BEAUCOUP BEAUCOUP DE VIRUS QUE FAIRE

Résolu
missfat -  
 missfat -
Bonjour,
je viens de faire une analyse avec a squared qui a trouvé 102 fichiers infectés
je les ai mis en quarantaine et je voudrais savoir si c'est suffisant pour etre proteger ou alors faut il les supprimer completement ? si je les supprime est ce sans risque de supprimer un fichiers important
je vous joint un rapport

merci pour votre aide

Version - a-squared Free 4.5
Dernière mise à jour : 15/06/2009 09:56:48

Paramètres des balayages :

Type de numérisation : Scan Détail
Éléments : Mémoire, Traces, Cookies, C:\
Balaye dans les archives : Marche
Analyse heuristique : Arrêt
Balaye dans les ADS : Marche

Début du balayage : 15/06/2009 09:57:31

C:\Documents and Settings\All Users\Application Data\15310624\15310624.exe Objets détectés : Trojan.Win32.Winwebsec!IK
C:\Documents and Settings\All Users\Application Data\15310624\15310624.glu Objets détectés : Win32.SuspectCrc!IK
C:\Documents and Settings\All Users\Application Data\95320616\95320616.exe Objets détectés : Trojan.Win32.Winwebsec!IK
C:\gclwpivc.cmd Objets détectés : Packed.Win32.Krap!IK
C:\Program Files\Alalbany.net\albany_adab_zefaf.exe Objets détectés : Backdoor.Generic!IK
C:\Program Files\Alalbany.net\albany_sefa_salah.exe Objets détectés : Backdoor.Generic!IK
C:\sm.exe Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071431.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071443.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071455.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071470.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071506.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071623.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071661.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP333\A0071663.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP333\A0071671.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP333\A0071680.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP334\A0071733.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP335\A0071736.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP335\A0071806.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP335\A0071817.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP336\A0071819.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP336\A0071832.inf Objets détectés : Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP343\A0074109.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP343\A0074126.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP353\A0075581.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP353\A0075593.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP353\A0075605.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP354\A0075611.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP354\A0075622.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP354\A0075641.inf Objets détectés : Trojan-GameThief.Win32.OnLineGames!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075918.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075922.dll Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075932.dll Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075936.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075938.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075949.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075962.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075963.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075969.cmd Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075970.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075978.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075983.cmd Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075984.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076024.cmd Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076025.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076035.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076036.dll Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076039.cmd Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076040.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076041.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076042.exe Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076043.dll Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076051.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076052.dll Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076056.cmd Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076057.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076069.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076070.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076073.cmd Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076074.inf Objets détectés : Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076075.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076076.exe Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076077.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076080.cmd Objets détectés : Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076091.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076092.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076095.cmd Objets détectés : Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076108.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076109.dll Objets détectés : Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076112.cmd Objets détectés : Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076119.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076120.dll Objets détectés : Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076124.cmd Objets détectés : Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076146.cmd Objets détectés : Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076154.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076155.dll Objets détectés : Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076158.cmd Objets détectés : Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076160.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076161.exe Objets détectés : Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076162.dll Objets détectés : Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076170.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076171.dll Objets détectés : Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076176.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076178.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076186.exe Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076194.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076195.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076198.exe Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077194.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077195.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077198.exe Objets détectés : Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077210.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077211.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077214.exe Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077222.sys Objets détectés : Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077223.dll Objets détectés : PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077226.exe Objets détectés : PWS.Win32!IK
C:\WINDOWS\system32\drivers\etc\hosts Objets détectés : Generic.Qhost!IK
C:\WINDOWS\system32\drivers\etc\hosts.msn Objets détectés : Generic.Qhost!IK
C:\WINDOWS\system32\UACevpawvinovxbfil.dll Objets détectés : Rootkit.Win32.TDSS!IK
C:\WINDOWS\system32\uactmp.db Objets détectés : Virus.JS.ScriptSH!IK

