Avast détecte virus au démarrage

Résolu
Tite Nélène Messages postés 18 Date d'inscription   Statut Membre -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour,

Alors voilà, depuis quelques jours, Avast détecte sur mon PC non pas un mais deux virus appelés "Win32:Trojan-gen{Other}" situés aux emplacements "C:\Users\TiteNélène\EjMiCjaY.exe" et "C:\Users\TiteNélène\CjEmiyb.exe". J'ai beau mettre ces virus en quarantaine, en enchaînant les scan, à chaque démarrage ils refont surface !

J'ai pu observer que certains sur le forum avaient un problème similaire concernant ce virus donc j'ai téléchargé "Malwarebytes' Antimalware" mais même après examen complet, il ne détecte absolument rien. J'ai pu également constaté qu'Avast était un peu dépassé...

J'ai tenté de rechercher manuellement le dossier infecté dans C:\Users\TiteNélène mais le fichier en question n'apparaît pas.

Enfin, j'ai redémarré mon PC en mode sans échec pour effectuer un scan avec Avast mais il ne détecte absolument rien. Petite précision : le virus n'apparaît pas au démarrage de mon PC en mode sans échec.

Ce virus ne gène pour le moment pas le fonctionnement de mon PC mais j'ai peur qu'il progresse dans le système si je ne fais rien... Je n'y connais absolument rien en virus donc si quelqu'un pouvait m'aider, ce serait vraiment gentil !

Merci beaucoup!
Configuration: Windows Vista
Firefox 3.0.10

31 réponses

  • 1
  • 2
  1. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    Peux-tu utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

    • Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
    • Double clique sur RSIT.exe pour lancer l'outil.
    • Clique sur ' continue ' à l'écran Disclaimer.
    • Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
    • Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés

    Tutoriel illustré pour t'aider : https://www.androidworld.fr/

    0
  2. K@mu]i[ Messages postés 1206 Statut Membre 46
     
    Salut

    Télécharge ce soft : a-squared free 4.5 sur le lien ci-dessous :

    - Installe le, fais une mise à jour, un scan complet et supprime tout ce qu'il trouve (si quarantaine, supprime aussi la quarantaine).

    https://www.emsisoft.com/fr/

    De plus, si le virus/worm revient à chaque démarrage de ton ordi, c'est qu'il est inscrit sur ta restauration système et qu'il se lance au démarrage : donc, voici les manipulations à faire pour désactiver ta restauration système :

    http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista

    Une fois cela fais, tu réactives ta restauration système et tu redémarres ton ordi.

    J'attend de tes news
    0
  3. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Voici le premier rapport (qu'est-ce que c'est long!)

