trojan generic 13APTP Résolu

Question

Bonjour,
Je suis en train d'essayer désifecter le pc de mon copain.
Il possède avg comme antivirus, et nous sommes infecter par" trojan generic 13APTP" et d'autres chevaux de troie. Il a eu ce virus par une image piègée sur msn. Merci de nous aider.

pimprenelle27 · Answer

Bonjour,

Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner

Télécharge :

-  MSNFix (!aur3n7) et décompresse-le sur le Bureau.

Regarde bien le Tuto Ici

Ensuite :

Redémarre en mode sans échec comme indiqué  ici ;  Choisis ta session courante.

Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau. 

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs


Le rapport sera enregistré dans C:\Windows\ sous le nom de MSNFix


Mais il n'y aura pas que ça à faire il faudra vérifier s'il n'y a as d'autre infection.

3kn0x · Answer

je viens d'executer ccleaner il a enlevé les fichiers temporaires non utiles, j'ai egalement executer msnfix mais il n'a pas detecté l'infection. Que dois-je faire?

pimprenelle27 · Answer

ok tu va me faire ceci pour voir ce qu'il y a dans ton pc et détecter les choses bizarre.

Télécharge le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Renomme Hijackthis en Tutu

Double-clique sur HJTInstall.exe (tutu)  pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la licence en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriaux (ne fixe rien pour le moment !!)

Pour ceux qui ont vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

3kn0x · Answer

voila le scan : 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:18, on 15/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32undll32.exe

C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse 2008\bin\Hyperappel.exe
C:\Program Files\FinePixViewer\QuickDCF2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0740feaa-26a8-4233-955c-63e78be5e364} - C:\WINDOWS\system32\dibawumi.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: iminent-en Toolbar - {6a7400d6-6615-4a06-a4d1-48979fa6e868} - C:\Program Files\iminent-en	bimi1.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: iminent-en Toolbar - {6a7400d6-6615-4a06-a4d1-48979fa6e868} - C:\Program Files\iminent-en	bimi1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

pimprenelle27 · Answer

Il est complet le rapport il n'y a que ça?

3kn0x · Answer

Heu oui il n'y a que ça, la seul ligne qui à loupée est la derniere : End of file - 11650 bytes . 
Demain je retournerais voir mon copain et je referais le scan si vous pensez qu'il manque des choses.

pimprenelle27 · Answer

bizarre ce rapport?


Télécharge GenProc sur ton bureau

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.


Voir  comment utiliser GenProc

Pour ceux qui ont Vista, ne pas oublier de désactiver Le contrôle des comptes utilisateurs

IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

3kn0x · Answer

Oui je viens de regarder un peu le fonctionnement de hijackthis et apparement il manque des lignes. Je retourne chez mon copain demain faire un nouveau scan et je vous le poste.

3kn0x · Answer

Voila mon copain m'a renvoyer un scan avec toutes les lignes. 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:18, on 16/05/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\Program Files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\WINDOWS\system32undll32.exe

C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Larousse\Encyclopédie Universelle Larousse 2008\bin\Hyperappel.exe
C:\Program Files\FinePixViewer\QuickDCF2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Documents and Settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\1\AlertModule.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O1 - Hosts: 82.98.231.89 url.adtrgt.com
O1 - Hosts: 82.98.231.89 googleads2.gdoubleclick.net
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0740feaa-26a8-4233-955c-63e78be5e364} - C:\WINDOWS\system32\dibawumi.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: iminent-en Toolbar - {6a7400d6-6615-4a06-a4d1-48979fa6e868} - C:\Program Files\iminent-en	bimi1.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll

O3 - Toolbar: iminent-en Toolbar - {6a7400d6-6615-4a06-a4d1-48979fa6e868} - C:\Program Files\iminent-en	bimi1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [IMBooster] C:\Program Files\Iminent\IMBooster\IMBooster.exe /warmup
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [Windows UDP Control Center] msnmsgrss.exe
O4 - HKLM\..\Run: [nozefogasa] Rundll32.exe "C:\WINDOWS\system32
anehutu.dll",s
O4 - HKLM\..\Run: [CPMb7db742d] Rundll32.exe "c:\windows\system32\vinabino.dll",a
O4 - HKLM\..\Run: [b4e847b1] rundll32.exe "C:\WINDOWS\system32	afiwizo.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Hyperappel de l'Encyclopédie Universelle Larousse] "C:\Program Files\Larousse\Encyclopédie Universelle Larousse 2008\bin\Hyperappel.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe (User 'Default user')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: ExifLauncher2.lnk = C:\Program Files\FinePixViewer\QuickDCF2.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\vozaposo.dll c:\windows\system32\vinabino.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vinabino.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\vinabino.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Program Files\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

pimprenelle27 · Answer

Il peut faire ce qu'il y a là

3kn0x · Answer

Mon compain est entrain de faire le scan (genproc)mais il y un message d'erreur : Titre : Windows - Pas de disque 
erreur : Exception Processing Message c0000013 Parameters 75afbf7c 4 75afb7c 75afbf7c
Propositions de windows : annuler / recommencer / continuer
que doit on faire?

pimprenelle27 · Answer

essaye continuer sinon on ferra autre chose.

3kn0x · Answer

bon apparement ça à marché : Rapport GenProc 2.560 [2] 
@ 16/05/2009 à 16:32:32 
@ Windows XP Service Pack 3
@ Internet Explorer (7.0.5730.13) [Navigateur par défaut]

# Etape 1/ Télécharge :
 
- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Fixe *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[2]" sur ton bureau).