Analysé

Fichiers : 100743
Traces : 317948
Cookies : 17
Processus : 12

Objets trouvés

Fichiers : 102
Traces : 0
Cookies : 0
Processus : 0
Clés de Registre : 0

Fin du balayage : 15/06/2009 11:09:40
Temps du balayage : 1:12:09

C:\WINDOWS\system32\uactmp.db En quarantaine Virus.JS.ScriptSH!IK
C:\WINDOWS\system32\UACevpawvinovxbfil.dll En quarantaine Rootkit.Win32.TDSS!IK
C:\WINDOWS\system32\drivers\etc\hosts En quarantaine Generic.Qhost!IK
C:\WINDOWS\system32\drivers\etc\hosts.msn En quarantaine Generic.Qhost!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076109.dll En quarantaine Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076120.dll En quarantaine Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076155.dll En quarantaine Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076162.dll En quarantaine Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076171.dll En quarantaine Trojan-GameThief.Win32.WOW!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075963.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075978.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076035.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076041.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076051.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076069.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076075.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076091.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076108.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076119.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076154.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076160.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076170.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076176.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076194.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077194.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077210.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077222.sys En quarantaine Riskware.Winnt!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075922.dll En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075932.dll En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075969.cmd En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075983.cmd En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076024.cmd En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076036.dll En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076039.cmd En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076042.exe En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076043.dll En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076052.dll En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076056.cmd En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076073.cmd En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076076.exe En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077198.exe En quarantaine Trojan-GameThief.Win32.Magania!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP354\A0075641.inf En quarantaine Trojan-GameThief.Win32.OnLineGames!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP343\A0074109.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP343\A0074126.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP353\A0075581.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP353\A0075593.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP353\A0075605.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP354\A0075611.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP354\A0075622.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075918.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP358\A0075936.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075938.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075949.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP359\A0075962.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075970.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP360\A0075984.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076025.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076040.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076057.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076074.inf En quarantaine Trojan.Autorun!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071431.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071443.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071455.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071470.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071506.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071623.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP332\A0071661.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP333\A0071663.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP333\A0071671.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP333\A0071680.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP334\A0071733.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP335\A0071736.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP335\A0071806.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP335\A0071817.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP336\A0071819.inf En quarantaine Trojan.Script!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP336\A0071832.inf En quarantaine Trojan.Script!IK
C:\sm.exe En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076070.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP361\A0076077.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076092.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076178.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076186.exe En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076195.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0076198.exe En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077195.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077211.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077214.exe En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077223.dll En quarantaine PWS.Win32!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP364\A0077226.exe En quarantaine PWS.Win32!IK
C:\Program Files\Alalbany.net\albany_adab_zefaf.exe En quarantaine Backdoor.Generic!IK
C:\Program Files\Alalbany.net\albany_sefa_salah.exe En quarantaine Backdoor.Generic!IK
C:\gclwpivc.cmd En quarantaine Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076080.cmd En quarantaine Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076095.cmd En quarantaine Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076112.cmd En quarantaine Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP362\A0076124.cmd En quarantaine Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076146.cmd En quarantaine Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076158.cmd En quarantaine Packed.Win32.Krap!IK
C:\System Volume Information\_restore{468DB67F-8C3D-42B1-8A5F-E378C3278A21}\RP363\A0076161.exe En quarantaine Packed.Win32.Krap!IK
C:\Documents and Settings\All Users\Application Data\15310624\15310624.glu En quarantaine Win32.SuspectCrc!IK
C:\Documents and Settings\All Users\Application Data\15310624\15310624.exe En quarantaine Trojan.Win32.Winwebsec!IK
C:\Documents and Settings\All Users\Application Data\95320616\95320616.exe En quarantaine Trojan.Win32.Winwebsec!IK

En quarantaine

Fichiers : 102
Traces : 0
Cookies : 0
A voir également:

112 réponses

Précédent
Réponse 41 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
bien ...


tu vas reprendre Toolsbar S&D et enrgistre bien l'outil sur ton bureau !!! -



donc dans l'ordre :


1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )



============================

2- Télécharge et installe le logiciel HijackThis :

ici http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne l'utilise pas et ne fais pas de scan pour le moment )


============================

3- Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html





-
"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne 
vous l'a pas dit !
0
Réponse 42 / 112
missfat
 
pour info j'ai pas oser aller ds c: j'avais peur ke ça bloque encore dc pour lancer toolbar s&d j'ai fait double clic sur la fenetre de téléchargement

qu'est ce que je fait pour antiv parce que la fenetre est tjr ouverte

voila le rapport toolbar


-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) 4 CPU 2.40GHz )
BIOS : 786B2 v1.11
USER : Administrateur ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.26 (Not Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:37 Go (Free:5 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 17/06/2009|16:22 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ Extensions

(035PAMA.DOM1S35) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
(035PAMA.DOM1S35) - {71328583-3CA7-4809-B4BA-570A85818FBB} => cacheviewer

(Administrateur) - {71328583-3CA7-4809-B4BA-570A85818FBB} => cacheviewer


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"
"Start Page"="http://fr.google.com/"
"Search Page"="http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/"
"Search Bar"="http://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*http://fr.yahoo.com/search/ie.html"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="https://www.msn.com/fr-fr/"
"Default_Page_URL"="https://fr.yahoo.com/"


--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !


1 - "C:\ToolBar SD\TB_1.txt" - 17/06/2009|16:23 - Option : [2]

-----------\\ Fin du rapport a 16:23:59.90
0
Réponse 43 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
qu'est ce que je fait pour antiv parce que la fenetre est tjr ouverte

ferme la fenètre et continue la manipe stp ....


j'attends l' autre rapport demandé ....


0
Réponse 44 / 112
missfat
 
je ne peux pas la fermer avec la croix il faudrait que j'appuie sur ok mais ça confirmerais l'action "refuser l'accès" ça pose pas de soucis ??
0
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
oui clique sur Ok !


et fait la suite stp ....