    info.txt logfile of random's system information tool 1.06 2009-05-16 15:22:12

    ======Uninstall list======

    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0015-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-0019-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {A0353900-21A2-42CF-B973-883500A027F7}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0401-0000-0000000FF1CE} /uninstall {5A2F65A4-808F-4A1E-973E-92E17824982D}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0407-0000-0000000FF1CE} /uninstall {2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0409-0000-0000000FF1CE} /uninstall {3EC77D26-799B-4CD8-914F-C1565E796173}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-040C-0000-0000000FF1CE} /uninstall {430971B1-C31E-45DA-81E0-72C095BAB72C}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0413-0000-0000000FF1CE} /uninstall {B3F4DC34-7F60-4B7C-A79F-1C13012D99D4}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {90120000-001F-0C0A-0000-0000000FF1CE} /uninstall {F7A31780-33C4-4E39-951A-5EC9B91D7BF1}
    2007 Microsoft Office Suite Service Pack 1 (SP1)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {BEE75E01-DD3F-4D5F-B96C-609E6538D419}
    2007 Microsoft Office system-->"C:\Program Files\Common Files\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROHYBRIDR /dll OSETUP.DLL
    Activation Assistant for the 2007 Microsoft Office suites-->"C:\ProgramData\{623D32E9-0C62-4453-AD44-98B31F52A5E1}\Microsoft Office Activation Assistant.exe" REMOVE=TRUE MODIFY=FALSE
    Ad-Aware-->MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
    Adobe AIR-->C:\Program Files\Common Files\Adobe AIR\Versions\1.0\Resources\Adobe AIR Updater.exe -arp:uninstall
    Adobe AIR-->MsiExec.exe /I{A2BCA9F1-566C-4805-97D1-7FDC93386723}
    Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
    Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
    Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
    Agere Systems HDA Modem-->agrsmdel
    Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
    avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
    Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
    DVD Solution-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}\setup.exe" -uninstall
    GNAT Public Version Ada 95 Environment 3.15p-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CB2174B0-F84A-11D4-ACAA-0010A4E31500}\setup.exe"
    HijackThis 2.0.2-->"C:\Program Files\trend micro\HijackThis.exe" /uninstall
    Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
    Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
    Junk Mail filter update-->MsiExec.exe /I{4DE3E3D9-AE81-45DE-9195-3015F7B1DBF3}
    Les Sims 2 : Nuits de Folie-->C:\Program Files\EA GAMES\Les Sims 2 Nuits de Folie\EAUninstall.exe
    Les Sims 2 Académie-->C:\Program Files\EA GAMES\Les Sims 2 Académie\EAUninstall.exe
    Les Sims 2-->C:\Program Files\EA GAMES\Les Sims 2\EAUninstall.exe
    Les Sims™ 2 Au fil des saisons-->C:\Program Files\EA GAMES\Les Sims 2 Au fil des saisons\EAUninstall.exe
    Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
    Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
    Microsoft Office Language Pack 2007 Service Pack 1 (SP1)-->msiexec /package {90120000-006E-040C-0000-0000000FF1CE} /uninstall {EC50B538-CBE1-42E6-B7FE-87AA540AADFB}
    Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
    Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
    Microsoft Office Professional Hybrid 2007-->MsiExec.exe /X{91120000-0031-0000-0000-0000000FF1CE}
    Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
    Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
    Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
    Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
    Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
    Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
    Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
    Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
    Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
    Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
    Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
    Mise à jour Microsoft Office Excel 2007 Help (KB963678)-->msiexec /package {90120000-0016-040C-0000-0000000FF1CE} /uninstall {B761869A-B85C-40E2-994C-A1CE78AC8F2C}
    Mise à jour Microsoft Office Powerpoint 2007 Help (KB963669)-->msiexec /package {90120000-0018-040C-0000-0000000FF1CE} /uninstall {C3DCA38E-005E-41BA-A52A-7C3429F351C3}
    Mise à jour Microsoft Office Word 2007 Help (KB963665)-->msiexec /package {90120000-001B-040C-0000-0000000FF1CE} /uninstall {81536A04-DBFB-4DB3-978F-0F284590C223}
    Mozilla Firefox (3.0.10)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
    MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
    NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
    O2Micro Flash Memory Card Reader Driver Installer(x86)-->MsiExec.exe /X{48C10E3C-A04F-4ED0-82AF-609CC5DE0F5D}
    OpenOffice.org 3.0-->MsiExec.exe /I{1572F66F-F9AD-4D45-B0D2-0F45A0D5A0F6}
    OptGeo 1.25-->"C:\Program Files\OptGeo\unins000.exe"
    Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
    Power2Go 5.0-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{40BF1E83-20EB-11D8-97C5-0009C5020658}\setup.exe" -uninstall
    PowerDirector Express-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{EDE721EC-870A-11D8-9D75-000129760D75}\setup.exe" -uninstall
    PowerProducer-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{B7A0CE06-068E-11D6-97FD-0050BACBF861}\setup.exe" -uninstall
    QuickTime-->C:\Windows\unvise32qt.exe C:\Windows\system32\QuickTime\Uninstall.log
    Security Update for 2007 Microsoft Office System (KB951550)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {B243E9A5-ED77-4F1B-B338-2486FD82DC85}
    Security Update for 2007 Microsoft Office System (KB951944)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {797AE457-BA17-4BBC-B501-25FB3A0103C7}
    Security Update for 2007 Microsoft Office System (KB960003)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {F04F8702-18D0-458D-921E-146FB7CD38CF}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /I{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for CAPICOM (KB931906)-->MsiExec.exe /X{0EFDF2F9-836D-4EB7-A32D-038BD3F1FB2A}
    Security Update for Microsoft Office Excel 2007 (KB959997)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {9EAC3AEC-5C81-4856-A05B-DE9DC236D740}
    Security Update for Microsoft Office PowerPoint 2007 (KB957789)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {7559E742-FF9F-4FAE-B279-008ED296CB4D}
    Security Update for Microsoft Office Publisher 2007 (KB950114)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {F9C3CDBA-1F00-4D4D-959D-75C9D3ACDD85}
    Security Update for Microsoft Office system 2007 (KB954326)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {5F7F6FFF-395D-480E-8450-64F385D82C5F}
    Security Update for Microsoft Office system 2007 (KB956828)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {885E081B-72BD-4E76-8E98-30B4BE468FAC}
    Security Update for Microsoft Office Word 2007 (KB956358)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {4551666D-0FD6-4C69-8A81-1C6F2E64517C}
    Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins000.exe"
    System Control Manager-->C:\Program Files\InstallShield Installation Information\{ED9C5D25-55DF-48D8-9328-2AC0D75DE5D8}\setup.exe -runfromtemp -l0x0009 -removeonly
    Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
    Update for Microsoft Office Outlook 2007 (KB952142)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {4AD3A076-427C-491F-A5B7-7D1DE788A756}
    Update for Microsoft Office Outlook 2007 Help (KB957246)-->msiexec /package {90120000-001A-040C-0000-0000000FF1CE} /uninstall {80E46078-C1C5-4AE8-8744-3EAFC812E118}
    Update for Outlook 2007 Junk Email Filter (kb968503)-->msiexec /package {91120000-0031-0000-0000-0000000FF1CE} /uninstall {5DD98950-4D10-4B79-8BF6-59726705207D}
    VideoLAN VLC media player 0.8.5-->C:\Program Files\VideoLAN\VLC\uninstall.exe
    Windows Driver Package - Atheros Communications Inc. (athr) Net (02/28/2007 7.2.0.164)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst.exe /u C:\Windows\system32\DRVSTORE\netathr_74CD98A6167A799F93832C955CC7D98FEC479FAF\netathr.inf
    Windows Driver Package - Atheros Communications Inc. Net (02/28/2007 7.2.0.164)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst.exe /u C:\Windows\system32\DRVSTORE\netathrx_DA047263A63C13A84BC3EB447CDCFA7E741B2374\netathrx.inf
    Windows Driver Package - Bluetooth Dongle Maker Bluetooth (01/01/2007 6.0.6000.16386)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPINST.EXE /u C:\Windows\system32\DRVSTORE\btdongle_705312D9C32BB7F9D9E3F1C7D86796BD308F282B\btdongle.inf
    Windows Driver Package - Intel (NETw2v32) net (02/14/2007 9.1.1.13)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst32.EXE /u C:\Windows\system32\DRVSTORE\netw2_0514B0CCB09355F296E06B6848853A761CAD5D9E\netw2.inf
    Windows Driver Package - Intel (NETw4v32) net (02/25/2007 11.1.0.86)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst32.EXE /u C:\Windows\system32\DRVSTORE\netw4v32_9714898AE6224E16C312B409A2CC0E227D225CEC\netw4v32.inf
    Windows Driver Package - Intel net (02/25/2007 11.1.0.86)-->C:\PROGRA~1\DIFX\D6ACC4BE676423A2B130B78A4B627FC457D98997\DPInst32.EXE /u C:\Windows\system32\DRVSTORE\netw4v64_F4EBC1930839F29BEFB96930F83C02E9D767A499\netw4v64.inf
    Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
    Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
    Windows Live Mail-->MsiExec.exe /I{63DC2DA0-2A6C-4C38-9249-B75395458657}
    Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
    WinRAR archiver-->C:\Program Files\WinRAR 3.61 Multi\Uninstall.exe

