Fakepic.gen et Webpage.Gen

Question

Bonjour,


Voilà: Le pc estsous XP avec Antivir et il détecte: 
DR/FakePic.Gen et Infected.Webpage.Gen 
Mais impossible de les supprimer avec ANtivir à jour. 
Autres symptomes: 
1. Plus moyen de fermer le PC normalment (je suis obligé de couper l'alimentation!). 
2. Connection demandée vers dl.goggle.com et clientsl.goggle.com. 
Merci pour votre aide.

Lyonnais92 · Answer

Bonjour,

Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

silky · Answer

Rebonjour,
Merci tt d'abord.
Voici les liens:
http://www.cijoint.fr/cjlink.php?file=cj200906/cijuoi3pYH.txt
http://www.cijoint.fr/cjlink.php?file=cj200906/cijxwGhOGV.txt
A+

Lyonnais92 · Answer

Re,

poste le rapport d'Antivir qui décèle les malwares.

===

C'est toi qui a mis des restrictions sur Internet Explorer ?

===

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\SYSTEM32\winmci32.dll 

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  

Si tu ne trouves pas le fichier, fais ceci :

->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]

silky · Answer

Voici déjà ce que me dit Antivir:

Dans le fichier 'C:\WINDOWS\TEMP\win45.tmp'
un virus ou un programme indésirable 'DR/FakePic.Gen' [dropper] a été détecté.
Action exécutée : Supprimer le fichier
Dans le fichier 'C:\Documents and Settings\Yves\Local Settings\Temporary Internet Files\Content.IE5\474JY3W3\wedstrijden_deelnemen[1].htm'
un virus ou un programme indésirable 'HTML/Infected.WebPage.Gen' [virus] a été détecté.
Action exécutée : Supprimer le fichier

En ce qui concerne IE, je n'ai mis aucune restriction. Je ne m'y connais pas assez pour faire ce genre de choses.

Je fais la suite!
Merci

Lyonnais92 · Answer

Re,

ce fichier semble très mal connu.

Pourrais tu faire ceci :

 Ouvre ce lien :

https://www.broadcom.com/

Clique sur Parcourir

Cherche ce fichier : C:\WINDOWS\SYSTEM32\winmci32.dll 

Lis les termes et conditions en cliquant sur Terms and Conditions:

Coche la case devant "I agree to be bound by the Terms and Conditions
To submit your sample, you must read and agree to "

Clique sur Submit

A  la fin de l'analyse, on va te donner le lien contenant les résultats de l'analyse.

Donne-moi ce lien dans ta réponse.

silky · Answer

Hello,

J'ai relancé antivir sur toute ma machine.
Le 3eme scan est en cours en ce moment.
Les 2 premiers ont été purement et simplement interrompus (le 1er apres avoir trouvé Fakepic.gen, le 2d je ne sais pourquoi).
Quand il a trouvé Facepic, je lui (à Antivir) ai demandé de réparer le fichier. Apparemment, c'est un banner qui m'a infecté.
Tu trouveras le rapport de ces scans ci-dessous.
Je ferai ce que tu indiques dans le post precedent ensuite.
Merci
-------------------------------------------------------------------------------

Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 4 juin 2009  11:09

La recherche porte sur 1449151 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (plain)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : NULLE-VN214ZJZD