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 112
missfat
 
voila


############################## [ UsbFix V3.032 ]

# User : Administrateur () # HP30179196432
# Update on 15/06/09 by Chiquitine29
# Start at: 17:06:12 | 17/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 37.26 Go (5.91 Go free) [ ] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 970.12 Mo (4.58 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/"
HKCU_Main: "Start Page"="http://fr.google.com/"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="administrateur"
HKLM_logon: "AltDefaultUserName"="administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""

HKLM_Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
HKLM_Run: Matrox Powerdesk=C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: msnmsgr="C:\Program Files\MSN Messenger\msnmsgr.exe" /background


################## [ Fichiers # Dossiers infectieux ]

C:\autorun.inf # -> fichier appelé : "C:\sm.exe" ( Absent ! )
Présent ! C:\Administrateur.exe
Présent ! C:\autorun.inf
F:\autorun.inf # -> fichier appelé : "F:\q9.cmd" ( Présent ! )
Présent ! F:\1utbfd.bat
Présent ! F:\g1ljsm.com
Présent ! F:\icxpa.cmd
Présent ! F:\jm3cx96.bat
Présent ! F:\q9.cmd
Présent ! F:\ysep1.exe
Présent ! F:\i.cmd
Présent ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\C\Shell\open\Command
HKCU\...\Explorer\MountPoints2\{c8bd4ff8-8bc7-11dc-87bf-000e5cf01aed}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{c8bd4ff8-8bc7-11dc-87bf-000e5cf01aed}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.032 ! ]
0
Réponse 46 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
impec ...


la suite :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

IMPERATIF :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).


=======================

2- refais un scan RSIT et poste le nouveau "log.txt" obtenu pour analyse ....


0
Réponse 47 / 112
missfat
 
voila


############################## [ UsbFix V3.032 ]

# User : Administrateur () # HP30179196432
# Update on 15/06/09 by Chiquitine29
# Start at: 17:19:38 | 17/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Pentium(R) 4 CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 37.26 Go (5.91 Go free) [ ] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible # 970.12 Mo (4.56 Mo free) # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