# Etape 2/ 

 Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport Combofix.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.560 16/05/2009 à 12:23:49 
Vundo:le 16/05/2009 à 12:24:20 RegExp 

# Détections [2] GenProc 2.560 16/05/2009 à 16:30:15 
Vundo:le 16/05/2009 à 16:30:42 RegExp

pimprenelle27 · Answer

c'est bon il faut qu'il fasse ce qui est marqué et ensuite poster les rapports, ensuite après ça il y aura 3 autre scans à faire pour vérifier s'il n'y a pas d'autre virus sur le pc et 1 scan en ligne, et le nettoyage de tout ça après.

3kn0x · Answer

heu on est entrain d'essayer de desactiver l'antivirus (avg) mais d'apres combofix ce qu'on a fais n'as pas suffit. 
On a fait clique droit sans le systray sur son icone / quitter. Et on voit dans le gestionnaire des taches qu'il est encore actif. Comment le desactiver completement temporairement?
 edit on vient d'essayer de le desactiver par l'utilitaire "msconfig" dans les onglets services et demarrage. sans succés

pimprenelle27 · Answer

Clic drapeau à damiers AVG dans "systray", View, Components, Décocher "AVG résident shield"

3kn0x · Answer

Merci de l'info. Donc voila le log de combofix 
note : nous ne somme pas passé en mode sans echec car le momemt ou nous aurions du le faire ne c'est pas presenté. 

ComboFix 09-05-15.08 - Fixe 16/05/2009 18:42.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.601 [GMT 2:00]
Lancé depuis: c:\documents and settings\Fixe\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\aditihun.ini
c:\windows\system32\ivihisut.ini
c:\windows\system32\nozuzito.dll
c:\windows\system32\oziwifat.ini
c:\windows\system32\tusihivi.dll
c:\windows\system32\vinabino.dll
c:\windows\system32\yojonaso.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-04-16 au 2009-05-16  ))))))))))))))))))))))))))))))))))))
.

2009-05-16 10:22 . 2009-05-16 10:22	--------	d-----w	C:\GenProc
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\documents and settings\Fixe\Application Data\Yahoo!
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\program files\Yahoo!
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\program files\CCleaner
2009-05-15 14:27 . 2009-05-15 14:27	--------	d-----w	c:\program files\Trend Micro
2009-05-13 13:16 . 2008-06-20 10:10	65536	----a-w	c:\windows\system32\Autodial2000.dll
2009-05-13 13:16 . 2009-05-13 13:30	--------	d-----w	c:\program files\OrangeHSS
2009-05-05 17:01 . 2009-05-05 17:07	--------	d-----w	c:\program files\Midnight Racing
2009-05-04 14:32 . 2008-04-21 21:15	219136	-c----w	c:\windows\system32\dllcache\wordpad.exe
2009-05-04 14:31 . 2009-02-06 10:10	227840	-c----w	c:\windows\system32\dllcache\wmiprvse.exe
2009-05-04 14:31 . 2009-03-06 14:20	286720	-c----w	c:\windows\system32\dllcache\pdh.dll
2009-05-04 14:31 . 2009-02-09 11:23	111104	-c----w	c:\windows\system32\dllcache\services.exe
2009-05-04 14:31 . 2009-02-09 10:53	401408	-c----w	c:\windows\system32\dllcache\rpcss.dll
2009-05-04 14:31 . 2009-02-09 10:53	473600	-c----w	c:\windows\system32\dllcache\fastprox.dll
2009-05-04 14:31 . 2009-02-09 10:53	685568	-c----w	c:\windows\system32\dllcache\advapi32.dll
2009-05-04 14:31 . 2009-02-09 10:53	735744	-c----w	c:\windows\system32\dllcache\lsasrv.dll
2009-05-04 14:31 . 2009-02-09 10:53	453120	-c----w	c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-04 14:31 . 2009-02-09 10:53	739840	-c----w	c:\windows\system32\dllcache\ntdll.dll
2009-04-17 12:13 . 2009-04-17 12:13	--------	d-----w	c:\program files\GP Vs Superbike

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-16 10:01 . 2009-01-02 19:08	--------	d-----w	c:\program files\LogMeIn
2009-05-14 15:03 . 2009-02-14 15:02	48640	--sha-w	c:\windows\system32\remaduvi.dll
2009-05-14 15:02 . 2009-02-14 15:02	79872	--sha-w	c:\windows\system32\kubidima.dll
2009-05-09 17:18 . 2009-03-13 18:21	--------	d-----w	c:\program files\Iminent
2009-05-08 08:55 . 2009-01-02 18:55	11952	----a-w	c:\windows\system32\avgrsstx.dll
2009-05-08 08:55 . 2009-01-02 18:54	325896	----a-w	c:\windows\system32\drivers\avgldx86.sys
2009-05-08 08:55 . 2009-01-02 18:55	108552	----a-w	c:\windows\system32\drivers\avgtdix.sys
2009-05-05 16:20 . 2004-08-05 12:00	76144	----a-w	c:\windows\system32\perfc00C.dat
2009-05-05 16:20 . 2004-08-05 12:00	470828	----a-w	c:\windows\system32\perfh00C.dat
2009-04-18 10:07 . 2007-04-09 15:07	4	----a-w	c:\windows\pb.bin
2009-04-17 12:40 . 2009-01-20 17:45	--------	d-----w	c:\program files\AVIConverter
2009-04-08 10:12 . 2008-07-23 10:51	--------	d-----w	c:\program files\Football Generation
2009-04-05 09:29 . 2009-03-13 22:06	--------	d-----w	c:\program files\iminent-en
2009-04-04 10:36 . 2009-04-02 17:07	--------	d-----w	c:\program files\Microsoft Silverlight
2009-03-30 16:17 . 2006-11-20 21:16	79040	----a-w	c:\documents and settings\Fixe\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-03-30 15:29 . 2009-03-30 15:29	--------	d-----w	c:\program files\OpenOffice.org 3
2009-03-06 14:20 . 2004-08-05 12:00	286720	----a-w	c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2004-08-05 12:00	826368	----a-w	c:\windows\system32\wininet.dll
2009-02-24 17:42 . 2009-02-24 17:42	339968	----a-w	c:\windows\system32\pythoncom25.dll
2009-02-24 17:42 . 2009-02-24 17:42	114688	----a-w	c:\windows\system32\pywintypes25.dll
2009-02-24 17:42 . 2003-02-21 03:42	348160	------w	c:\windows\system32\msvcr71.dll
2009-02-24 17:42 . 2009-02-24 17:42	2117632	----a-w	c:\windows\system32\python25.dll
2009-02-20 17:10 . 2004-08-05 12:00	78336	----a-w	c:\windows\system32\ieencode.dll
2004-10-01 14:00 . 2006-11-20 23:03	40960	----a-w	c:\program files\Uninstall_CDS.exe
2009-02-14 15:03 . 2009-02-14 15:03	48640	--sha-w	c:\windows\system32\dibawumi.dll
2009-02-14 15:03 . 2009-02-14 15:03	48640	--sha-w	c:\windows\system32\nanehutu.dll
2009-02-14 15:03 . 2009-02-14 15:03	48640	--sha-w	c:\windows\system32\vozaposo.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0740feaa-26a8-4233-955c-63e78be5e364}]
2009-02-14 15:03	48640	--sha-w	c:\windows\system32\dibawumi.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]
2009-04-05 09:29	1883672	----a-w	c:\program files\iminent-en\tbimi1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6a7400d6-6615-4a06-a4d1-48979fa6e868}"= "c:\program files\iminent-en\tbimi1.dll" [2009-04-05 1883672]