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes   3/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes   3/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.2.12    3336192 Bytes  11/02/2009 19:33:26
ANTIVIR2.VDF            : 7.1.4.38    2692096 Bytes  29/05/2009 14:34:19
ANTIVIR3.VDF            : 7.1.4.52     122368 Bytes   3/06/2009 14:46:57
Version du moteur       : 8.2.0.180
AEVDF.DLL               : 8.1.1.1      106868 Bytes  26/05/2009 06:35:48
AESCRIPT.DLL            : 8.1.2.0      389497 Bytes  26/05/2009 06:35:47
AESCN.DLL               : 8.1.2.3      127347 Bytes  26/05/2009 06:35:47
AERDL.DLL               : 8.1.1.3      438645 Bytes  29/10/2008 17:24:41
AEPACK.DLL              : 8.1.3.18     401783 Bytes  28/05/2009 08:33:06
AEOFFICE.DLL            : 8.1.0.36     196987 Bytes  26/02/2009 19:01:56
AEHEUR.DLL              : 8.1.0.129   1761655 Bytes  26/05/2009 06:35:46
AEHELP.DLL              : 8.1.2.2      119158 Bytes  26/02/2009 19:01:56
AEGEN.DLL               : 8.1.1.44     348532 Bytes  26/05/2009 06:35:43
AEEMU.DLL               : 8.1.0.9      393588 Bytes   9/10/2008 13:32:40
AECORE.DLL              : 8.1.6.12     180599 Bytes  28/05/2009 08:33:06
AEBB.DLL                : 8.1.0.3       53618 Bytes   9/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes   3/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes   7/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes   2/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes   7/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 4 juin 2009  11:09

La recherche d'objets cachés commence.
'137551' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IEXPLORE.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'PhLeAutoRun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LiveSystem.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dragdiag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'opwareSE2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dslagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'gsicon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SYSENF~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pctspk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'36' processus ont été contrôlés avec '36' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Maurice\Local Settings\Temporary Internet Files\Content.IE5\K12ZBWOJ\banner4[1].gif
    [RESULTAT]  Contient le modèle de détection du dropper DR/FakePic.Gen

Début de la désinfection :
C:\Documents and Settings\Maurice\Local Settings\Temporary Internet Files\Content.IE5\K12ZBWOJ\banner4[1].gif
    [RESULTAT]  Contient le modèle de détection du dropper DR/FakePic.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a959cd4.qua' !


Fin de la recherche : jeudi 4 juin 2009  12:05
Temps nécessaire: 40:01 Minute(s)

La recherche a été interrompue !

   1176 Les répertoires ont été contrôlés
  84568 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
  84566 Fichiers non infectés
   1930 Les archives ont été contrôlées
      1 Avertissements
      2 Consignes
 137551 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés
-----------------------------------------------------------------



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 4 juin 2009  12:10

La recherche porte sur 1449151 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (plain)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : NULLE-VN214ZJZD

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes   3/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes   3/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.2.12    3336192 Bytes  11/02/2009 19:33:26
ANTIVIR2.VDF            : 7.1.4.38    2692096 Bytes  29/05/2009 14:34:19
ANTIVIR3.VDF            : 7.1.4.52     122368 Bytes   3/06/2009 14:46:57
Version du moteur       : 8.2.0.180
AEVDF.DLL               : 8.1.1.1      106868 Bytes  26/05/2009 06:35:48
AESCRIPT.DLL            : 8.1.2.0      389497 Bytes  26/05/2009 06:35:47
AESCN.DLL               : 8.1.2.3      127347 Bytes  26/05/2009 06:35:47
AERDL.DLL               : 8.1.1.3      438645 Bytes  29/10/2008 17:24:41
AEPACK.DLL              : 8.1.3.18     401783 Bytes  28/05/2009 08:33:06
AEOFFICE.DLL            : 8.1.0.36     196987 Bytes  26/02/2009 19:01:56
AEHEUR.DLL              : 8.1.0.129   1761655 Bytes  26/05/2009 06:35:46
AEHELP.DLL              : 8.1.2.2      119158 Bytes  26/02/2009 19:01:56
AEGEN.DLL               : 8.1.1.44     348532 Bytes  26/05/2009 06:35:43
AEEMU.DLL               : 8.1.0.9      393588 Bytes   9/10/2008 13:32:40
AECORE.DLL              : 8.1.6.12     180599 Bytes  28/05/2009 08:33:06
AEBB.DLL                : 8.1.0.3       53618 Bytes   9/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes   3/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes   7/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes   2/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes   7/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 4 juin 2009  12:10

La recherche d'objets cachés commence.
'137558' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PhLeAutoRun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LiveSystem.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dragdiag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'opwareSE2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dslagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'gsicon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SYSENF~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pctspk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.