C:\autorun.inf # -> fichier appelé : "C:\sm.exe" ( absent ! )
Supprimé ! C:\Administrateur.exe
Supprimé ! C:\autorun.inf
F:\autorun.inf # -> fichier appelé : "F:\q9.cmd" ( présent ! )
Deleted ! -> F:\q9.cmd
Supprimé ! F:\1utbfd.bat
Supprimé ! F:\g1ljsm.com
Supprimé ! F:\icxpa.cmd
Supprimé ! F:\jm3cx96.bat
Supprimé ! F:\ysep1.exe
Supprimé ! F:\i.cmd
Supprimé ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Supprimé ! HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[14/06/2009 22:02|--a------|53540608] - C:\a2FreeSetup.exe
[03/06/2009 23:04|--a------|8319] - C:\Attestation.pdf
[04/07/2002 16:20|--a------|42] - C:\AUTOEXEC.BAT
[16/06/2009 15:49|--a------|30143928] - C:\avira_antivir_personal_fr.exe
[09/03/2008 20:18|--a------|635392] - C:\becherel.exe
[10/07/2003 14:20|--a------|378853] - C:\BLUEFI20.10b
[26/04/2008 16:40|---hs----|212] - C:\boot.ini
[24/08/2001 17:00|-rahs----|4952] - C:\Bootfont.bin
[24/03/2009 23:21|--a------|188416] - C:\calcul.exe
[12/06/2009 22:07|--a------|3247736] - C:\ccsetup220.exe
[26/04/2008 16:45|--a------|0] - C:\CONFIG.SYS
[08/02/2009 22:32|--a------|1394253] - C:\diplome-10km_Tps_Reel-Les_Foulees_de_Vincennes.pdf
[14/06/2009 18:20|d--------|0] - C:\Documents and Setting?
[05/05/2004 15:50|---hs----|5095] - C:\ffastun.ffa
[05/05/2004 15:50|---hs----|335872] - C:\ffastun.ffl
[05/05/2004 15:50|--ah-----|176128] - C:\ffastun.ffo
[05/05/2004 15:50|---hs----|1216512] - C:\ffastun0.ffx
[06/05/2004 10:21|--a------|335872] - C:\ffastunT.ffl
[?|?|?] - C:\hiberfil.sys
[14/06/2009 22:25|--a------|7192] - C:\hijackthis.log
[04/05/2009 15:52|--a------|1878888] - C:\install_flash_player.exe
[24/10/2003 16:11|-rahs----|0] - C:\IO.SYS
[09/10/2007 11:56|--a------|24] - C:\Key.txt
[30/09/2004 10:33|--a------|90] - C:\LogiSetup.log
[14/06/2009 20:40|--a------|3371384] - C:\mbam-setup.exe
[27/07/2008 00:43|--a------|9881] - C:\MP4debug.log
[24/10/2003 16:11|-rahs----|0] - C:\MSDOS.SYS
[02/03/2009 22:14|--a------|188471] - C:\Music_97_Yusuf Islam - Selawat.rm
[16/06/2009 15:37|--a------|3063649] - C:\Norton_Removal_Tool.exe
[04/08/2004 01:38|-rahs----|47564] - C:\NTDETECT.COM
[04/08/2004 01:59|-rahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[11/06/2009 16:53|--a------|64593] - C:\parineeta.srt
[26/03/2007 13:22|--a------|5450] - C:\plot.log
[15/04/2009 22:10|--a------|20992] - C:\PRO BTP.doc
[11/06/2009 16:32|--a------|111449] - C:\Rab ne bana di jodi.srt
[17/06/2009 12:57|--ah-----|268] - C:\sqmdata00.sqm
[17/06/2009 15:14|--ah-----|268] - C:\sqmdata01.sqm
[04/12/2007 18:49|--ah-----|268] - C:\sqmdata02.sqm
[19/12/2007 19:19|--ah-----|268] - C:\sqmdata03.sqm
[02/01/2008 20:10|--ah-----|232] - C:\sqmdata04.sqm
[02/02/2008 21:03|--ah-----|232] - C:\sqmdata05.sqm
[02/05/2008 22:52|--ah-----|268] - C:\sqmdata06.sqm
[06/07/2008 23:23|--ah-----|304] - C:\sqmdata07.sqm
[19/08/2008 18:04|--ah-----|304] - C:\sqmdata08.sqm
[19/08/2008 18:06|--ah-----|304] - C:\sqmdata09.sqm
[17/09/2008 19:35|--ah-----|232] - C:\sqmdata10.sqm
[01/01/2009 19:16|--ah-----|232] - C:\sqmdata11.sqm
[01/01/2009 20:31|--ah-----|232] - C:\sqmdata12.sqm
[01/01/2009 20:58|--ah-----|232] - C:\sqmdata13.sqm
[01/01/2009 21:36|--ah-----|232] - C:\sqmdata14.sqm
[01/01/2009 23:05|--ah-----|232] - C:\sqmdata15.sqm
[08/06/2009 19:35|--ah-----|232] - C:\sqmdata16.sqm
[15/06/2009 12:39|--ah-----|268] - C:\sqmdata17.sqm
[16/06/2009 22:14|--ah-----|268] - C:\sqmdata18.sqm
[17/06/2009 10:37|--ah-----|268] - C:\sqmdata19.sqm
[17/06/2009 12:57|--ah-----|244] - C:\sqmnoopt00.sqm
[17/06/2009 15:14|--ah-----|244] - C:\sqmnoopt01.sqm
[04/12/2007 18:49|--ah-----|244] - C:\sqmnoopt02.sqm
[19/12/2007 19:19|--ah-----|244] - C:\sqmnoopt03.sqm
[02/01/2008 20:10|--ah-----|244] - C:\sqmnoopt04.sqm
[02/02/2008 21:03|--ah-----|244] - C:\sqmnoopt05.sqm
[02/05/2008 22:52|--ah-----|244] - C:\sqmnoopt06.sqm
[06/07/2008 23:23|--ah-----|244] - C:\sqmnoopt07.sqm
[19/08/2008 18:04|--ah-----|244] - C:\sqmnoopt08.sqm
[19/08/2008 18:06|--ah-----|244] - C:\sqmnoopt09.sqm
[17/09/2008 19:35|--ah-----|244] - C:\sqmnoopt10.sqm
[01/01/2009 19:16|--ah-----|244] - C:\sqmnoopt11.sqm
[01/01/2009 20:31|--ah-----|244] - C:\sqmnoopt12.sqm
[01/01/2009 20:58|--ah-----|244] - C:\sqmnoopt13.sqm
[01/01/2009 21:36|--ah-----|244] - C:\sqmnoopt14.sqm
[01/01/2009 23:05|--ah-----|244] - C:\sqmnoopt15.sqm
[08/06/2009 19:35|--ah-----|244] - C:\sqmnoopt16.sqm
[15/06/2009 12:39|--ah-----|244] - C:\sqmnoopt17.sqm
[16/06/2009 22:14|--ah-----|244] - C:\sqmnoopt18.sqm
[17/06/2009 10:37|--ah-----|244] - C:\sqmnoopt19.sqm
[17/06/2009 16:23|--a------|1840] - C:\TB.txt
[17/06/2009 16:17|--a------|343017] - C:\ToolBarSD(2).exe
[17/06/2009 16:21|--a------|343017] - C:\ToolBarSD(3).exe
[17/06/2009 15:18|--a------|343017] - C:\ToolBarSD.exe
[17/06/2009 17:04|--a------|717385] - C:\UsbFix.exe
[17/06/2009 17:21|--a------|6619] - C:\UsbFix.txt
[30/01/2009 16:00|--a------|16320472] - C:\vlc-0.9.8a-win32.exe
[16/06/2009 15:50|--ah-----|27208] - C:\_NavCClt.Log
[17/06/2009 17:19|--a------|1524] - F:\BOOTEX.LOG

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.032 ! ]
0
Réponse 48 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
oki ...

un nouveau scan RSIT maintenant ....