    ======Security center information======

    AS: Windows Defender

    ======System event log======

    Computer Name: PC-de-TiteNélèn
    Event Code: 7001
    Message: Le service Service Liste des réseaux dépend du service Connaissance des emplacements réseau qui n'a pas pu démarrer en raison de l'erreur :
    Le service ou le groupe de dépendance n'a pas pu démarrer.
    Record Number: 92789
    Source Name: Service Control Manager
    Time Written: 20090516103255.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 7001
    Message: Le service Service Liste des réseaux dépend du service Connaissance des emplacements réseau qui n'a pas pu démarrer en raison de l'erreur :
    Le service ou le groupe de dépendance n'a pas pu démarrer.
    Record Number: 92790
    Source Name: Service Control Manager
    Time Written: 20090516103255.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 7001
    Message: Le service Service Liste des réseaux dépend du service Connaissance des emplacements réseau qui n'a pas pu démarrer en raison de l'erreur :
    Le service ou le groupe de dépendance n'a pas pu démarrer.
    Record Number: 92791
    Source Name: Service Control Manager
    Time Written: 20090516103255.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 7001
    Message: Le service Service Liste des réseaux dépend du service Connaissance des emplacements réseau qui n'a pas pu démarrer en raison de l'erreur :
    Le service ou le groupe de dépendance n'a pas pu démarrer.
    Record Number: 92792
    Source Name: Service Control Manager
    Time Written: 20090516103255.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 15016
    Message: Impossible d’initialiser le package de sécurité Kerberos pour l’authentification côté serveur. Le champ de données contient le numéro de l’erreur.
    Record Number: 92825
    Source Name: Microsoft-Windows-HttpEvent
    Time Written: 20090516113912.080747-000
    Event Type: Erreur
    User:

    =====Application event log=====

    Computer Name: PC-de-TiteNélèn
    Event Code: 6000
    Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
    Record Number: 16439
    Source Name: Microsoft-Windows-Winlogon
    Time Written: 20090516113809.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 6000
    Message: L’abonné aux notifications Winlogon <GPClient> n’était pas disponible pour traiter un événement de notification.
    Record Number: 16442
    Source Name: Microsoft-Windows-Winlogon
    Time Written: 20090516113810.000000-000
    Event Type: Avertissement
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 1000
    Message: Application défaillante iexplore.exe, version 7.0.6001.18226, horodatage 0x49ac95d6, module défaillant mshtml.dll, version 7.0.6001.18226, horodatage 0x49acb49d, code d’exception 0xc0000005, décalage d’erreur 0x00199d09, ID du processus 0x5d0, heure de début de l’application 0x01c9d6206a33b746.
    Record Number: 16465
    Source Name: Application Error
    Time Written: 20090516125055.000000-000
    Event Type: Erreur
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    1 user registry handles leaked from \Registry\User\S-1-5-21-3256237054-3200990258-934305692-1000:
    Process 912 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3256237054-3200990258-934305692-1000

    Record Number: 16469
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20090516132002.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    Computer Name: PC-de-TiteNélèn
    Event Code: 1530
    Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