Fin de la recherche : jeudi 4 juin 2009  12:32
Temps nécessaire: 21:45 Minute(s)

La recherche a été interrompue !

    957 Les répertoires ont été contrôlés
  34048 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
  34047 Fichiers non infectés
   1117 Les archives ont été contrôlées
      1 Avertissements
      1 Consignes
 137558 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Lyonnais92 · Answer

Re,

OK,

mais je pense que les fichiers reviennent.

Soit parce que une connexion distante les rétablit soit parce que un fichier présent les régénère.

Le rapport de Threatexpert nous en dira peut être plus.

silky · Answer

Re, 
Avira Antivir vient d'arriver à ses fins.
Il a trouvé des suspects (16)  que je lui ai demandé de réparer.
Ci)-dessous, le rapport.
Je fais theatter dans la foulee.
Merci
-----------------------


Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 4 juin 2009  12:36

La recherche porte sur 1449151 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (plain)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : NULLE-VN214ZJZD

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes   3/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes   3/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.2.12    3336192 Bytes  11/02/2009 19:33:26
ANTIVIR2.VDF            : 7.1.4.38    2692096 Bytes  29/05/2009 14:34:19
ANTIVIR3.VDF            : 7.1.4.52     122368 Bytes   3/06/2009 14:46:57
Version du moteur       : 8.2.0.180
AEVDF.DLL               : 8.1.1.1      106868 Bytes  26/05/2009 06:35:48
AESCRIPT.DLL            : 8.1.2.0      389497 Bytes  26/05/2009 06:35:47
AESCN.DLL               : 8.1.2.3      127347 Bytes  26/05/2009 06:35:47
AERDL.DLL               : 8.1.1.3      438645 Bytes  29/10/2008 17:24:41
AEPACK.DLL              : 8.1.3.18     401783 Bytes  28/05/2009 08:33:06
AEOFFICE.DLL            : 8.1.0.36     196987 Bytes  26/02/2009 19:01:56
AEHEUR.DLL              : 8.1.0.129   1761655 Bytes  26/05/2009 06:35:46
AEHELP.DLL              : 8.1.2.2      119158 Bytes  26/02/2009 19:01:56
AEGEN.DLL               : 8.1.1.44     348532 Bytes  26/05/2009 06:35:43
AEEMU.DLL               : 8.1.0.9      393588 Bytes   9/10/2008 13:32:40
AECORE.DLL              : 8.1.6.12     180599 Bytes  28/05/2009 08:33:06
AEBB.DLL                : 8.1.0.3       53618 Bytes   9/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes   3/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes   7/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes   2/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes   7/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 4 juin 2009  12:36

La recherche d'objets cachés commence.
'137563' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PhLeAutoRun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LiveSystem.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dragdiag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'opwareSE2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dslagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'gsicon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SYSENF~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pctspk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'35' processus ont été contrôlés avec '35' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '54' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020682.dll
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020685.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.1
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020688.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.4
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020689.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020690.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Mywebsearch.A.84
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020691.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.20
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020692.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MyWebSear.5.K
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021848.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.18
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021850.dll
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021854.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.1
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021857.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.4
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021858.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021859.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Mywebsearch.A.84
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021860.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.20
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021861.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MyWebSear.5.K
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP68\A0021866.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.18
Recherche débutant dans 'D:\' <Nouveau nom>