[HKEY_CLASSES_ROOT\clsid\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{6A7400D6-6615-4A06-A4D1-48979FA6E868}"= "c:\program files\iminent-en\tbimi1.dll" [2009-04-05 1883672]

[HKEY_CLASSES_ROOT\clsid\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Hyperappel de l'Encyclopédie Universelle Larousse"="c:\program files\Larousse\Encyclopédie Universelle Larousse 2008\bin\Hyperappel.exe" [2007-06-20 229376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SW20"="c:\windows\system32\sw20.exe" [2005-06-29 212992]
"SW24"="c:\windows\system32\sw24.exe" [2005-07-04 69632]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2001-12-31 46080]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2001-12-31 3756032]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-11 282624]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-06-10 107248]
"nozefogasa"="c:\windows\system32\nanehutu.dll" [2009-02-14 48640]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-08 1947928]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-11-11 90112]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2001-12-31 831488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]
ExifLauncher2.lnk - c:\program files\FinePixViewer\QuickDCF2.exe [2008-7-23 303104]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-08 08:55	11952	----a-w	c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 19:35	87352	----a-w	c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\nozuzito.dll,c:\windows\system32\vozaposo.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli c:\windows\system32\vozaposo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\AVG\AVG8\avgemc.exe"=
"c:\Program Files\AVG\AVG8\avgupd.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"=
"c:\WINDOWS\explorer.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [02/01/2009 20:54 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [02/01/2009 20:55 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [02/01/2009 20:54 908568]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [02/01/2009 20:54 298776]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 19:46 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [02/01/2009 21:09 47640]
S3 ldiskl;ldiskl;\??\c:\docume~1\Fixe\LOCALS~1\Temp\ldiskl.sys --> c:\docume~1\Fixe\LOCALS~1\Temp\ldiskl.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-IMBooster - c:\program files\Iminent\IMBooster\IMBooster.exe


.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uStart Page = hxxp://google.fr/
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-16 18:48
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~ *]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~ *]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(628)
c:\windows\system32\LMIinit.dll

- - - - - - - > 'explorer.exe'(2700)
c:\windows\system32\nanehutu.dll
c:\windows\system32\vozaposo.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Belkin\Belkin Wireless Network Utility\WLService.exe
c:\program files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\rundll32.exe
c:\program files\AVG\AVG8\avgtray.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Heure de fin: 2009-05-16 18:51 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-05-16 16:51

Avant-CF: 20 919 607 296 octets libres
Après-CF: 20 854 157 312 octets libres

228	--- E O F ---	2009-05-09 08:14

3kn0x · Answer

voila genproc :
Rapport GenProc 2.560 [3] 
@ 16/05/2009 à 18:59:06 
@ Windows XP Service Pack 3
@ Internet Explorer (7.0.5730.13) [Navigateur par défaut]

# Etape 1/ Télécharge :
 
- ComboFix http://download.bleepingcomputer.com/sUBs/ComboFix.exe (sUBs) sur ton Bureau.
Désactive ton antivirus, ton pare-feu et ferme tes programmes en cours. Lance combofix.exe et accepte les termes en cliquant sur OUI. Patiente. Au message "ComboFix a détecté que la 'console de récupération Windows' n'existe pas sur ce PC", clique sur oui puis sur OK, puis patiente. Valide le CLUF Microsoft. Au message "La console de récupération a été installée avec succès", clique impérativement sur NON pour quitter le programme (ferme également le rapport CF-RC.txt qui s'est ouvert)


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Fixe *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[3]" sur ton bureau).


# Etape 2/ 

 Double clique sur combofix.exe et suis les instructions. Attention de ne pas utiliser ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne au risque de figer l'ordinateur.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport Combofix.txt situé dans C:\ ; 
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 
----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.560 16/05/2009 à 12:23:49 
Vundo:le 16/05/2009 à 12:24:20 RegExp 

# Détections [2] GenProc 2.560 16/05/2009 à 16:30:15 
Vundo:le 16/05/2009 à 16:30:42 RegExp 

# Détections [3] GenProc 2.560 16/05/2009 à 18:57:57 
Vundo:le 16/05/2009 à 18:58:08 RegExp

pimprenelle27 · Answer

Télécharges OTMoveIt3 (de Old_Timer) sur ton Bureau.



