Sujet Précédent Sujet Suivant

Pc infecté besoin d'aide d'urgence

Lalouli999 -  
 Utilisateur anonyme -
Bonjour, à toutes et tous.
Je commence de A à Z je pense que sa vaut mieux... Voilà... j'ai la derniere mise à jour d'Avast. Il y a 6 mois environ j'ai etait infecté par le virus Win32:Trojan-gen {Other} il apparaisser et disparaisser Avast le detecter (je pense à chaque fois) Mais comment je peux savoir si je l'ai encore ou pas? Car j'ai l'impression que mon Avast pare en Cacahouete :s! il n'y as pas longtemps avast me disait qu'un logiciel malveillant etait actif ou je ne sais quoi donc il me demander de le supprimer et de redemarrer l'ordinateur pour le scan complet il ne trouver rien dc j'attendait 1h30 pour rien! et a chaque redemarrage c'est la mm histoire
Issu du journal: (D:\Documents and Settings\Lalouli\Local Settings\Temporary Internet Files\Content.IE5\2698E458\g358[1].mp4 [L] Win32:Trojan-gen {Other} (0)
Fichier supprimé avec succès...
D:\WINDOWS\system32\ti002 [L] Win32:Trojan-gen {Other} (0)
Fichier supprimé avec succès...
D:\Documents and Settings\Lalouli\Local Settings\Temporary Internet Files\Content.IE5\WCEKJ4OU\d382[1].mp4 [L] Win32:Adware-gen [Adw] (0)
Fichier supprimé avec succès...
D:\WINDOWS\system32\ti002 [L] Win32:Adware-gen [Adw] (0)
Fichier supprimé avec succès...)

et aujourd'hui j'ai eu sa:

Tâche utilisée 'Protection résidente'
* Débuté le samedi 20 juin 2009 12:23:17
* VPS : 090601-0, 01/06/2009
C:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
D:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
H:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
C:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
D:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
H:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
C:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
D:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
H:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
C:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
D:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
H:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
C:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...
D:\sm.exe [L] Win32:Rootkit-gen [Rtk] (0)
Fichier supprimé avec succès...

Et les sequelles de tout sa c'est que je ne peux plus atteindre mes fichiers cachés et pour acceder a mes disque dur interne ou externe je doit faire clic droit Explorer car avec le clic gauche il me demande avec quel logiciel je veux lancer l'excution de mon disque. Quelqu'un pourrais m'aider a resoudre tout sa car j'ignore si mes virus sont encore la ou non, j'aimerai relancer mes disque dur normalement bref je veux eviter un formatage de tous ses disques.

une derniere question: C'est virus on les trouve ou? que j'evite de les rechoper.

Je vous remerci d'avance de votre aide car la je l'avou j'en ai enormement besoin.

ps: J'ai besoin de mon pc et eviter le formatage je suis infographiste et totalement novice en ce qui concerne virus logiciel et tout sa.

MERCI!!!!
A voir également:

19 réponses

Réponse 1 / 19
Utilisateur anonyme
 
Bonjour

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix détecte quelque chose et de demande a redémmarer tu accepte
0
bab
 
bonjour
en lisant tes conseils j ai testé pour éliminer un virus cheval de troie et bien nickel il a été suprimer du coup merci pour tes explications qui sont faciles a comprendre et a appliquer MERCI !!!!!! si tu peux me conseiller pour changer d antivirus qui est avast je suis preneuse ...
0
Lalouli
 
Bonjour, J'ai une nouvelle question a propo de Combofix es ce qu'il marche avec vista, car j'ai de nouveau j'ai le mm probleme mais un pc sous vista. Dc pourrait t'il etre aussi efficace qu'avec XP ou il n'y as pas de comtabilitée? Merci de me repondre.
0
Utilisateur anonyme > Lalouli
 
Bonjour ou Bonsoir..