0
Réponse 49 / 112
missfat
 
que voici

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-17 17:36:42
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 6 GB (16%) free of 38 GB
Total RAM: 767 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:58, on 17/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Documents and Settings\Administrateur\Bureau\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*http://fr.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=PROXY.FORCLUM.FR:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 5B187DB-43C8-4AC7-AF7F-C93B79D21F1A} - (no file)
R3 - URLSearchHook: (no name) - F99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: sarpbho Class - {28457FA7-4AB0-4DE2-925F-8E49DB98A3FF} - c:\windows\system32\sarp.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.download-plus.com/fr/emule/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: logiciels - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.download-plus.com/fr/emule/default.asp?id=" (file missing)
O9 - Extra button: private access - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\private access (file missing)
O9 - Extra button: (no name) - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - (no file)
O9 - Extra button: logiciels - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\logiciels (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.webmp3musique.com/fr/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: musique - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.webmp3musique.com/fr/default.asp?id=" (file missing)
O9 - Extra button: musique - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\musique (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.morefreenudes.com/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: private access - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.morefreenudes.com/default.asp?id=" (file missing)
O16 - DPF: {44515AE5-25B3-46CF-833B-0D816C602868} - http://acceso.masminutos.com/downloads.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dom1s35.local
O17 - HKLM\Software\..\Telephony: DomainName = dom1s35.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dom1s35.local
O20 - AppInit_DLLs: c:\progra~1\Manson\liser.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
0
Réponse 50 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
blonde ou pas , tu t'en sorts bien ... ^^

mais il y a encore du travail ...


dans l'ordre ( ne saute pas d'etape , si tu bloques quelque part, stop tout et dis moi ):



1- Tu as des restes de Norton qu'il faut virer ! fais ceci :
souligne>Télécharge Norton removal tool sur ton bureau </souligne>:
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

Déconnecte toi .
Ensuite désinstalle Norton avec "Norton removal tool": tu double-cliques dessus et tu te laisses guider ... il faut le désinstaller correctement ( fais la manipe 2 fois si possible ).


========================

2- refais un coup de CCleaner ( registre compris ) .

========================

3- Vider le cache DNS :

* Utilise la commande "Exécuter" .
Va dans "Démarrer" >"tous les programmes" > "accessoires" > commande "Executer" .
Ou appuie simultanement sur la touche "Windows" et sur R > la boite de commande "Executer" va s´ouvrir...

-->là tu tapes : cmd et valide par "ok"

* Dans la fenêtre noir ( type DOS ) tape exactement ce-ci :

ipconfig /flushdns (bien mettre l'espace entre "ipconfig" et " / ").

-> valide en tapant sur [entrée] .

=====================

4- Ferme toutes tes applications ( navigateur compris ) et déconnecte toi .

Lance le prg Hijackthis, dans cette 1er fenètre click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :


O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dom1s35.local
O17 - HKLM\Software\..\Telephony: DomainName = dom1s35.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = dom1s35.local



Tu cliques en bas sur le bouton FIX CHECKED et valides .


=====================

5- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

* Double clique sur "OTM.exe" pour ouvrir le prg .

* Ensuite rend toi sur cette page > https://www.cjoint.com/?grr7BguX3m

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


=====================

6- refais un scan RSIT et poste le nouveau "log.txt" pour analyse et attends la suite ....


0
Réponse 51 / 112
missfat
 
j'ai essaye de désinstaller norton mais il me dit que je doit d'abord supprimer "norton antivirus corporate edition 7 or earlier" j'ai déja essayé de le supprimer ds le panneau de config mais il me demande le mot de pas de désinstallation je sais pas ce que c'est !!! ta une idée ??
0
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
absolument aucune !!!!

si c'est un PC du boulot , m'etonne pas que la désinstallation de l'ancien antivirus ( Norton ) soit protégé ! ... Il faudra que tu vois cela avec le responsable inforamatique de ta boite pour qu'il te file ce code ...

il faut absolument enlever ce Norton de m**de car il cré des confilts avec Antivir et du coup ton systeme est très vulnérable ! ...

tu me tiendras bien au courant sur cela ! .... Pour le moment on va essayer de continuer avec , en espèrant que cela ne nous mette pas trop de batons dans les roues ....



passe à la suite donc ....


0
Réponse 52 / 112
missfat
 
j'ai bien coller le texte ds le cadre de gauche puis j'ai appuyer sur move it et là le pc est resté bloque sur cette page (avec le sablier) pendant 1h (depuis ton dernier message) alors je l'ai éteint manuellement je sais pas si j'ai bien ?? qu'est ce que je fais ?
0
Réponse 53 / 112
missfat
 
sKe69 t'es encore là ???
si t'es tro occupé on peut remettre ça a plus tard (je ne voudrais pas abuser de ta gentillesse !)
0
Réponse 54 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
re,

alors je l'ai éteint manuellement je sais pas si j'ai bien ??


non ... mais bon ^^ c'est peut-être du à une autre infection que l'on traitera ensuite .

regarde si tu as eu un rapport de OTM , il se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).



Puis refais un scan RSIT et poste le nouveau "log.txt" obtenu pour analyse ...