Début de la désinfection :
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020682.dll
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a57baef.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020685.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b3b6080.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020688.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.4
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b3c6858.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020689.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b3d7010.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020690.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Mywebsearch.A.84
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b274360.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020691.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.20
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b3a58c8.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP62\A0020692.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MyWebSear.5.K
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b3950f0.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021848.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.18
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b384b38.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021850.dll
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48af55e0.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021854.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.1
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '493d05e0.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021857.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.4
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a57baf0.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021858.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.D.2
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48ac4459.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021859.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Mywebsearch.A.84
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48aabc81.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021860.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.20
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48a9b4c9.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP67\A0021861.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/MyWebSear.5.K
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48a8acf1.qua' !
C:\System Volume Information\_restore{6AF74D97-F7DF-4F93-8524-61F9D57E3EE0}\RP68\A0021866.DLL
    [RESULTAT]  Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/Toolbar.MyWebSearch.18
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4957a739.qua' !


Fin de la recherche : jeudi 4 juin 2009  14:14
Temps nécessaire:  1:36:32 Heure(s)

La recherche a été effectuée intégralement

   3760 Les répertoires ont été contrôlés
 291865 Des fichiers ont été contrôlés
     16 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
     16 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 291848 Fichiers non infectés
   5060 Les archives ont été contrôlées
      1 Avertissements
     17 Consignes
 137563 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

silky · Answer

Voici ce que raconte theater:
https://www.symantec.com?md5=653d1dfe4b4c4ed95ecde9b9208334ed
Merci.

Lyonnais92 · Answer

Re,

vide la quarantaine d'Antivir.

===
 Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:OTL
O4 - HKU\.DEFAULT\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe File not found
O4 - HKU\.DEFAULT\..\Run: [Microsoft Visual Debuger] C:\WINDOWS\System32\mdm.exe File not found
O4 - HKU\S-1-5-18\..\Run: [Microsoft Msn Messenger] C:\WINDOWS\System32\msmsgs.exe File not found
O4 - HKU\S-1-5-18\..\Run: [Microsoft Visual Debuger] C:\WINDOWS\System32\mdm.exe File not found
O4 - Startup: C:\Documents and Settings\bronckart joelle\Menu Démarrer\Programmes\Démarrage\MyWebSearch Email Plugin.lnk = C:\Program Files\MyWay\bar\2.bin\MWSOEMON.EXE File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-583907252-789336058-1708537768-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon\Notify\winmci32: DllName - winmci32.dll - C:\WINDOWS\SYSTEM32\winmci32.dll ()
[2009/05/28 10:52:45 | 00,040,960 | ---- | C] () -- C:\WINDOWS\System32\winmci32.dll

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR]

:files
C:\Documents and Settings\Yves\Local Settings\Temp\win?.tmp
C:\Documents and Settings\Yves\Local Settings\Temp\win??.tmp
C:\Documents and Settings\Yves\Local Settings\Temporary Internet Files\Content.IE5\474JY3W3\*.*
 
:commands
[emptytemp]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==========

Purge la restauration système :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

====

Si l'ordi est stable (pas d'écran bleu, pas de reboot intempestif, pas de freeze), mets à jour Internet Explorer :

démarrer, Aide et Sipport, Maintenez votre ordinateur à jour avec ..., tu suis les instructions.

silky · Answer

Voici le rapport d'oTL, apres reboot.
--------------------------------------------