Presque 2 mois sans nouvelles.
On reprend depuis le début.
Explique ton problème.
Merci

@+
0
Lalouli > Utilisateur anonyme
 
Bonjour,

Désoler j'etait en vacances, je te remercit de ton aide pour mon pc il vas beaucoup mieu et tout marche bcp mieu et je n'ai plus un seul probleme avec. Mais voilà j'ai encore deux trois questions a poser. Voilà le rpemier "probleme" c'est pas moi mais ma couzine, voilà elle as un pc portable sous vista familial basic, et un disque dur externe, depuis quelque jours son ordinateur le detecte mais ne l'affiche pas (donc imposible pour elle de s'en servir). et je me demander si avec un coup de combofix sa pourrai réaparraitre? et j'ai egalement un pc portable sous vista familiale premimum aurai tu un bon anti virus a me conseiller ou avira passe aussi?
0
Utilisateur anonyme > Lalouli
 
Bonjour

Pour ton PC sous Vista ; antivir est compatible.
Concernant le PC de ta cousine;propose lui d'exposer elle même son problème sur ce forum.
N'utilise pas comboFix.

@+
0
Réponse 2 / 19
Utilisateur anonyme
 
Bonsoir

déjà avast n'est pas une référence en matière d'antivirus. Si tu veux mettre ta machine en panne il n'y a pas mieux, du fait qu'il détecte des virus qui n'existent pas (faux positifs) et de plus ne détecte pas certains virus, qui eux, sont dangereux. Ce qui amène à supprimer des fichiers système soit disant infectés.

Le mieux à faire étant encore de désinstaller Avast en suivant cette méthode > https://www.avast.com/fr-fr/uninstall-utility

et en installant Avira Antivir gratuit et en français > https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

Au moins tu auras un antivirus efficace et qui se trompe moins que avast.

Surtout avec les virus dont le nom se termine par -gen et qui ça se trouve sont des faux positifs
0
Réponse 3 / 19
Lalouli999
 
Pour repondre a Guillaume5188 voici le rapport (c'est long):

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(676)
d:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2076)
d:\windows\system32\SHDOCVW.dll
d:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
d:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.dll
d:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
d:\windows\system32\ntshrui.dll
d:\windows\system32\NETSHELL.dll
d:\windows\system32\credui.dll
d:\windows\system32\eappprxy.dll
d:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
d:\windows\system32\ati2evxx.exe
d:\windows\system32\ati2evxx.exe
d:\program files\Alwil Software\Avast4\aswUpdSv.exe
d:\program files\Alwil Software\Avast4\ashServ.exe
d:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
d:\program files\Bonjour\mDNSResponder.exe
d:\program files\Java\jre6\bin\jqs.exe
d:\program files\Alwil Software\Avast4\ashMaiSv.exe
d:\program files\Alwil Software\Avast4\ashWebSv.exe
d:\program files\PC Connectivity Solution\ServiceLayer.exe
d:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
d:\program files\iPod\bin\iPodService.exe
d:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Heure de fin: 2009-06-20 20:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-06-20 19:37

Avant-CF: 14 519 058 432 octets libres
Après-CF: 14 914 441 216 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4
222 --- E O F --- 2009-06-14 17:04

et pour repondre a RClog jte remercie et je me met toute suite a la desinstallation d'avast (je ne pensé pas qu'avast etait si mauvais surtout kon me dit que de bonne chose dessus)
0
Utilisateur anonyme
 
Re

Il manque une bonne partie de ton rapport...
0
Réponse 4 / 19
Lalouli999
 
ha j'ai peut-etre mal fait mon copier coller s'endoute, quoiqu'il en soit je l'ai relancer une seconde fois vois (cette fois je pense qu'il y as tout)

ComboFix 09-06-19.01 - La Mort 20/06/2009 21:07.2 - NTFSx86
Lancé depuis: d:\documents and settings\La Mort\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-05-20 au 2009-06-20 ))))))))))))))))))))))))))))))))))))
.