Double cliques sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copies ce qui se trouve en citation ci-dessous,

:Processes
explorer.exe

:Files 
c:\windows\system32\aditihun.ini
c:\windows\system32\ivihisut.ini
c:\windows\system32
ozuzito.dll
c:\windows\system32\oziwifat.ini
c:\windows\system32	usihivi.dll
c:\windows\system32\vinabino.dll
c:\windows\system32\yojonaso.exe 

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

et colles le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> cliques sur MoveIt! pour lancer la suppression.
-> laisses travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : cliques sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Postes le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

3kn0x · Answer

voila le rapport : ========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder c:\windows\system32\aditihun.ini not found.
File/Folder c:\windows\system32\ivihisut.ini not found.
File/Folder c:\windows\system32
ozuzito.dll not found.
File/Folder c:\windows\system32\oziwifat.ini not found.
File/Folder c:\windows\system32	usihivi.dll not found.
File/Folder c:\windows\system32\vinabino.dll not found.
File/Folder c:\windows\system32\yojonaso.exe not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\Fixe\LOCALS~1\Temp\hsperfdata_Fixe\2368 scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fixe\LOCALS~1\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fixe\LOCALS~1\Temp\~DF28DD.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Fixe\LOCALS~1\Temp\~DFE2C0.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Fixe\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
File delete failed. C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_6e0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\60\8fe1bbc-610673b7 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\54\29171f36-485dc1ca scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\51\4987d973-24ebd4dd scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\jshortcut.dll scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\sparkomnative.dll scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11- scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\699d08f2-1a44ded3 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\49\60c7ebb1-647dd488 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\47\bca1aef-68086f7a scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\41\198f07a9-10290038 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\32\5374d060-69176151 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\32\d96660-5dc0c0cd scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\31\1a35561f-61a6f6ea scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\30\1734e65e-57172264 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\25\2b7a0259-67848988 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\21\506266d5-30a3e698-2.36- scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\17\3cae5c91-124a09b2 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\17\44ba2891-6f5da00f scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\10\164837ca-6f9d6153 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\10\369fa58a-393e1eee scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\0\7b6f1d40-4d1f0c96 scheduled to be deleted on reboot.
Java cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05202009_204538

Files moved on Reboot...
File C:\DOCUME~1\Fixe\LOCALS~1\Temp\hsperfdata_Fixe\2368 not found!
C:\DOCUME~1\Fixe\LOCALS~1\Temp\hpodvd09.log moved successfully.
C:\DOCUME~1\Fixe\LOCALS~1\Temp\~DF28DD.tmp moved successfully.
File C:\DOCUME~1\Fixe\LOCALS~1\Temp\~DFE2C0.tmp not found!
C:\Documents and Settings\Fixe\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat moved successfully.
File C:\WINDOWS	emp\Perflib_Perfdata_6e0.dat not found!
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\60\8fe1bbc-610673b7 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\54\29171f36-485dc1ca moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\51\4987d973-24ebd4dd moved successfully.
DllUnregisterServer procedure not found in C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\jshortcut.dll
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\jshortcut.dll NOT unregistered.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\jshortcut.dll moved successfully.
DllUnregisterServer procedure not found in C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\sparkomnative.dll
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\sparkomnative.dll NOT unregistered.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11--n\sparkomnative.dll moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\113b9232-7dbd8fa9-1.11- moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\50\699d08f2-1a44ded3 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\49\60c7ebb1-647dd488 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\47\bca1aef-68086f7a moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\41\198f07a9-10290038 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\32\5374d060-69176151 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\32\d96660-5dc0c0cd moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\31\1a35561f-61a6f6ea moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\30\1734e65e-57172264 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\25\2b7a0259-67848988 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\21\506266d5-30a3e698-2.36- moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\17\3cae5c91-124a09b2 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\17\44ba2891-6f5da00f moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\10\164837ca-6f9d6153 moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\10\369fa58a-393e1eee moved successfully.
C:\Documents and Settings\Fixe\Application Data\Sun\Java\Deployment\cache\6.0\0\7b6f1d40-4d1f0c96 moved successfully.

3kn0x · Answer

de plus au demarrage du systeme il y a trois erreur de dll. Je le posterais quand j'aurais la capture d'ecran de l'erreur. 

Comme nous sommes au lycée nous avons pas toujours beaucoup de temps libre donc on met parfois un peu de temps a faire les manips. De plus mon copain a fait un scan avec son antivirus.

3kn0x · Answer

Alors il y a trois dll dans c:\windows\system32
-lubujoko.dll
-bihorugi.dll
-nanehutu.dll

ces dll ne peuvent plus se charger au démarage.

j'ai demandé a mon cousin qui est chez moi aujourd'hui il pense que ce n'est pas des dll "propre".

pimprenelle27 · Answer

tu peux me refaire 1 combofix STP.

3kn0x · Answer

Comme d'hab le moment du mode sans echec ne c'est pas préciser doit on le lancer directement en mode sans echec? 
Par contre les messages d'erreurs des dll ont disparus. Apparement le log indique la suppression des clefs registre qui appelaient les dll.
voila le log:
ComboFix 09-05-15.08 - Fixe 22/05/2009 17:00.3 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.533 [GMT 2:00]
Lancé depuis: c:\documents and settings\Fixe\Bureau\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\windows\system32\isusorel.ini
c:\windows\system32\okojubul.ini

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-04-22 au 2009-05-22  ))))))))))))))))))))))))))))))))))))
.