========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Msn Messenger deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Visual Debuger deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Msn Messenger not found.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Visual Debuger not found.
C:\Documents and Settings\bronckart joelle\Menu Démarrer\Programmes\Démarrage\MyWebSearch Email Plugin.lnk moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-19_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-20_Classes\Software\Policies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_USERS\S-1-5-21-583907252-789336058-1708537768-1003\Software\Po­licies\Microsoft\Internet Explorer\Control Panel\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winmci32\ deleted successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\SYSTEM32\winmci32.dll
C:\WINDOWS\SYSTEM32\winmci32.dll NOT unregistered.
C:\WINDOWS\SYSTEM32\winmci32.dll moved successfully.
File C:\WINDOWS\System32\winmci32.dll not found.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR\ deleted successfully.
========== FILES ==========
File\Folder C:\Documents and Settings\Yves\Local Settings\Temp\win?.tmp not found.
File\Folder C:\Documents and Settings\Yves\Local Settings\Temp\win??.tmp not found.
File\Folder C:\Documents and Settings\Yves\Local Settings\Temporary Internet Files\Content.IE5\474JY3W3\*.* not found.
========== COMMANDS ==========
File delete failed. C:\Documents and Settings\Yves\Local Settings\Temp\hpodvd09.log scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Yves\Local Settings\Temp\JETE7CD.tmp scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Yves\Local Settings\Temp\~DF99F7.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_4ec.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\win1D.tmp scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ZLT06f6c.TMP scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\ZLT06f6f.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
 
OTL by OldTimer - Version 2.1.1.0 log created on 06042009_153320

Files moved on Reboot...
C:\Documents and Settings\Yves\Local Settings\Temp\hpodvd09.log moved successfully.
File C:\Documents and Settings\Yves\Local Settings\Temp\JETE7CD.tmp not found!
C:\Documents and Settings\Yves\Local Settings\Temp\~DF99F7.tmp moved successfully.
File C:\WINDOWS	emp\Perflib_Perfdata_4ec.dat not found!
C:\WINDOWS	emp\win1D.tmp moved successfully.
File C:\WINDOWS	emp\ZLT06f6c.TMP not found!
File C:\WINDOWS	emp\ZLT06f6f.TMP not found!

Registry entries deleted on Reboot...

silky · Answer

J'ai tout fait, sans probleme...
Je me reconnecterai dimanche ou lundi pour la suite et fin.
Dans tous les cas, un tout grand merci.
Bonne fin de semaine.

Lyonnais92 · Answer

Re,

la première des choses à faire est de refaire tourner OTL et de poster le rapport.

silky · Answer

Voici le rapport du runscan (all users et avec les 2 checks - Lop et Purity).
A+
http://www.cijoint.fr/cjlink.php?file=cj200906/cijGdI13gL.txt

Lyonnais92 · Answer

Re,

refais tourner Antivir et poste le rapport.

silky · Answer

Re,
Je suis mtnt à qques dizaines de km du PC en question.
Le symptome principal qui consistait en l'impossibilité d'éteindre correctement la bécane avait en tout cas disparu à 16.15.
Je referai tourner Avira Antivir dimanche matin.
Merci à toi et à dimanche ou au début de la semaine prochaine.
Bonne soiree

Lyonnais92 · Answer

Bonsoir,

oui, les claviers même Wifi ne sont plus opérationnels à cette distance :)

Tu ne réponds pas à ce message, sauf avec le rapport antivir.

Comme ça je serai prévenu quand il y aura du neuf.

A dimanche ou lundi.

silky · Answer

Bonjour,
Antivir trouve encore toujours ce Facepic...
J'ai à nouveau demandé qu'il répare le fichier en cours de scan.
Ci-dessous, le rapport.
Merci et bonne fin de we.
---------------------------------
Avira AntiVir Personal
Date de création du fichier de rapport : dimanche 7 juin 2009  10:38

La recherche porte sur 1449151 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (plain)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : NULLE-VN214ZJZD