2009-06-20 20:01 . 2009-06-20 20:01 -------- d-----w- d:\windows\LastGood
2009-06-20 20:01 . 2009-03-30 09:32 96104 ----a-w- d:\windows\system32\drivers\avipbb.sys
2009-06-20 20:01 . 2009-03-24 15:07 55640 ----a-w- d:\windows\system32\drivers\avgntflt.sys
2009-06-20 20:01 . 2009-02-13 11:28 22360 ----a-w- d:\windows\system32\drivers\avgntmgr.sys
2009-06-20 20:01 . 2009-02-13 11:17 45416 ----a-w- d:\windows\system32\drivers\avgntdd.sys
2009-06-20 20:01 . 2009-06-20 20:01 -------- d-----w- d:\program files\Avira
2009-06-20 20:01 . 2009-06-20 20:01 -------- d-----w- d:\documents and settings\All Users\Application Data\Avira
2009-06-16 17:40 . 2009-06-16 17:40 -------- d-----w- d:\program files\Veoh Networks
2009-06-15 00:54 . 2009-06-15 01:35 -------- d-----w- d:\program files\Electronic Arts
2009-06-14 17:03 . 2009-06-14 17:03 -------- d-----w- d:\windows\ie8updates
2009-06-14 13:27 . 2009-04-30 21:16 12800 -c----w- d:\windows\system32\dllcache\xpshims.dll
2009-06-14 13:27 . 2009-04-30 21:16 246272 -c----w- d:\windows\system32\dllcache\ieproxy.dll
2009-06-13 00:58 . 2009-06-13 00:59 -------- d-----w- d:\documents and settings\La Mort\Cfg
2009-06-13 00:58 . 2009-06-13 00:58 -------- d-----w- d:\documents and settings\La Mort\Saves
2009-06-13 00:57 . 2009-06-13 12:24 43520 ----a-w- d:\windows\system32\CmdLineExt03.dll
2009-06-05 20:25 . 2009-06-15 01:36 -------- d-----w- d:\documents and settings\All Users\Application Data\Electronic Arts
2009-06-05 20:25 . 2009-06-05 20:25 -------- d-----w- D:\ProgramData
2009-06-05 20:24 . 2009-06-05 20:24 10134 ----a-r- d:\documents and settings\La Mort\Application Data\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
2009-06-05 20:24 . 2009-06-05 20:24 -------- d-----w- d:\program files\Microsoft WSE
2009-06-05 20:23 . 2006-09-28 15:05 2414360 ----a-w- d:\windows\system32\d3dx9_31.dll
2009-06-05 20:23 . 2009-06-05 20:23 -------- d-----w- d:\windows\Logs
2009-05-31 10:52 . 2009-05-31 10:52 -------- d-----w- d:\documents and settings\NetworkService\Local Settings\Application Data\Google
2009-05-30 12:07 . 2009-05-30 12:07 -------- d-sh--w- d:\documents and settings\LocalService\IETldCache
2009-05-30 11:13 . 2009-05-30 11:13 -------- d-----w- d:\documents and settings\LocalService\Local Settings\Application Data\Google
2009-05-30 11:13 . 2009-05-30 11:13 -------- d-----w- d:\program files\Fichiers communs\DivX Shared
2009-05-22 17:32 . 2009-05-23 20:53 -------- d-----w- d:\documents and settings\La Mort\Local Settings\Application Data\Nego