2009-05-21 09:42 . 2009-05-21 11:12	--------	d-----w	c:\windows\BDOSCAN8
2009-05-20 18:45 . 2009-05-20 18:45	--------	d-----w	C:\_OTMoveIt
2009-05-20 18:26 . 2009-05-20 18:32	--------	d-----w	c:\documents and settings\Fixe\SparkAngels
2009-05-20 17:31 . 2009-05-20 17:31	410984	----a-w	c:\windows\system32\deploytk.dll
2009-05-20 17:31 . 2009-05-20 17:31	--------	d-----w	c:\program files\Java
2009-05-16 10:22 . 2009-05-16 10:22	--------	d-----w	C:\GenProc
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\documents and settings\Fixe\Application Data\Yahoo!
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\documents and settings\All Users\Application Data\Yahoo! Companion
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\program files\Yahoo!
2009-05-15 15:31 . 2009-05-15 15:31	--------	d-----w	c:\program files\CCleaner
2009-05-15 14:27 . 2009-05-15 14:27	--------	d-----w	c:\program files\Trend Micro
2009-05-13 13:16 . 2008-06-20 10:10	65536	----a-w	c:\windows\system32\Autodial2000.dll
2009-05-13 13:16 . 2009-05-13 13:30	--------	d-----w	c:\program files\OrangeHSS
2009-05-05 17:01 . 2009-05-05 17:07	--------	d-----w	c:\program files\Midnight Racing
2009-05-04 14:32 . 2008-04-21 21:15	219136	-c----w	c:\windows\system32\dllcache\wordpad.exe
2009-05-04 14:31 . 2009-02-06 10:10	227840	-c----w	c:\windows\system32\dllcache\wmiprvse.exe
2009-05-04 14:31 . 2009-03-06 14:20	286720	-c----w	c:\windows\system32\dllcache\pdh.dll
2009-05-04 14:31 . 2009-02-09 11:23	111104	-c----w	c:\windows\system32\dllcache\services.exe
2009-05-04 14:31 . 2009-02-09 10:53	401408	-c----w	c:\windows\system32\dllcache\rpcss.dll
2009-05-04 14:31 . 2009-02-09 10:53	473600	-c----w	c:\windows\system32\dllcache\fastprox.dll
2009-05-04 14:31 . 2009-02-09 10:53	685568	-c----w	c:\windows\system32\dllcache\advapi32.dll
2009-05-04 14:31 . 2009-02-09 10:53	735744	-c----w	c:\windows\system32\dllcache\lsasrv.dll
2009-05-04 14:31 . 2009-02-09 10:53	453120	-c----w	c:\windows\system32\dllcache\wmiprvsd.dll
2009-05-04 14:31 . 2009-02-09 10:53	739840	-c----w	c:\windows\system32\dllcache\ntdll.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-22 09:32 . 2009-01-02 19:08	--------	d-----w	c:\program files\LogMeIn
2009-05-20 18:55 . 2006-11-20 21:16	79040	----a-w	c:\documents and settings\Fixe\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-19 18:56 . 2006-11-28 14:59	--------	d-----w	c:\program files\Les Quatre Fantastiques
2009-05-09 17:18 . 2009-03-13 18:21	--------	d-----w	c:\program files\Iminent
2009-05-08 08:55 . 2009-01-02 18:55	11952	----a-w	c:\windows\system32\avgrsstx.dll
2009-05-08 08:55 . 2009-01-02 18:54	325896	----a-w	c:\windows\system32\drivers\avgldx86.sys
2009-05-08 08:55 . 2009-01-02 18:55	108552	----a-w	c:\windows\system32\drivers\avgtdix.sys
2009-05-05 16:20 . 2004-08-05 12:00	76144	----a-w	c:\windows\system32\perfc00C.dat
2009-05-05 16:20 . 2004-08-05 12:00	470828	----a-w	c:\windows\system32\perfh00C.dat
2009-04-18 10:07 . 2007-04-09 15:07	4	----a-w	c:\windows\pb.bin
2009-04-17 12:40 . 2009-01-20 17:45	--------	d-----w	c:\program files\AVIConverter
2009-04-17 12:13 . 2009-04-17 12:13	--------	d-----w	c:\program files\GP Vs Superbike
2009-04-08 10:12 . 2008-07-23 10:51	--------	d-----w	c:\program files\Football Generation
2009-04-05 09:29 . 2009-03-13 22:06	--------	d-----w	c:\program files\iminent-en
2009-04-04 10:36 . 2009-04-02 17:07	--------	d-----w	c:\program files\Microsoft Silverlight
2009-03-30 15:29 . 2009-03-30 15:29	--------	d-----w	c:\program files\OpenOffice.org 3
2009-03-06 14:20 . 2004-08-05 12:00	286720	----a-w	c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2004-08-05 12:00	826368	----a-w	c:\windows\system32\wininet.dll
2009-02-24 17:42 . 2009-02-24 17:42	339968	----a-w	c:\windows\system32\pythoncom25.dll
2009-02-24 17:42 . 2009-02-24 17:42	114688	----a-w	c:\windows\system32\pywintypes25.dll
2009-02-24 17:42 . 2003-02-21 03:42	348160	------w	c:\windows\system32\msvcr71.dll
2009-02-24 17:42 . 2009-02-24 17:42	2117632	----a-w	c:\windows\system32\python25.dll
2004-10-01 14:00 . 2006-11-20 23:03	40960	----a-w	c:\program files\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((((   SnapShot@2009-05-16_16.49.09   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-22 15:04 . 2009-05-22 15:04	16384              c:\windows\temp\Perflib_Perfdata_78c.dat
- 2006-11-20 21:14 . 2009-05-15 12:10	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2006-11-20 21:14 . 2009-05-17 07:17	32768              c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
- 2006-11-20 21:14 . 2009-05-15 12:10	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2006-11-20 21:14 . 2009-05-17 07:17	32768              c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2006-11-20 21:14 . 2009-05-17 07:17	32768              c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2006-05-24 23:21 . 2006-05-24 23:21	53248              c:\windows\Downloaded Program Files\ipsupd.dll
+ 2006-05-24 23:22 . 2006-05-24 23:22	53248              c:\windows\bdoscandel.exe
+ 2009-05-21 09:43 . 2009-05-21 09:43	86016              c:\windows\BDOSCAN8\librtvr.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21	53248              c:\windows\BDOSCAN8\ipsupd.dll
+ 2009-05-21 09:43 . 2009-05-21 09:43	27136              c:\windows\BDOSCAN8\avxt.dll
+ 2009-05-21 09:43 . 2009-05-21 09:43	10240              c:\windows\BDOSCAN8\avxs.dll
+ 2009-05-21 09:43 . 2009-05-21 09:43	45056              c:\windows\BDOSCAN8\avxdisk.dll
+ 2009-05-20 17:31 . 2009-05-20 17:31	148888              c:\windows\system32\javaws.exe
+ 2009-05-20 17:31 . 2009-05-20 17:31	144792              c:\windows\system32\javaw.exe
+ 2009-05-20 17:31 . 2009-05-20 17:31	144792              c:\windows\system32\java.exe
- 2006-11-20 21:35 . 2009-03-31 17:11	283720              c:\windows\system32\FNTCACHE.DAT
+ 2006-11-20 21:35 . 2009-05-21 07:25	283720              c:\windows\system32\FNTCACHE.DAT
+ 2006-05-24 23:21 . 2006-05-24 23:21	118784              c:\windows\Downloaded Program Files\bdupd.dll
+ 2004-12-07 15:07 . 2009-05-21 09:43	142848              c:\windows\BDOSCAN8\libfn.dll
+ 2006-05-24 23:21 . 2006-05-24 23:21	118784              c:\windows\BDOSCAN8\bdupd.dll
+ 2004-12-07 15:07 . 2009-05-21 09:43	102400              c:\windows\BDOSCAN8\bdcore.dll
+ 2009-05-20 19:39 . 2009-05-06 22:16	24699336              c:\windows\system32\MRT.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]
2009-04-05 09:29	1883672	----a-w	c:\program files\iminent-en\tbimi1.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6a7400d6-6615-4a06-a4d1-48979fa6e868}"= "c:\program files\iminent-en\tbimi1.dll" [2009-04-05 1883672]

[HKEY_CLASSES_ROOT\clsid\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{6A7400D6-6615-4A06-A4D1-48979FA6E868}"= "c:\program files\iminent-en\tbimi1.dll" [2009-04-05 1883672]

[HKEY_CLASSES_ROOT\clsid\{6a7400d6-6615-4a06-a4d1-48979fa6e868}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Hyperappel de l'Encyclopédie Universelle Larousse"="c:\program files\Larousse\Encyclopédie Universelle Larousse 2008\bin\Hyperappel.exe" [2007-06-20 229376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SW20"="c:\windows\system32\sw20.exe" [2005-06-29 212992]
"SW24"="c:\windows\system32\sw24.exe" [2005-07-04 69632]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2001-12-31 46080]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2001-12-31 3756032]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-11 282624]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2008-06-10 107248]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-08 1947928]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-20 148888]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-11-11 90112]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2001-12-31 831488]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
SparkAngels.lnk - c:\windows\system32\javaws.exe [2009-5-20 148888]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
SparkAngels.lnk - c:\windows\system32\javaws.exe [2009-5-20 148888]

c:\documents and settings\Fixe\Menu D‚marrer\Programmes\D‚marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\Fixe\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2009-4-2 135680]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
SparkAngels.lnk - c:\windows\system32\javaws.exe [2009-5-20 148888]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
D‚marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]
ExifLauncher2.lnk - c:\program files\FinePixViewer\QuickDCF2.exe [2008-7-23 303104]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-08 08:55	11952	----a-w	c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-10-16 19:35	87352	----a-w	c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\AVG\AVG8\avgemc.exe"=
"c:\Program Files\AVG\AVG8\avgupd.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\OrangeHSS\Connectivity\ConnectivityManager.exe"=
"c:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"=
"c:\Program Files\OrangeHSS\Launcher\Launcher.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [02/01/2009 20:54 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [02/01/2009 20:55 108552]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [02/01/2009 20:54 908568]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [02/01/2009 20:54 298776]
R2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 19:46 12856]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [02/01/2009 21:09 47640]
S3 ldiskl;ldiskl;\??\c:\docume~1\Fixe\LOCALS~1\Temp\ldiskl.sys --> c:\docume~1\Fixe\LOCALS~1\Temp\ldiskl.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0740feaa-26a8-4233-955c-63e78be5e364} - c:\windows\system32\dibawumi.dll
HKLM-Run-nozefogasa - c:\windows\system32\nanehutu.dll
HKLM-Run-b4e847b1 - c:\windows\system32\lubujoko.dll
HKLM-Run-CPMb7db742d - c:\windows\system32\bihorugi.dll


.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
uStart Page = hxxp://google.fr/
DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-22 17:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\LMIinit.dll

- - - - - - - > 'explorer.exe'(468)
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Belkin\Belkin Wireless Network Utility\WLService.exe
c:\program files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0/u\FTRTSVC.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\LogMeIn\x86\ramaint.exe
c:\program files\LogMeIn\x86\LogMeIn.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\rundll32.exe
c:\program files\LogMeIn\x86\LMIGuardian.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
c:\program files\OrangeHSS\Connectivity\corecom\CoreCom.exe
c:\program files\OrangeHSS\Connectivity\corecom\OraConfigRecover.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\[u]0/u\FTCOMModule.exe
.
**************************************************************************
.
Heure de fin: 2009-05-22 17:08 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-05-22 15:07
ComboFix2.txt  2009-05-16 16:51