0
Réponse 55 / 112
missfat
 
1ere bonne nouvelle je peux avoir accès à c: sans que le pc ne bloque
j'ai bien un dossier otm ds c:

voici le rapport RSTI

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-17 21:08:11
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 6 GB (16%) free of 38 GB
Total RAM: 767 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08:30, on 17/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Documents and Settings\Administrateur\Bureau\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ycomp/defaults/sb/*http://fr.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/defaults/sp/*https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=PROXY.FORCLUM.FR:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 5B187DB-43C8-4AC7-AF7F-C93B79D21F1A} - (no file)
R3 - URLSearchHook: (no name) - F99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.download-plus.com/fr/emule/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: logiciels - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.download-plus.com/fr/emule/default.asp?id=" (file missing)
O9 - Extra button: private access - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\private access (file missing)
O9 - Extra button: (no name) - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - (no file)
O9 - Extra button: logiciels - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\logiciels (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.webmp3musique.com/fr/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: musique - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.webmp3musique.com/fr/default.asp?id=" (file missing)
O9 - Extra button: musique - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\musique (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.morefreenudes.com/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: private access - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.morefreenudes.com/default.asp?id=" (file missing)
O16 - DPF: {44515AE5-25B3-46CF-833B-0D816C602868} - http://acceso.masminutos.com/downloads.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dom1s35.local
O17 - HKLM\Software\..\Telephony: DomainName = dom1s35.local
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
0
Réponse 56 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
re,

on va faire autrement ....


Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

- le renommage au téléchargement est primordial pour contrer le virus, sinon l'outil sera inutilisable -


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
--------------------------------------------------------------------------------------------


Ensuite :
double-clique sur "CFix.exe" ( = combofix.exe ) pour lancer l'outil .

-- Pour XP > laisse toi guider pour faire l'installe de la console de récupération . Reconnecte toi uniquement le temps de cette manipulation . une fois le console installée ,re-déconnecte toi avant de poursuivre --

Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses


Poste le rapport Combofix pour analyse ...




0
Réponse 57 / 112
missfat
 
oulala !! jusque là j'arrivais à suivre mais là ça devient plus difficile alors dis moi comment désactivé mes défense stp ( j'ai antivir, malwarebyte, a²)
0
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
oui cela ce corse quelque peut ^^


il faut que tu désactive antivir et le parefeu windows uniquement .

Antivir > clique droit sur l'icone de ce dernier présent dans la barre des taches / décoche "activer AntiVir Guard" .

pare-feu windows > vas dans "démarrer" / "panneau de configuration" / "pare-feu windwos" et désactive le .



ensuite tu peux enchainer la manipe ... ( renomme bien Combofix en CFix au téléchargement ^^ )

0
Réponse 58 / 112
missfat
 
voila le rapport combofix

ComboFix 09-06-16.05 - Administrateur 17/06/2009 22:12.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.767.388 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\cfix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\UACjahprbovqtstiaw.db
c:\windows\system32\UACnowxdnedixbfmle.dat
c:\windows\system\oeminfo.ini
c:\windows\system32\drivers\fad.sys
c:\windows\system32\SKYNETertpcqol.dll
c:\windows\system32\SKYNEThvkvyybf.dll
c:\windows\system32\SKYNETvujoegev.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SKYNETLYPWGKCB
-------\Legacy_UACD.SYS
-------\Service_AVPsys
-------\Service_SKYNETlypwgkcb
-------\Service_UACd.sys


((((((((((((((((((((((((((((( Fichiers créés du 2009-05-17 au 2009-06-17 ))))))))))))))))))))))))))))))))))))
.