    DÉTAIL -
    1 user registry handles leaked from \Registry\User\S-1-5-21-3256237054-3200990258-934305692-1000_Classes:
    Process 912 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3256237054-3200990258-934305692-1000_CLASSES

    Record Number: 16470
    Source Name: Microsoft-Windows-User Profiles Service
    Time Written: 20090516132004.000000-000
    Event Type: Avertissement
    User: AUTORITE NT\SYSTEM

    =====Security event log=====

    Computer Name: PC-de-TiteNélèn
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-TITENÉLÈN$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x288
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 23570
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090213085804.495927-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-TITENÉLÈN$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x288
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 23571
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090213085804.495927-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 4672
    Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7

    Privilèges : SeAssignPrimaryTokenPrivilege
    SeTcbPrivilege
    SeSecurityPrivilege
    SeTakeOwnershipPrivilege
    SeLoadDriverPrivilege
    SeBackupPrivilege
    SeRestorePrivilege
    SeDebugPrivilege
    SeAuditPrivilege
    SeSystemEnvironmentPrivilege
    SeImpersonatePrivilege
    Record Number: 23572
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090213085804.495927-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 4648
    Message: Tentative d’ouverture de session en utilisant des informations d’identification explicites.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-TITENÉLÈN$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Compte dont les informations d’identification ont été utilisées :
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Serveur cible :
    Nom du serveur cible : localhost
    Informations supplémentaires : localhost

    Informations sur le processus :
    ID du processus : 0x288
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Adresse du réseau : -
    Port : -

    Cet événement est généré lorsqu’un processus tente d’ouvrir une session pour un compte en spécifiant explicitement les informations d’identification de ce compte. Ceci se produit le plus souvent dans les configurations par lot comme les tâches planifiées, ou avec l’utilisation de la commande RUNAS.
    Record Number: 23573
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090213085804.542727-000
    Event Type: Succès de l'audit
    User:

    Computer Name: PC-de-TiteNélèn
    Event Code: 4624
    Message: L’ouverture de session d’un compte s’est correctement déroulée.

    Sujet :
    ID de sécurité : S-1-5-18
    Nom du compte : PC-DE-TITENÉLÈN$
    Domaine du compte : WORKGROUP
    ID d’ouverture de session : 0x3e7

    Type d’ouverture de session : 5

    Nouvelle ouverture de session :
    ID de sécurité : S-1-5-18
    Nom du compte : SYSTEM
    Domaine du compte : AUTORITE NT
    ID d’ouverture de session : 0x3e7
    GUID d’ouverture de session : {00000000-0000-0000-0000-000000000000}

    Informations sur le processus :
    ID du processus : 0x288
    Nom du processus : C:\Windows\System32\services.exe

    Informations sur le réseau :
    Nom de la station de travail :
    Adresse du réseau source : -
    Port source : -

    Informations détaillées sur l’authentification :
    Processus d’ouverture de session : Advapi
    Package d’authentification : Negotiate
    Services en transit : -
    Nom du package (NTLM uniquement) : -
    Longueur de la clé : 0

    Cet événement est généré lors de la création d’une ouverture de session. Il est généré sur l’ordinateur sur lequel l’ouverture de session a été effectuée.

    Le champ Objet indique le compte sur le système local qui a demandé l’ouverture de session. Il s’agit le plus souvent d’un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

    Le champ Type d’ouverture de session indique le type d’ouverture de session qui s’est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

    Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s’est connecté.

    Les champs relatifs au réseau indiquent la provenance d’une demande d’ouverture de session à distance. Le nom de la station de travail n’étant pas toujours disponible, peut être laissé vide dans certains cas.

    Les champs relatifs aux informations d’authentification fournissent des détails sur cette demande d’ouverture de session spécifique.
    - Le GUID d’ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
    - Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d’ouverture de session.
    - Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
    - La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n’a été demandée.
    Record Number: 23574
    Source Name: Microsoft-Windows-Security-Auditing
    Time Written: 20090213085804.542727-000
    Event Type: Succès de l'audit
    User:

    ======Environment variables======

    "ComSpec"=%SystemRoot%\system32\cmd.exe
    "FP_NO_HOST_CHECK"=NO
    "OS"=Windows_NT
    "Path"=C:\GNAT\bin;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
    "PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
    "PROCESSOR_ARCHITECTURE"=x86
    "TEMP"=%SystemRoot%\TEMP
    "TMP"=%SystemRoot%\TEMP
    "USERNAME"=SYSTEM
    "windir"=%SystemRoot%
    "PROCESSOR_LEVEL"=6
    "PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 10, GenuineIntel
    "PROCESSOR_REVISION"=0f0a
    "NUMBER_OF_PROCESSORS"=2
    "configsetroot"=%SystemRoot%\ConfigSetRoot

    -----------------EOF-----------------
    0
  4. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Voici le second rapport que tu m'as demandé !