Informations de version :
BUILD.DAT               : 9.0.0.65      17959 Bytes  22/04/2009 12:06:00
AVSCAN.EXE              : 9.0.3.6      466689 Bytes  21/04/2009 12:20:54
AVSCAN.DLL              : 9.0.3.0       49409 Bytes   3/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes   3/03/2009 09:21:31
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF            : 7.1.2.12    3336192 Bytes  11/02/2009 19:33:26
ANTIVIR2.VDF            : 7.1.4.38    2692096 Bytes  29/05/2009 14:34:19
ANTIVIR3.VDF            : 7.1.4.52     122368 Bytes   3/06/2009 14:46:57
Version du moteur       : 8.2.0.180
AEVDF.DLL               : 8.1.1.1      106868 Bytes  26/05/2009 06:35:48
AESCRIPT.DLL            : 8.1.2.0      389497 Bytes  26/05/2009 06:35:47
AESCN.DLL               : 8.1.2.3      127347 Bytes  26/05/2009 06:35:47
AERDL.DLL               : 8.1.1.3      438645 Bytes  29/10/2008 17:24:41
AEPACK.DLL              : 8.1.3.18     401783 Bytes  28/05/2009 08:33:06
AEOFFICE.DLL            : 8.1.0.36     196987 Bytes  26/02/2009 19:01:56
AEHEUR.DLL              : 8.1.0.129   1761655 Bytes  26/05/2009 06:35:46
AEHELP.DLL              : 8.1.2.2      119158 Bytes  26/02/2009 19:01:56
AEGEN.DLL               : 8.1.1.44     348532 Bytes  26/05/2009 06:35:43
AEEMU.DLL               : 8.1.0.9      393588 Bytes   9/10/2008 13:32:40
AECORE.DLL              : 8.1.6.12     180599 Bytes  28/05/2009 08:33:06
AEBB.DLL                : 8.1.0.3       53618 Bytes   9/10/2008 13:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.0.1       43777 Bytes   3/12/2008 10:39:26
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL               : 9.0.0.0       36609 Bytes   7/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes   2/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes   7/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.21    2438401 Bytes  17/02/2009 12:49:32
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 09:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : dimanche 7 juin 2009  10:38

La recherche d'objets cachés commence.
'135419' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SYSENF~1.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pctspk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PhLeAutoRun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'robotaskbaricon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarNotifier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dragdiag.exe' - '1' module(s) sont contrôlés
Processus de recherche 'opwareSE2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'qttask.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dslagent.exe' - '1' module(s) sont contrôlés
Processus de recherche 'gsicon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'36' processus ont été contrôlés avec '36' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Yves\Local Settings\Temporary Internet Files\Content.IE5\DJVCK9KG\banner4[1].gif
    [RESULTAT]  Contient le modèle de détection du dropper DR/FakePic.Gen
C:\Documents and Settings\Yves\Local Settings\Temporary Internet Files\Content.IE5\Y0FPURRG\banner28[1].gif
    [RESULTAT]  Contient le modèle de détection du dropper DR/FakePic.Gen
Recherche débutant dans 'D:\' <Nouveau nom>

Début de la désinfection :
C:\Documents and Settings\Yves\Local Settings\Temporary Internet Files\Content.IE5\DJVCK9KG\banner4[1].gif
    [RESULTAT]  Contient le modèle de détection du dropper DR/FakePic.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9994e5.qua' !
C:\Documents and Settings\Yves\Local Settings\Temporary Internet Files\Content.IE5\Y0FPURRG\banner28[1].gif
    [RESULTAT]  Contient le modèle de détection du dropper DR/FakePic.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bf35e46.qua' !


Fin de la recherche : dimanche 7 juin 2009  12:20
Temps nécessaire:  1:28:50 Heure(s)

La recherche a été effectuée intégralement

   3703 Les répertoires ont été contrôlés
 287720 Des fichiers ont été contrôlés
      2 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      2 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 287717 Fichiers non infectés
   4957 Les archives ont été contrôlées
      1 Avertissements
      3 Consignes
 135419 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Lyonnais92 · Answer

Bonjour,

mets à jour Internet Explorer.

Apploque ces consignes de sécurité :

Voici quelques conseils pour mieux protéger ton ordi des malwares : 
 
1) Mets à jour Windows en consultant régulièrement le site de mise à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
2) pour réduire les risques de réinfection, je te recommande fortement d'installer ces programmes gratuits :

- SpywareBlaster protège des ActiveX malicieux  : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster

un tutoriel :
https://www.malekal.com/tutorial-spywareblaster/

- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .

- Sécurise Internet Explorer
         * Clique sur Démarrer puis Exécuter
         * Tape Inetcpl.cpl dans la zone de saisie puis OK
         * Clique sur l'onglet Sécurité
         * Clique sur "Rétablir toutes les zones au niveau par défaut"
         * Sélectionne Zone Internet et clique sur "Personaliser le niveau"
         * Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX sognés et non sognés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés" 

- ATF Cleaner nettoye les fichiers temporaires d'Internet Explorer et Windows (et Firefox), vide la corbeille et effectue quelques autres actions de nettoyage. Il améliore la vitesse et élimine les fichiers malveillants logés dans les fichiers temporaires : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

- Conserve une sauvegarde des fichiers importants. Ceco devient de plus en plus important. Cet article, en anglais, est rempli d'informations sur les solutions possibles : http://www.geekstogo.com/559/options-for-home-computer-data-backup-part-1/

- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.

https://winhelp2002.mvps.org/hosts.htm

- Il vaut mieux utiliser un navigateur alternatif à Internet Explorer. Je recommande celui de Mozilla, Firefox, très agréable, mieux sécurisé et doté d'un très bon bloqueur de pop-ups. lien de téléchargement : http://www.commentcamarche.net/telecharger/telecharger 111 firefox

Fais redémarrer l'ordi et rescanne avec Antivir.

Poste le nouveau rapport.

silky · Answer

Bonjour,

Ce lien ne marche pas:
SpywareBlaster protège des ActiveX malicieux : https://www.commentcamarche.net/telecharger/ 226 spyware blaster 

Je suis passé ensuite à spyreguard et j'ai été assailli de demandes de connections à des sites inconnus....

De ce fait, j'ai remis Zone Alarm et désinstallé Spyreguard...
Il y a p-e lieu de d'abord mettre spywareblaster...

Bien à toi.

Lyonnais92 · Answer

Re,

pour le lien :

http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster

Spywareguard est un antispyware, pas un parefeu. Il n'y avait aucune raison de désinstaller ZoneAlarm.

C'est quoi les sites en question (avec hxxp et jamais http) ?

silky · Answer

Rebonjour,

Je suis à nouveau à qques dizaines de km.

J'avais désinstallé Zonealarm ayant peur d'un conflit. Mais je l'ai directement remis.
Pour le lien, je tombe sur la page internet mais impossible de télécharger ensuite. 
Aucun probleme pour le guard. Uniquement le blaster.

En ce qui concerne les tentatives de connexion, en voici 3 que j'ai notées. Je n'ai aucune idée du caractere de dangerosité....
phonewire.dd.blueline.be
phonelogin.dd.blueline.be
ad.doubleclick.net

Par ailleurs, dois-je désinstaller certaines choses de mon ordi vis à vis de ton post du début de l'apres midi?

Je te posterai le rapport anti-vir dans les jours qui viennent.
Bon début de semaine.
Merci

Lyonnais92 · Answer

Re,

à quel moment de la procédure tu as eu des demandes de connexions ?

Je n'ai rien eu pendant le téléchargement.

J'ai eu une demande de mon parefeu au début de l'exécution et plus rien ensuite.

Tu as bien téléchargé à partir du lien de CCM ?

Pour les outils, on fera le ménage quand on aura éradiqué la bebêtte.

silky · Answer

J'ai eu ces demandes alors que j'avais désinstallé Zonealarm et quand je faisais redémarrer le PC (comme demandé par le nouveau programme).

Pour le blaster que je ne sais pas télécharger, c'était bien à partir de ton lien.

Je réessaierai.
A la prochaine.

Lyonnais92 · Answer

Re,

le lien pour Spywareguard :

http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard

Il ne m'a pas demandé de redémarrer.

Fakepic.gen et Webpage.Gen

25 réponses

Votre réponse

Newsletters