2009-06-17 16:28 . 2009-06-17 16:28 -------- d-----w- C:\_OTM
2009-06-17 16:25 . 2009-06-17 16:25 389632 ----a-w- C:\OTM.exe
2009-06-17 16:02 . 2009-06-17 16:03 3063649 ----a-w- C:\Norton_Removal_Tool(2).exe
2009-06-17 15:05 . 2009-06-17 15:22 -------- d-----w- C:\UsbFix
2009-06-17 15:04 . 2009-06-17 15:04 717385 ----a-w- C:\UsbFix.exe
2009-06-17 14:21 . 2009-06-17 14:21 343017 ----a-w- C:\ToolBarSD(3).exe
2009-06-17 14:17 . 2009-06-17 14:23 -------- d-----w- C:\ToolBar SD
2009-06-17 14:17 . 2009-06-17 14:17 343017 ----a-w- C:\ToolBarSD(2).exe
2009-06-17 13:18 . 2009-06-17 13:18 343017 ----a-w- C:\ToolBarSD.exe
2009-06-16 17:38 . 2009-06-16 17:39 -------- d-----w- c:\documents and settings\Administrateur\Contacts
2009-06-16 17:35 . 2009-06-16 17:35 -------- d-sh--w- C:\found.000
2009-06-16 13:54 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-16 13:54 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-16 13:54 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-16 13:54 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-16 13:54 . 2009-06-16 13:54 -------- d-----w- c:\program files\Avira
2009-06-16 13:54 . 2009-06-16 13:54 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-06-16 13:48 . 2009-06-16 13:49 30143928 ----a-w- C:\avira_antivir_personal_fr.exe
2009-06-16 13:35 . 2009-06-16 13:37 3063649 ----a-w- C:\Norton_Removal_Tool.exe
2009-06-15 19:07 . 2009-06-15 19:07 -------- d-----w- C:\Avast
2009-06-15 11:26 . 2009-06-15 11:26 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-06-15 11:26 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-15 11:26 . 2009-06-15 11:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-06-15 11:26 . 2009-06-15 11:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-06-15 11:26 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-15 10:13 . 2009-06-15 10:14 -------- d-----w- C:\rsit
2009-06-14 21:02 . 2009-06-14 21:02 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Google
2009-06-14 20:02 . 2009-06-16 14:25 -------- d-----w- c:\program files\a-squared Free
2009-06-14 20:01 . 2009-06-14 20:02 53540608 ----a-w- C:\a2FreeSetup.exe
2009-06-14 18:47 . 2009-06-14 18:47 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Ahead
2009-06-14 18:40 . 2009-06-14 18:40 3371384 ----a-w- C:\mbam-setup.exe
2009-06-14 16:21 . 2009-06-14 16:21 50968 ----a-w- c:\windows\system32\avgfwdx.dll
2009-06-14 16:21 . 2009-06-14 16:21 29208 ----a-w- c:\windows\system32\drivers\avgfwdx.sys
2009-06-14 16:21 . 2009-06-14 16:21 -------- d-----w- c:\program files\AVG
2009-06-14 16:21 . 2009-06-14 16:21 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8
2009-06-14 15:49 . 2009-06-14 15:49 -------- d-----w- c:\program files\microsoft frontpage
2009-06-14 15:29 . 2009-06-14 15:29 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
2009-06-14 14:58 . 2009-06-14 14:58 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller
2009-06-13 21:34 . 2009-06-13 21:34 -------- dc----w- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-06-13 19:20 . 2009-06-13 21:11 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-06-13 17:59 . 2009-06-15 09:11 -------- d-----w- c:\documents and settings\All Users\Application Data\95320616
2009-06-13 17:59 . 2009-06-15 09:11 -------- d-----w- c:\documents and settings\All Users\Application Data\15310624
2009-06-12 21:30 . 2009-06-16 12:21 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-06-12 21:07 . 2009-06-15 21:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-06-12 20:08 . 2009-06-12 20:08 -------- d-----w- c:\program files\CCleaner
2009-06-12 20:07 . 2009-06-12 20:07 3247736 ----a-w- C:\ccsetup220.exe
2009-06-12 18:59 . 2009-06-12 18:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-16 17:00 . 2009-03-17 13:51 -------- d-----w- c:\program files\Yahoo!
2009-06-15 21:43 . 2007-09-29 11:42 -------- d-----w- c:\program files\Google
2009-06-15 09:11 . 2008-07-26 20:31 -------- d-----w- c:\program files\Alalbany.net
2009-06-14 21:01 . 2006-09-07 06:46 3268 ----a-w- c:\windows\system32\d3d9caps.dat
2009-06-14 14:57 . 2002-11-02 15:29 79964 ----a-w- c:\windows\system32\perfc00C.dat
2009-06-14 14:57 . 2002-11-02 15:29 480654 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-12 19:11 . 2003-10-27 14:59 66856 -c--a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-08 17:09 . 2009-05-04 14:57 2496 ----a-w- c:\windows\system32\d3d8caps.dat
2009-05-16 08:32 . 2003-10-27 09:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\MSN6
2009-05-16 08:15 . 2009-05-16 08:15 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Yahoo!
2009-05-07 16:19 . 2009-05-07 14:27 -------- d-----w- c:\program files\Veoh Networks
2009-05-04 13:52 . 2009-05-04 13:52 1878888 ----a-w- C:\install_flash_player.exe
2009-04-21 17:36 . 2009-04-21 17:36 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-04-21 17:36 . 2009-04-21 17:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
2009-03-24 21:21 . 2009-03-24 21:21 188416 ----a-w- C:\calcul.exe
2007-12-27 18:26 . 2007-12-27 18:26 25839688 -c--a-w- c:\program files\wmp11-windowsxp-x86-FR-FR.exe
2007-11-27 17:07 . 2007-11-27 17:07 267240 -c--a-w- c:\program files\clearprog_clearprog.exe
2006-12-05 12:19 . 2006-12-05 12:19 680 -c--a-w- c:\program files\mpc2.reg
2006-12-05 12:19 . 2006-12-05 12:19 596 -c--a-w- c:\program files\mpc1.reg
2006-12-05 12:19 . 2006-12-05 12:19 4242 -c--a-w- c:\program files\mpc4.reg
2006-12-05 12:19 . 2006-12-05 12:19 4002 -c--a-w- c:\program files\ffdssetts.reg
2006-12-05 12:19 . 2006-12-05 12:19 3436 -c--a-w- c:\program files\mpc7.reg
2006-12-05 12:19 . 2006-12-05 12:19 32754 -c--a-w- c:\program files\ffdsvsetts.reg
2006-12-05 12:19 . 2006-12-05 12:19 2910 -c--a-w- c:\program files\mpc3.reg
2006-12-05 12:19 . 2006-12-05 12:19 16218 -c--a-w- c:\program files\mpc5.reg
2006-12-05 12:19 . 2006-12-05 12:19 1612 -c--a-w- c:\program files\ffdsasetts.reg
2006-12-05 12:19 . 2006-12-05 12:19 15378 -c--a-w- c:\program files\mpc6.reg
2006-06-26 12:21 . 2006-12-05 12:19 3931 -c--a-w- c:\program files\satsukidecodersettings.ini
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-02-13 185896]
"Matrox Powerdesk"="c:\windows\System32\PDesk\PDesk.exe" [2001-09-21 622592]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-09-01 282624]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [16/06/2009 15:54 108289]
R2 eusk2par;EUTRON SmartKey Parallel Driver;c:\windows\system32\drivers\eusk2par.sys [14/10/2004 15:21 16695]
R3 CIF USB CAMERA Service;CIF USB CAMERA;c:\windows\system32\drivers\pfc027.sys [18/10/2007 11:29 112380]
S3 Avgfwdx;Avgfwdx;c:\windows\system32\drivers\avgfwdx.sys [14/06/2009 18:21 29208]
S3 Avgfwfd;AVG network filter service;c:\windows\system32\drivers\avgfwdx.sys [14/06/2009 18:21 29208]
S3 UtilNT;UtilNT;c:\windows\system32\drivers\utilnt.sys [24/10/2003 15:57 5533]
.
Contenu du dossier 'Tâches planifiées'