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Tite Nélène at 2009-05-16 15:22:00
    Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
    System drive C: has 64 GB (53%) free of 121 GB
    Total RAM: 2047 MB (52% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:22:08, on 16/05/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18226)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Users\Tite Nélène\lsass.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Users\Tite Nélène\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
    C:\Windows\System32\rundll32.exe
    C:\Users\Tite Nélène\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Program Files\Internet Explorer\IEUser.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
    C:\Users\Tite Nélène\Desktop\RSIT.exe
    C:\Program Files\trend micro\Tite Nélène.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.atcomet.com/b/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [LSA Shellu] C:\Users\Tite Nélène\lsass.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: Outil de notification Live Search.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
    O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Re,

    Il y a plusieurs infections sur ton ordinateur, il va falloir utiliser plusieurs programmes pour désinfecter;

    1) Il y a une infection de disque amovible.

    Télécharge UsbFix (de Chiquitine29 et C_XX) sur ton Bureau
    • Lance l'installation avec les paramètres par défaut
    • Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
    • Fais un clic droit sur le raccourci d'UsbFix et choisis 'Exécuter en tant qu'administrateur'.
    • Au menu principal, choisis l'option 1 (recherche)
    • Un rapport USBFix.txt apparaitra à la fin, poste le dans ta prochaine réponse stp

    2) C:\Users\Tite Nélène\lsass.exe

    Ce fichier est néfaste, mais je trouve des références contradictoires (certaines disent que c'est une infection Virut, d'autres que c'est un trojan IRCBot)

    Pour vérifier :

    • Rends toi sur le site https://www.virustotal.com/gui/
    • Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : (Ordinateur --> Disque C --> Utilisateurs --> Tite Nélène --> lsass.exe)
    • Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
    • Fais un copier/coller du rapport sur le forum.

    Si tu ne trouves pas le fichier, fais ceci :
    • Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
    • Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
    • Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

    0
  7. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Voici le premier rapport que tu m'as demandé !

    ############################## [ UsbFix V3.021 # Scan ]

    # User : Tite Nélène (Administrateurs) # PC-DE-TITENÉLÈN
    # Update on 16/05/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 17:20:46 | 16/05/2009

    # Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
    # Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    # Internet Explorer 7.0.6001.18000
    # Windows Firewall Status : Disabled

    # C:\ # Disque fixe local # 117,8 Go (61,97 Go free) [OS_Install] # NTFS
    # D:\ # Disque fixe local # 25,39 Go (14,53 Go free) [Nouveau nom] # NTFS
    # E:\ # Disque CD-ROM
    # F:\ # Disque CD-ROM
    # G:\ # Disque amovible # 1,89 Go (1,86 Go free) [KINGSTON] # FAT

    ############################## [ Processus actifs ]

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\agrsmsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\System Control Manager\edd.exe
    C:\Program Files\O2Micro\o2flash.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Users\Tite Nélène\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
    C:\Windows\System32\rundll32.exe
    C:\Users\Tite Nélène\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
    C:\Program Files\Windows Media Player\wmpnetwk.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Users\Tite Nélène\lsass.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Windows\system32\conime.exe
    \\?\C:\Windows\system32\wbem\WMIADAP.EXE

    ################## [ Registre # Startup ]

    HKCU_Main: "Local Page"="C:\\Windows\\system32\\blank.htm"
    HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    HKCU_Main: "Start Page"="http://google.atcomet.com/b/"
    HKLM_logon: "Userinit"="C:\\Windows\\system32\\userinit.exe,"
    HKLM_logon: "LegalNoticeCaption"=""
    HKLM_logon: "LegalNoticeText"=""
    HKLM_Run: NvSvc=RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    HKLM_Run: NvCplDaemon=RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    HKLM_Run: NvMediaCenter=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    HKCU_Run: WindowsWelcomeCenter=rundll32.exe oobefldr.dll,ShowWelcomeCenter
    HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    HKCU_Run: SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    HKCU_Run: DAEMON Tools Lite="C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    HKCU_Run: Sidebar=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    HKCU_Run: LSA Shellu=C:\Users\Tite Nélène\lsass.exe
    HKCU_Run: WMPNSCFG=C:\Program Files\Windows Media Player\WMPNSCFG.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Found ! G:\autorun.inf
    Found ! G:\start.exe

    ################## [ Registre # Clés Run infectieuses ]

    ################## [ Registre # Mountpoints2 ]

    HKCU\...\Explorer\MountPoints2\{04fccad2-d742-11dd-9efa-0019db993cc1}\Shell\Auto\Command
    HKCU\...\Explorer\MountPoints2\{04fccad2-d742-11dd-9efa-0019db993cc1}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{77b75cc9-3fa0-11de-9005-0019db993cc1}\Shell\AutoRun\Command
    HKCU\...\Explorer\MountPoints2\{77b75cc9-3fa0-11de-9005-0019db993cc1}\Shell\explore\Command
    HKCU\...\Explorer\MountPoints2\{77b75cc9-3fa0-11de-9005-0019db993cc1}\Shell\open\Command
    HKCU\...\Explorer\MountPoints2\{bd057761-fbf2-11dd-bc54-0019db993cc1}\Shell\AutoRun\Command

    ################## [ ! Fin du rapport # UsbFix V3.021 ! ]

    ps : pour K@mu]i[, j'ai fais tout ce que tu m'as dis mais le virus est réapparu ...
    0
  8. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Voilà le second rapport ! Je ne savais pas trop quoi copier alors j'ai copié toute la page [rougis]

    Fichier lsass.exe reçu le 2009.05.16 17:27:58 (CET)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
    Résultat: 24/40 (60%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 1.
    L'heure estimée de démarrage est entre 42 et 60 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Formaté
    Impression des résultats Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.0.0.101 2009.05.16 Worm.Win32.Flibot.A!IK
    AhnLab-V3 5.0.0.2 2009.05.16 Win-Trojan/Xema.variant
    AntiVir 7.9.0.168 2009.05.15 -
    Antiy-AVL 2.0.3.1 2009.05.15 Backdoor/Win32.VB
    Authentium 5.1.2.4 2009.05.16 W32/Backdoor2.BWXO
    Avast 4.8.1335.0 2009.05.15 -
    AVG 8.5.0.336 2009.05.15 BackDoor.Ircbot.ERU
    BitDefender 7.2 2009.05.16 Backdoor.Bot.28214
    CAT-QuickHeal 10.00 2009.05.15 Backdoor.VB.edn
    ClamAV 0.94.1 2009.05.16 Trojan.VB-3558
    Comodo 1157 2009.05.08 -
    DrWeb 5.0.0.12182 2009.05.16 BackDoor.IRC.Sdbot.3800
    eSafe 7.0.17.0 2009.05.14 -
    eTrust-Vet 31.6.6508 2009.05.16 -
    F-Prot 4.4.4.56 2009.05.16 W32/Backdoor2.BWXO
    F-Secure 8.0.14470.0 2009.05.15 Backdoor.Win32.VB.edn
    Fortinet 3.117.0.0 2009.05.16 -
    GData 19 2009.05.16 Backdoor.Bot.28214
    Ikarus T3.1.1.49.0 2009.05.16 Worm.Win32.Flibot.A
    K7AntiVirus 7.10.737 2009.05.16 Backdoor.Win32.VB.edn
    Kaspersky 7.0.0.125 2009.05.16 Backdoor.Win32.VB.edn
    McAfee 5616 2009.05.15 W32/Vbbot
    McAfee+Artemis 5616 2009.05.15 W32/Vbbot
    McAfee-GW-Edition 6.7.6 2009.05.15 -
    Microsoft 1.4602 2009.05.16 Worm:Win32/Flibot.gen!A
    NOD32 4080 2009.05.15 probably a variant of Win32/IRCBot.AFP
    Norman 6.01.05 2009.05.16 -
    nProtect 2009.1.8.0 2009.05.16 Backdoor/W32.Agent.52224.Q
    Panda 10.0.0.14 2009.05.16 -
    PCTools 4.4.2.0 2009.05.16 -
    Prevx 3.0 2009.05.16 -
    Rising 21.29.52.00 2009.05.16 Backdoor.Win32.IRCbot.dsh
    Sophos 4.41.0 2009.05.16 -
    Sunbelt 3.2.1858.2 2009.05.16 -
    Symantec 1.4.4.12 2009.05.16 -
    TheHacker 6.3.4.1.326 2009.05.15 -
    TrendMicro 8.950.0.1092 2009.05.15 BKDR_VBBOT.AV
    VBA32 3.12.10.5 2009.05.16 Backdoor.Win32.VB.edn
    ViRobot 2009.5.15.1737 2009.05.15 -
    VirusBuster 4.6.5.0 2009.05.16 Backdoor.VB.EWYE
    Information additionnelle
    File size: 52224 bytes
    MD5...: ed5d760d2fae76c835aca0762ad59117
    SHA1..: 559b727521603650d869b62772986ed8f6dc4e38
    SHA256: 9f4f986686cabfbbf20382c8102808fe67263312cc68cffede1c61dae96f01d2
    SHA512: 6b6091c7336d259fee1091da5d77a510783b8fcafe6e74b4729de654ac80d2ab
    70849084dcd1b221fc752d7572486c11cc83f1a686938a361a918487c1152734
    ssdeep: 768:7ogJkE3jZoiBd5Byynjb3xMJEU0xSOumt28ZDWVx6c:7ogJkE3egd28/qyUn
    Oo8ZiV0c
    PEiD..: -
    TrID..: File type identification
    Win32 Executable Generic (68.0%)
    Generic Win/DOS Executable (15.9%)
    DOS Executable Generic (15.9%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x11fc
    timedatestamp.....: 0x4854c7f3 (Sun Jun 15 07:42:43 2008)
    machinetype.......: 0x14c (I386)

    ( 3 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0xbb44 0xbc00 4.89 de8cd0eddfe1c703eee86368f0862664
    .data 0xd000 0x1938 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rsrc 0xf000 0x7c00 0xc00 4.74 847f5422a5d10f3f7f9d0ecbfc2cadd1

    ( 1 imports )
    > MSVBVM60.DLL: EVENT_SINK_GetIDsOfNames, MethCallEngine, EVENT_SINK_Invoke, -, -, -, -, Zombie_GetTypeInfo, EVENT_SINK2_Release, -, -, -, -, -, -, -, -, -, -, EVENT_SINK_AddRef, -, -, -, DllFunctionCall, -, Zombie_GetTypeInfoCount, EVENT_SINK_Release, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, -, -, -, -, -, ProcCallEngine, -, -, -, EVENT_SINK2_AddRef, -, -, -, -, -, -, -, -, -, -

    ( 0 exports )
    PDFiD.: -
    RDS...: NSRL Reference Data Set
    -
    0
  9. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    N'empêche, maintenant que tu me parles de disque amovible, c'est vrai que c'est depuis que j'ai utilisé ma clé USB à l'Université que j'ai des soucis avec mon PC... d'ailleurs, un collègue a mis des fichiers sur mon PC à l'aide de sa propre clé et je me demande bien si c'est la mienne ou la sienne qui est infectée...
    0
  10. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    La plupart des ordinateurs publics ont des infections de disques amovibles, les responsables informatiques de ton Université devraient les vacciner contre ça (avec USBFix par exemple).

    • Branche tous tes disques amovibles (clés USB, lecteurs mp3, disques durs externes, iPod...) et clique sur OK.
    • Fais un clic droit sur le raccourci d'UsbFix et choisis 'Exécuter en tant qu'administrateur'.
    • Choisis cette fois l'option 2 (Suppression)
    • Ton Bureau va disparaitre, puis l'ordinateur va redémarrer --> c'est normal
    • Laisse travailler l'outil jusqu'au bout
    • A la fin, le rapport USBFix.txt va s'afficher --> poste le dans ta prochaine réponse stp

    Ensuite, pour l'autre infection :

    • Télécharge et installe Malwarebytes' Anti-Malware
    • A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    • Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    • Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
    • Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    • A la fin du scan, clique sur Afficher les résultats
    • Coche tous les éléments détectés puis clique sur Supprimer la sélection
    • Enregistre le rapport
    • S'il t'est demandé de redémarrer, clique sur Yes

    • Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

    0
  11. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Voici le rapport de UsbFix :

    ############################## [ UsbFix V3.021 # Cleaning ]

    # User : Tite Nélène (Administrateurs) # PC-DE-TITENÉLÈN
    # Update on 16/05/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 18:32:41 | 16/05/2009

    # Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
    # Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    # Internet Explorer 7.0.6001.18000
    # Windows Firewall Status : Disabled

    # C:\ # Disque fixe local # 117,8 Go (62,26 Go free) [OS_Install] # NTFS
    # D:\ # Disque fixe local # 25,39 Go (14,53 Go free) [Nouveau nom] # NTFS
    # E:\ # Disque CD-ROM
    # F:\ # Disque CD-ROM
    # G:\ # Disque amovible # 1,89 Go (1,89 Go free) [KINGSTON] # FAT

    ############################## [ Processus actifs ]

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\LogonUI.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\agrsmsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\System Control Manager\edd.exe
    C:\Program Files\O2Micro\o2flash.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Windows\system32\DllHost.exe
    C:\Windows\system32\userinit.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\runonce.exe
    C:\Windows\system32\conime.exe
    C:\Windows\system32\wbem\wmiprvse.exe

    ################## [ Fichiers # Dossiers infectieux ]

    Deleted ! G:\autorun.inf
    Deleted ! G:\start.exe

    ################## [ Registre # Clés Run infectieuses ]

    ################## [ Registre # Mountpoints2 ]

    Deleted ! HKCU\...\Explorer\MountPoints2\{04fccad2-d742-11dd-9efa-0019db993cc1}\Shell\Auto\Command
    Deleted ! HKCU\...\Explorer\MountPoints2\{77b75cc9-3fa0-11de-9005-0019db993cc1}\Shell\AutoRun\Command
    Deleted ! HKCU\...\Explorer\MountPoints2\{bd057761-fbf2-11dd-bc54-0019db993cc1}\Shell\AutoRun\Command

    ################## [ Listing des fichiers présent ]

    [18/09/2006 23:43|--a------|24] - C:\autoexec.bat
    [19/01/2008 09:45|-rahs----|333203] - C:\bootmgr
    [01/06/2007 07:16|-ra-s----|8192] - C:\BOOTSECT.BAK
    [18/09/2006 23:43|--a------|10] - C:\config.sys
    [?|?|?] - C:\hiberfil.sys
    [?|?|?] - C:\pagefile.sys
    [16/05/2009 18:33|--a------|3278] - C:\UsbFix.txt

    ################## [ Vaccination ]

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ Cracks / Keygens / Serials ]

    # -> Nothing found !

    ################## [ ! Fin du rapport # UsbFix V3.021 ! ]
    0
  12. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Tes disques durs ont été vaccinés contre ce type d'infection, mais pas le disque G apparemment (une clé USB ?)...

    Est-ce que tu avais bien lancé USBFix en tant qu'administrateur, comme je te l'ai indiqué ?
    Est-ce que cette clé USB est verrouillée en lecture seule ?