Avant-CF: 20 343 848 960 octets libres
Après-CF: 20 336 328 704 octets libres

253	--- E O F ---	2009-05-21 18:59

pimprenelle27 · Answer

y a toujours ça qui m'embête, mais on reverra ça à la fin : 

c:\windows\system32\isusorel.ini
c:\windows\system32\okojubul.ini 


En attendant tu va lui dire de ma faire ceci : 

&#x25B6; Télécharge malwarebyte's anti-malware

&#x25B6; Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
 
&#x25B6; Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

&#x25B6; Lance une analyse complète en cliquant sur "Exécuter un examen complet"

&#x25B6; Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

&#x25B6; L'analyse peut durer un bon moment.....

&#x25B6; Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

&#x25B6; Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

&#x25B6; Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

3kn0x · Answer

Ayant fait lancé l'analyse un peu tard dans la soirée, on a oublié de supprimer les élément infectés voici le premier rapport. J'ai ensuite detruit les fichier infecter par fileassasin de malwarebytes, par contre je n'ai pas supprimés les éléments du registre infecté je relance donc une analyse. 
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2170
Windows 5.1.2600 Service Pack 3

23/05/2009 23:19:46
mbam-log-2009-05-23 (23-19-40).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 168533
Temps écoulé: 53 minute(s), 22 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32
ozuzito.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32	usihivi.dll.vir (Trojan.Vundo) -> No action taken.

3kn0x · Answer

bon voila le dexieme scan est fait tout a été supprimé. voila le log : 
Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2170
Windows 5.1.2600 Service Pack 3

24/05/2009 14:44:39
mbam-log-2009-05-24 (14-44-39).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 163563
Temps écoulé: 56 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

pimprenelle27 · Answer

ok tu va vider la quarantaine de malware et me faire ceci pour voir s'il n'y a pas de spyware, adware, trojans, vers, keylogger, hijacker, dialer et toutes autres menaces destinées au vol d'informations confidentielles.



Pour commencer :  faire un petit nettoyage de l'ordi et du registre avec Ccleaner, regarde bien le Tuto CCleaner


Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning  (Fermer Navigateur avant le scan)

Scan for tracking cookies  (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.

3kn0x · Answer

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 05/24/2009 at 07:58 PM

Application Version : 4.26.1002

Core Rules Database Version : 3908
Trace Rules Database Version: 1853

Scan type       : Complete Scan
Total Scan Time : 00:41:53

Memory items scanned      : 769
Memory threats detected   : 0
Registry items scanned    : 5707
Registry threats detected : 0
File items scanned        : 19791
File threats detected     : 7

Adware.Tracking Cookie
	C:\Documents and Settings\Fixe\Cookies\fixe@atdmt[2].txt

Adware.Vundo/Variant-MSFake
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP330\A0039742.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP361\A0043293.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP361\A0043294.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP361\A0043295.EXE

Trojan.Downloader-Gen/Suspicious
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP402\A0049273.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{1F48FEEE-AF16-46CC-A9B3-DB18E4163C0F}\RP402\A0049653.EXE

pimprenelle27 · Answer

Ok pas mal tout les trojans :  là tu va vider la quarantaine, car SAS à du mettre tout ce qu'il à trouvé en quarantaine, ensuite on vérifier s'il ne reste plus de virus avec ceci : 

Télécharger AVPTool

La page qui vous accueille comporte en général les 12 dernières versions générées. Regardez attentivement l'heure et la date affichées dans le nom du logiciel pour déterminer celle qui est la plus récente. Téléchargez-la sans hésiter sur le bureau de votre PC. Double-cliquez dessus pour lancez l'installation.

Attention : AVPTool (tout comme d'autres outils du même acabit tels que Antivir, BitDefender Free, etc.) n'est pas une protection. C'est un détecteur et un nettoyeur d'infections déjà présentes sur le PC. Pour vous protéger efficacement contre les menaces modernes que sont les Drive-by Downloads, les Stage Downloads, les Banking Trojans, les Webstorms, il faut disposer d'authentiques suites de sécurité comme Kaspersky Antivirus 8.0 (KAV) ou Kaspersky Internet Security 8.0 (KIS).

AVPTool fonctionne sous Windows 2000, XP, Vista 32 bits. Il ne doit pas être utilisé sur des machines déjà équipées de KAV 8.0 ou KIS 8.0.

3kn0x · Answer

oki, je m'en occupe demain, j'ai presque pas de cours, en tout cas merci de ton aide.

pimprenelle27 · Answer

de rien.

3kn0x · Answer

Houla ca a ete long...
bon j'ai coupé la partie du log ou il n'a rien detecter car sinon on se retrouve avec un log de 40 Mo o_O voila les 2 extrémités : 

Scan
----
Scanned:	348963
Detected:	2
Untreated:	0
Start time:	25/05/2009 15:57:53
Duration:	03:03:36
Finish time:	25/05/2009 19:01:29


Detected
--------
Status	Object
------	------
deleted: Trojan program Packed.Win32.Krap.q	File: C:\Qoobox\Quarantine\C\WINDOWS\system32\vinabino.dll.vir
deleted: Trojan program Packed.Win32.Krap.q	File: C:\Qoobox\Quarantine\C\WINDOWS\system32\yojonaso.exe.vir


Events
------
Time	Name	Status	Reason
----	----	------	------
25/05/2009 15:58:08	Running module: smss.exe\smss.exe	ok	scanned
25/05/2009 15:58:09	File: C:\WINDOWS\System32\smss.exe	ok	scanned
25/05/2009 15:58:09	Running module: smss.exe
tdll.dll	ok	scanned
25/05/2009 15:58:09	File: C:\WINDOWS\system32
tdll.dll	ok	scanned
25/05/2009 15:58:09	Running module: csrss.exe\csrss.exe	ok	scanned
25/05/2009 15:58:09	File: C:\WINDOWS\system32\csrss.exe	ok	scanned
25/05/2009 15:58:09	Running module: csrss.exe
tdll.dll	ok	scanned
25/05/2009 15:58:09	File: C:\WINDOWS\system32
tdll.dll	ok	scanned
25/05/2009 15:58:09	Running module: csrss.exe\CSRSRV.dll	ok	scanned
25/05/2009 15:58:09	File: C:\WINDOWS\system32\CSRSRV.dll	ok	scanned
25/05/2009 15:58:09	Running module: csrss.exe\basesrv.dll	ok	scanned
25/05/2009 15:58:09	File: C:\WINDOWS\system32\basesrv.dll	ok	scanned
25/05/2009 15:58:09	Running module: csrss.exe\winsrv.dll	ok	scanned

...
tous les fichiers que j'ai enlever n'ont pas de pb 
...

25/05/2009 18:51:33	File: C:\_OTMoveIt\MovedFiles\05202009_204538\Documents and Settings\Fixe\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	ok	scanned
25/05/2009 18:51:33	File: C:\_OTMoveIt\MovedFiles\05202009_204538\DOCUME~1\Fixe\LOCALS~1\Temp\hpodvd09.log	ok	scanned
25/05/2009 18:51:33	File: C:\_OTMoveIt\MovedFiles\05202009_204538\DOCUME~1\Fixe\LOCALS~1\Temp\~DF28DD.tmp	ok	scanned
25/05/2009 18:51:33	File: c:\qoobox\quarantine\c\windows\system32\vinabino.dll.vir	detected Trojan program 'Packed.Win32.Krap.q'	
25/05/2009 19:00:55	File: c:\qoobox\quarantine\c\windows\system32\vinabino.dll.vir	backed up	
25/05/2009 19:01:21	File: c:\qoobox\quarantine\c\windows\system32\vinabino.dll.vir	deleted	
25/05/2009 19:01:21	File: c:\qoobox\quarantine\c\windows\system32\yojonaso.exe.vir	detected Trojan program 'Packed.Win32.Krap.q'	
25/05/2009 19:01:29	File: c:\qoobox\quarantine\c\windows\system32\yojonaso.exe.vir	backed up	
25/05/2009 19:01:29	File: c:\qoobox\quarantine\c\windows\system32\yojonaso.exe.vir	deleted	


Statistics
----------
Object	Scanned	Detected	Untreated	Deleted	Moved to Quarantine	Archives	Packed files	Password protected	Corrupted
------	-------	--------	---------	-------	-------------------	--------	------------	------------------	---------
All objects	348963	2	0	2	0	2351	1789	286	1
System memory	5733	0	0	0	0	1	1	0	0
Startup objects	995	0	0	0	0	5	166	0	0
Disk boot sectors	2	0	0	0	0	0	0	0	0
Disque local (C:)	342233	2	0	2	0	2345	1622	286	1


Settings
--------
Parameter	Value
---------	-----
Security Level	Recommended
Action	Prompt for action when the scan is complete
Run mode	Manually
File types	Scan all files
Scan only new and changed files	No
Scan archives	All
Scan embedded OLE objects	All
Skip if object is larger than	No
Skip if scan takes longer than	No
Parse email formats	No
Scan password-protected archives	No
Enable iChecker technology	No
Enable iSwift technology	No
Show detected threats on "Detected" tab	Yes
Rootkits search	Yes
Deep rootkits search	No
Use heuristic analyzer	Yes


Quarantine
----------
Status	Object	Size	Added
------	------	----	-----


Backup
------
Status	Object	Size
------	------	----

3kn0x · Answer

ah oui pendant que j'y suis le dossier c:\qoobox\quarantine\c\windows\system32\ est remplie de fichier type nom_du_fichier.dll.vir je pense qu'ils sont a supprimer. Dois je le faire ?

pimprenelle27 · Answer

tu peux effectivement supprimer ce qu'il à trouvé ensuite tu me diras comment va le pc.

3kn0x · Answer

Bon voila c'est supprimé. Mon copain n'a rein remarqué d'anormal sur son pc. 

Par contre j'aimerais être conseillé, il ne possède que le parefeu de windows, on le sait qu'aujourd'hui ce n'est pas suffisant, personnelement j'ai celui de mon antivirus, donc je ne sais pas trop quoi lui conseiller,  le mien etant payant. On m'a souvent fait des éloges de Zone alarme, aujourd'hui est il suffisant et égalemnt compatible avec AVG?

pimprenelle27 · Answer

un petit comparatif ici


Ensuite , un dernier scan pour les virus qui seraient récalcitrant : 

Télécharger RemoveIT Pro

Fais un scan et poste moi le full rapport log.

A la fin du 1er scan, s'il demande de faire un scan complet dite oui et à la fin du 2ème scan, si virus trouvé cliquez sur fix pour nettoyer des virus trouvés.

3kn0x · Answer

bon on a fait le scan (10 menaces trouvés 9 supprimées) et je dois avoir de la peau de saussison devant les yeux je ne trouve pas ce ¤¤¤¤¤¤ de full log je cherche de partout mais je ne le trouve pas. Ou est il ???

3kn0x · Answer

Bon pendant un petit moment avg ne disait plus rien, le virus etait mal en point mais la sa recommence : "exploit Trojan Fake Codec (type 500)" fichier : Prossima.net//1.html
Que doit on faire ?

Trojan generic 13APTP

39 réponses

Discussions similaires

Newsletters