2009-06-17 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
.
------- Examen supplémentaire -------
.
mSearchMigratedDefaultURL = 687474703a2f2f7777772e676f6f676c652e636f6d2f
mWindow Title =
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe"
uInternet Settings,ProxyServer = http=PROXY.FORCLUM.FR:8080
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.download-plus.com/fr/emule/default.asp?id="
IE: {{2B44FD33-B048-4B2B-88D5-4B80AB018F29} - c:\windows\system32\private access
IE: {{76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0}
IE: {{810B72CB-566A-409B-B6A3-31F720C16FAE} - c:\windows\system32\logiciels
IE: {{A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.webmp3musique.com/fr/default.asp?id="
IE: {{F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - c:\windows\system32\musique
IE: {{FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.morefreenudes.com/default.asp?id="
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {44515AE5-25B3-46CF-833B-0D816C602868} - hxxp://acceso.masminutos.com/downloads.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\d3gbv8gz.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr
FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npqtplugin8.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-17 22:18
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(456)
c:\windows\System32\NavLogon.dll

- - - - - - - > 'explorer.exe'(3804)
c:\windows\system32\msi.dll
c:\windows\System32\PDesk\PDKERNEL.DLL
c:\windows\system32\PDesk\PDTOOLS.DLL
c:\windows\system32\PDesk\PDRESFRE.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\a-squared Free\a2service.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\NavNT\rtvscan.exe
.
**************************************************************************
.
Heure de fin: 2009-06-17 22:22 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-17 20:22

Avant-CF: 6 500 384 768 octets libres
Après-CF: 6 412 922 880 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /noexecute=optin

199 --- E O F --- 2008-12-09 22:13
0
Réponse 59 / 112
sKe69 Messages postés 21360 Date d'inscription   Statut Contributeur sécurité Dernière intervention   463
 
impec ... tu t'en est bien sorti ... ;)


refais un scan RSIT et poste le nouveau "log.txt" obtenu stp ...


0
Réponse 60 / 112
missfat
 
tu m'explique bien et tu es patient alors ça va
c'est normal que lorsque je lance RSIT antivir me met le m^me message que je te disait tout à l'heure ( à propos du cheval de troie TR/Dropper.Gen)

voici le rapport

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-06-17 22:41:22
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 6 GB (16%) free of 38 GB
Total RAM: 767 MB (53% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:55, on 17/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\NavNT\rtvscan.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Documents and Settings\Administrateur\Bureau\Administrateur.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=PROXY.FORCLUM.FR:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - 5B187DB-43C8-4AC7-AF7F-C93B79D21F1A} - (no file)
R3 - URLSearchHook: (no name) - F99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: (no name) - EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.download-plus.com/fr/emule/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: logiciels - {16930DCA-0910-4C00-86FF-0C73872D4ABA} - javascript:window.location.href="http://www.download-plus.com/fr/emule/default.asp?id=" (file missing)
O9 - Extra button: private access - {2B44FD33-B048-4B2B-88D5-4B80AB018F29} - C:\WINDOWS\system32\private access (file missing)
O9 - Extra button: (no name) - {76DD9E77-F06C-4471-AB6C-CF03C5C6B5B0} - (no file)
O9 - Extra button: logiciels - {810B72CB-566A-409B-B6A3-31F720C16FAE} - C:\WINDOWS\system32\logiciels (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.webmp3musique.com/fr/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: musique - {A2199168-22AC-44A3-BA5F-8A83E693FEBF} - javascript:window.location.href="http://www.webmp3musique.com/fr/default.asp?id=" (file missing)
O9 - Extra button: musique - {F4445FEB-6D20-47CB-9ACF-9D142A7F680A} - C:\WINDOWS\system32\musique (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.morefreenudes.com/default.asp?id=" (file missing)
O9 - Extra 'Tools' menuitem: private access - {FF55FC7B-F2EB-4F50-9409-2F726DD0E112} - javascript:window.location.href="http://www.morefreenudes.com/default.asp?id=" (file missing)
O16 - DPF: {44515AE5-25B3-46CF-833B-0D816C602868} - http://acceso.masminutos.com/downloads.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dom1s35.local
O17 - HKLM\Software\..\Telephony: DomainName = dom1s35.local
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
message de postmaster incessant !
wasap -
wasap -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses