b6a09eb8-292f-11de-8c22-000ea63c9207}\Shell\AutoRun\command   

################## [ Listing des fichiers présent ]

[28/03/2008 13:10|--a------|0] - C:\AUTOEXEC.BAT
[11/05/2009 00:01|-rahs----|216] - C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
[28/03/2008 13:10|--a------|0] - C:\CONFIG.SYS
[11/05/2009 14:24|--a------|321609] - C:\MDL 2.0 Debug.txt
[28/03/2008 13:10|-rahs----|0] - C:\MSDOS.SYS
[31/03/2008 17:45|-rahs----|47564] - C:\NTDETECT.COM
[25/09/2008 22:29|-rahs----|252240] - C:
tldr
[?|?|?] - C:\pagefile.sys
[11/05/2009 15:53|--a------|3213] - C:\UsbFix.txt

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.  
# F:\autorun.inf -> Folder created by UsbFix.  

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !  

################## [ ! Fin du rapport # UsbFix V3.018 ! ]

Destrio5 · Answer

Ta clé USB est désinfectée, désinstalle UsbFix.

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Chaym · Answer

j'ai lancé l'examen rapide, des que c'est fini je te poste le rapport d'analyse :)

Chaym · Answer

voilci le rapport, il en a trouvé douze :s:s j'ai supprimer comme tu m'as dit et voilà le rapport : 

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2109
Windows 5.1.2600 Service Pack 3

11/05/2009 16:38:46
mbam-log-2009-05-11 (16-38-46).txt

Type de recherche: Examen rapide
Eléments examinés: 112861
Temps écoulé: 11 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{c240h4v0-z645-ty0m-f9lh-5t35yc0hm05r} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion	dssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services	dssserv (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systems update (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\systems update (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon	askman (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Fichiers communs\Services\S-1-5-21-1303342014-1704936951-537590071-0504 (Trojan.Agent) -> Delete on reboot.

Fichier(s) infecté(s):
C:\Program Files\Fichiers communs\Services\S-1-5-21-1303342014-1704936951-537590071-0504\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\Services\S-1-5-21-1303342014-1704936951-537590071-0504\desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\Services\S-1-5-21-1303342014-1704936951-537590071-0504\mswinsck.ocx (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Fichiers communs\Services\S-1-5-21-1303342014-1704936951-537590071-0504\system.ico (Trojan.Agent) -> Quarantined and deleted successfully.

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout.

---> Télécharge SDFix (créé par AndyManchesta) sur ton Bureau.
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
- Redémarre ton ordinateur en mode sans échec.

---> Pour redémarrer en mode sans échec :
- Redémarre ton PC.
- Au démarrage, tapote sur F8 (F5 sur certains PC) juste après l'affichage du BIOS et juste avant le chargement de Windows.
- Dans le menu d'options avancées, choisis Mode sans échec.
- Choisis ta session.

---> Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

Chaym · Answer

ouh c'était long c'est normal qu'il en ai trouvé autant? : 


[b]SDFix: Version 1.240 [/b]
Run by Chaym on 11/05/2009 at 16:59

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp10.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp11.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp12.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp13.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp14.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp15.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp16.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp17.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp18.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp19.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp1A.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp1B.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp1C.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp1D.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp1E.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp1F.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp21.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp22.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp23.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp24.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp25.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp26.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp27.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp28.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp29.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp2A.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp2B.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp2D.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp2E.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp2F.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp30.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp31.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp32.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp33.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp34.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp35.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp36.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp37.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp38.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp3A.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp3B.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp3C.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp3D.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp3E.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp3F.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp40.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp41.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp42.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp43.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp44.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp45.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp47.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp48.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp49.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp4A.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp4B.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp4C.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp4D.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp4E.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp4F.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp50.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp51.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp52.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp53.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp54.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp55.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp56.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp59.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mp7.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mpA.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mpC.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mpD.tmp - Deleted
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp	mpE.tmp - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-11 17:23:19
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Grisoft\AVG7\avginet.exe"="C:\Program Files\Grisoft\AVG7\avginet.exe:*:Enabled:avginet.exe"
"C:\Program Files\Grisoft\AVG7\avgamsvr.exe"="C:\Program Files\Grisoft\AVG7\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\Program Files\Grisoft\AVG7\avgcc.exe"="C:\Program Files\Grisoft\AVG7\avgcc.exe:*:Enabled:avgcc.exe"
"C:\Program Files\Grisoft\AVG7\avgemc.exe"="C:\Program Files\Grisoft\AVG7\avgemc.exe:*:Enabled:avgemc.exe"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\BitComet\BitComet.exe"="C:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\Program Files\D-Link\AirPlus G\AirGCFG.exe"="C:\Program Files\D-Link\AirPlus G\AirGCFG.exe:*:Enabled:D-Link AirPlus Utility"
"C:\Program Files\D-Link\Air USB Utility\AirCFG.exe"="C:\Program Files\D-Link\Air USB Utility\AirCFG.exe:*:Enabled:D-Link Air Utility"
"C:\Program Files\Sony Ericsson\Update Service\Update Service.exe"="C:\Program Files\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\WINDOWS\system32\drivers\svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe:*:Disabled:svchost"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe"="C:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe:*:Enabled:MessengerDiscovery Live the Windows Live Messenger addon"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 17 Jun 2008        65,536 A.SH. --- "C:\Program Files\MessengerDiscovery\AlertSkinInstaller.exe"
Sun 22 Jun 2008        40,960 A.SH. --- "C:\Program Files\MessengerDiscovery\SpellCHK.exe"
Wed  2 Dec 1998       143,360 A.SH. --- "C:\Program Files\MessengerDiscovery\unzip.dll"
Sat  2 May 2009       212,992 ..SHR --- "C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe"
Fri 10 Apr 2009           169 A..H. --- "C:\Program Files\InterActual\InterActual Player\iti6.tmp"
Thu  8 Nov 2007     1,224,704 A.SH. --- "C:\Documents and Settings\Cha‹ma\Mes documents\Mes images\isma\SIV5.tmp"

[b]Finished![/b]

Destrio5 · Answer

Tu tiens à ton AVG périmé ?

Chaym · Answer

je n'ai pas encore eu le temps de telecharger la nouvelle version. est il utile? ou ai je assez avec spyware terminator et malwarebytes?

Destrio5 · Answer

Il faut absolument tenir son antivirus à jour.

Je te conseille d'en changer.

--> Désinstalle AVG.

--> Installe Antivir et mets-le à jour.

--> Double-clique sur l'icône d'Antivir (Parapluie) dans la barre des tâches.

--> Dans Antivir, choisis Outils puis Configuration.

--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages.

--> Fais un scan complet et poste le rapport.

Tutoriel sur Antivir

Chaym · Answer

c'est long mais ca vient, je suis en plein scan :)

Chaym · Answer

il est a 94% et a trouvé 12 virus :s c'est normal après toutes les procédures qu'on a fait?

Destrio5 · Answer

On verra avec le rapport.

Chaym · Answer

il m'affiche une fenetre avec les douze virus et il est mis soit tout reparer soit tout annuler, je fais quoi?

Destrio5 · Answer

Tout réparer.

Chaym · Answer

Apparament les fichiers qui contiennent les virus sont "verrouillé" donc j'ai le choix entre supprimer fichier verrouillé après redémarrage ou ignorer.  je coche supprimer fichier verrouillé après redémarrage n'est ce pas?

Destrio5 · Answer

Oui.

Chaym · Answer

mon pc a redemarré et voici le rapport : 



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 11 mai 2009  18:42

La recherche porte sur 1387289 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : CHAYM

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.2.12    3336192 Bytes  11/02/2009 19:33:26
ANTIVIR2.VDF            : 7.1.3.137   1810944 Bytes  30/04/2009 16:39:12
ANTIVIR3.VDF            : 7.1.3.184    223744 Bytes  11/05/2009 16:39:30
Version du moteur       : 8.2.0.166
AEVDF.DLL               : 8.1.1.1      106868 Bytes  11/05/2009 16:41:30
AESCRIPT.DLL            : 8.1.1.81     385401 Bytes  11/05/2009 16:41:26
AESCN.DLL               : 8.1.1.10     127348 Bytes  11/05/2009 16:41:14
AERDL.DLL               : 8.1.1.3      438645 Bytes  29/10/2008 17:24:41
AEPACK.DLL              : 8.1.3.16     397686 Bytes  11/05/2009 16:41:09
AEOFFICE.DLL            : 8.1.0.36     196987 Bytes  26/02/2009 19:01:56
AEHEUR.DLL              : 8.1.0.128   1757559 Bytes  11/05/2009 16:40:53
AEHELP.DLL              : 8.1.2.2      119158 Bytes  26/02/2009 19:01:56
AEGEN.DLL               : 8.1.1.42     348531 Bytes  11/05/2009 16:39:51
AEEMU.DLL               : 8.1.0.9      393588 Bytes  09/10/2008 13:32:40
AECORE.DLL              : 8.1.6.9      176500 Bytes  11/05/2009 16:39:36
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes  03/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : lundi 11 mai 2009  18:42

La recherche d'objets cachés commence.
'70655' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
  Module infecté -> 'C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe'
Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MessengerDiscovery Live.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Communications_Helper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WinCinemaMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SpywareTerminatorShield.Exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Quickcam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'realsched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'atiptaxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ULCDRSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sp_rsser.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVComSer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PhotoshopElementsFileAgent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
Le processus 'svchost.exe' est arrêté
Catched Exception in SCAN_ProcessList
ACCESS_VIOLATION
  EAX = 00000000  EBX = 00000000
  ECX = 000000E4  EDX = 0046922C
  ESI = 0046921C  EDI = 00000000 
  EIP = 7C92B21A  EBP = 0193FD3C
  ESP = 0193FCC8  Flg = 00010246
  CS = 00000023   SS = 0000001B

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv

Le registre a été contrôlé ( '63' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Program Files\Personal Media Manager\apps\ciso.exe
    [RESULTAT]  Contient le cheval de Troie TR/Vundo.Gen
C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072301.exe
  [0] Type d'archive: RSRC
    --> Object
      [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv.1
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072302.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072303.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.CFI.Gen
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072304.exe
    [RESULTAT]  Contient le cheval de Troie TR/FraudPack.MDP.10
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP125\A0080743.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP129\A0086650.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv.1
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP129\A0086723.ocx
    [RESULTAT]  Contient le cheval de Troie TR/Trash.Gen

Début de la désinfection :
C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26003
    [AVERTISSEMENT] Impossible de supprimer le fichier !
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b15dc8b.qua' !
C:\Program Files\Personal Media Manager\apps\ciso.exe
    [RESULTAT]  Contient le cheval de Troie TR/Vundo.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a7b6bef.qua' !
C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv
    [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
    [AVERTISSEMENT] Impossible de trouver le fichier source.
    [REMARQUE]  Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
    [AVERTISSEMENT] Erreur dans la bibliothèque ARK
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072301.exe
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a386d78.qua' !
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072302.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb23501.qua' !
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072303.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.CFI.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '491135a1.qua' !
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP122\A0072304.exe
    [RESULTAT]  Contient le cheval de Troie TR/FraudPack.MDP.10
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49103c69.qua' !
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP125\A0080743.exe
    [RESULTAT]  Contient le cheval de Troie TR/Crypt.XPACK.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb13dc9.qua' !
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP129\A0086650.exe
    [RESULTAT]  Contient le cheval de Troie TR/Buzus.awuv.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb02591.qua' !
C:\System Volume Information\_restore{9720C539-8F91-424E-AC39-9F67EE343429}\RP129\A0086723.ocx
    [RESULTAT]  Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49130511.qua' !


Fin de la recherche : lundi 11 mai 2009  20:24
Temps nécessaire:  1:18:13 Heure(s)

La recherche a été effectuée intégralement

   7114 Les répertoires ont été contrôlés
 308571 Des fichiers ont été contrôlés
     12 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     10 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 308558 Fichiers non infectés
   2333 Les archives ont été contrôlées
      4 Avertissements
     11 Consignes
  70655 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés


--> il trouve 12 virus et seulement 10 sont dans la quarantaine?  mircii

Chaym · Answer

Rectification : 11 dans la quarantaine :)

Destrio5 · Answer

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau.

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe 

:commands
[purity]
[emptytemp]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Chaym · Answer

ok je fais ca de suite et les fichiers dans la quarantaine je peux les supprimé?

Chaym · Answer

voilà j'ai lancé le programme ensuite il ma demandé de redemarrer pour pouvoir supprimer un fichier ça été fait et voila le rapport : 

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\RECYCLER\S-1-5-21-0245020742-3780767476-914793079-8714\svchost.exe not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp\~DFC3C.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Chaïma\Local Settings\Temporary Internet Files\Content.IE5\MWT1R8FT\affich-12402857-processus-et-hijackthis[2].htm scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Chaïma\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Chaïma\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05112009_204520

Files moved on Reboot...
C:\DOCUME~1\CHAMA~1\LOCALS~1\Temp\~DFC3C.tmp moved successfully.
C:\Documents and Settings\Chaym\Local Settings\Temporary Internet Files\Content.IE5\MWT1R8FT\affich-12402857-processus-et-hijackthis[2].htm moved successfully.
C:\Documents and Settings\Chaym\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.




qu'en est il? (tu es un amour xxx)

Processus et Hijackthis

33 réponses

Discussions similaires