    0
  13. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    J'ai bien exécuté USBFix en tant qu'administrateur comme tu me l'a dis. Par contre,que signifie une clé USB verrouillée en lecture seule ?

    Sinon, le lecteur G, c'est bien ma clé USB .
    0
  14. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Pour l'autre infection, je suis vraiment vraiment désolée... mon pc a redémaré avant que je n'enregistre le rapport, il avait détecté trois choses que j'ai supprimé par la suite. Du coup, j'ai refais un examen rapide après redémarrage et voici le nouveau rapport !

    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 2142
    Windows 6.0.6001 Service Pack 1

    16/05/2009 18:51:44
    mbam-log-2009-05-16 (18-51-44).txt

    Type de recherche: Examen rapide
    Eléments examinés: 67446
    Temps écoulé: 2 minute(s), 20 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    C'est plutôt encourageant :-) D'ailleurs, la fois où j'ai redémarré le PC, les virus ne sont pas revenus !
    0
  15. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Sur certaines clés USB, il y a un petit bouton pour les verrouiller, ce qui permet de lire les données qui sont dessus mais pas de les modifier.

    Mais apparemment ce n'est pas dû à ça, puisque USBFix a réussi à désinfecter sur cette clé. Je vais poser la question au concepteur de ce programme.

    En attendant, on va s'occuper de l'autre infection ;)
    Est-ce que tu peux aller rechercher le premier rapport de MalwareBytes stp ? Pour ça, lance le et va dans l'onglet "Rapports/logs"

    0
  16. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Voili voilou !

    Malwarebytes' Anti-Malware 1.36
    Version de la base de données: 2142
    Windows 6.0.6001 Service Pack 1

    16/05/2009 18:43:28
    mbam-log-2009-05-16 (18-43-28).txt

    Type de recherche: Examen rapide
    Eléments examinés: 66982
    Temps écoulé: 2 minute(s), 42 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsa shellu (Trojan.Agent) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\Tite Nélène\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  17. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Apparemment, il a détecté et supprimé la seconde infection :)
    Tu peux supprimer ce qui est en quarantaine de MalwareBytes

    Poste un nouveau rapport RSIT stp

    0
  18. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Seul le rapport log est apparu (?) :

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Tite Nélène at 2009-05-16 19:15:17
    Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1
    System drive C: has 63 GB (53%) free of 121 GB
    Total RAM: 2047 MB (59% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:15:24, on 16/05/2009
    Platform: Windows Vista SP1 (WinNT 6.00.1905)
    MSIE: Internet Explorer v7.00 (7.00.6001.18226)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\Explorer.EXE
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Alwil Software\Avast4\ashDisp.exe
    C:\Windows\System32\rundll32.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\DAEMON Tools Lite\daemon.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Users\Tite Nélène\AppData\Roaming\Microsoft\Live Search\Notification-LiveSearch.exe
    C:\Users\Tite Nélène\AppData\Roaming\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Windows\System32\mobsync.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\Windows\system32\SearchFilterHost.exe
    C:\Users\Tite Nélène\Desktop\RSIT.exe
    C:\Program Files\trend micro\Tite Nélène.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O1 - Hosts: ::1 localhost
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
    O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
    O4 - Startup: Outil de notification Live Search.lnk = ?
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
    O13 - Gopher Prefix:
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
    O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro\o2flash.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    0
  19. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    "Seul le rapport log est apparu"

    C'est normal, l'autre rapport n'apparait qu'à la première utilisation de RSIT ;)

    Pour ta clé USB, peux-tu relancer USBFix en tant qu'administrateur, et choisir l'option 3 (vaccination).
    Poste le rapport qui apparait ensuite stp

    0
  20. Tite Nélène Messages postés 18 Date d'inscription   Statut Membre
     
    Voici le rapport :

    ############################## [ UsbFix V3.021 # Vaccination ]

    # User : Tite Nélène (Administrateurs) # PC-DE-TITENÉLÈN
    # Update on 16/05/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 19:33:32 | 16/05/2009

    # Intel(R) Core(TM)2 Duo CPU T7300 @ 2.00GHz
    # Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    # Internet Explorer 7.0.6001.18000
    # Windows Firewall Status : Disabled

    # C:\ # Disque fixe local # 117,8 Go (61,96 Go free) [OS_Install] # NTFS
    # D:\ # Disque fixe local # 25,39 Go (14,53 Go free) [Nouveau nom] # NTFS
    # E:\ # Disque CD-ROM
    # F:\ # Disque CD-ROM
    # G:\ # Disque amovible # 1,89 Go (1,89 Go free) [KINGSTON] # FAT

    ################## [ Vaccination ]

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ ! Fin du rapport # UsbFix V3.021 ! ]
    0
  21. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Re,

    Désolé pour le délai de réponse.

    Relance à nouveau USBFix en tant qu'admin, et choisis cette fois l'option 4 stp

    Comme toujours, poste le rapport qui t'est proposé ;)

    0
  • 1
  • 2