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-18 23:37 . 2007-01-18 06:25 -------- d-----w- d:\program files\EA GAMES
2009-06-16 17:41 . 2009-04-10 18:06 -------- d--h--w- d:\program files\InstallShield Installation Information
2009-06-16 17:41 . 2009-05-10 02:21 -------- d-----w- d:\program files\Yahoo!
2009-06-11 23:46 . 2007-01-17 17:57 -------- d-----w- d:\program files\Google
2009-06-09 13:41 . 2008-11-13 17:48 -------- d-----w- d:\program files\Windows Live Safety Center
2009-06-08 20:17 . 2007-12-08 20:19 -------- d-----w- d:\documents and settings\La Mort\Application Data\Nokia
2009-06-08 20:13 . 2007-12-08 20:18 -------- d-----w- d:\documents and settings\La Mort\Application Data\PC Suite
2009-05-31 19:37 . 2009-01-18 09:09 -------- d-----w- d:\program files\Vuze
2009-05-30 11:13 . 2007-12-21 22:45 -------- d-----w- d:\program files\DivX
2009-05-29 06:19 . 2007-12-18 21:27 -------- d-----w- d:\documents and settings\La Mort\Application Data\Azureus
2009-05-17 22:14 . 2007-11-26 20:42 189616 -c--a-w- d:\documents and settings\La Mort\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-17 20:05 . 2009-05-17 20:05 -------- d-----w- d:\program files\MSECache
2009-05-13 05:04 . 2004-08-05 12:00 915456 ----a-w- d:\windows\system32\wininet.dll
2009-05-07 15:33 . 2004-08-05 12:00 348672 ----a-w- d:\windows\system32\localspl.dll
2009-04-24 15:07 . 2009-04-24 14:58 -------- d-----w- d:\documents and settings\La Mort\Application Data\LimeWire
2009-04-19 19:50 . 2004-08-05 12:00 1847296 ----a-w- d:\windows\system32\win32k.sys
2009-04-15 14:53 . 2004-08-05 12:00 585216 ----a-w- d:\windows\system32\rpcrt4.dll
2009-04-12 23:52 . 2009-04-12 23:52 0 -c--a-w- d:\windows\DXT1B.tmp
2009-04-12 23:52 . 2009-04-12 23:52 0 -c--a-w- d:\windows\DXT1A.tmp
2009-04-12 23:52 . 2009-04-12 23:52 0 -c--a-w- d:\windows\DXT19.tmp
2009-04-12 23:52 . 2009-04-12 23:52 0 -c--a-w- d:\windows\DXT18.tmp
2009-04-12 23:52 . 2009-04-12 23:52 0 -c--a-w- d:\windows\DXT17.tmp
2009-04-12 23:52 . 2009-04-12 23:52 0 -c--a-w- d:\windows\DXT16.tmp
2009-04-12 23:52 . 2009-04-12 23:52 0 -c--a-w- d:\windows\DXT15.tmp
2009-04-08 18:33 . 2009-04-08 18:33 4096 -c--a-w- d:\windows\system32\drivers\nocashio.sys
2008-06-19 12:42 . 2008-06-19 12:42 1634025 -csh--w- d:\windows\system32\kbpbvgwg.tmp
.

------- Sigcheck -------

[-] 2008-04-14 02:34 979968 3EFE912DD25D2586E6A0341DB0A66F69 d:\windows\explorer.exe
[-] 2007-06-13 13:10 1037312 B795475444D6D57A572C14B9E1A29839 d:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[-] 2007-06-13 13:22 1037312 D0288319660EDCFED07C7E74C4EA38A5 d:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2004-08-05 12:00 978432 9F3B76C8CF787449A47F05ABAB4E13E6 d:\windows\$NtUninstallKB938828$\explorer.exe
[-] 2008-04-14 02:34 979968 3EFE912DD25D2586E6A0341DB0A66F69 d:\windows\ServicePackFiles\i386\explorer.exe
.
((((((((((((((((((((((((((((( SnapShot@2009-06-20_19.34.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-07 01:19 . 2007-11-07 01:19 54272 d:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 62976 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 46080 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 46592 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 64512 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 66048 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 65024 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 65024 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 56832 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 66560 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 39936 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 38912 d:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 05:07 . 2008-07-29 05:07 59904 d:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
+ 2008-07-29 05:07 . 2008-07-29 05:07 59904 d:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
+ 2009-06-20 19:51 . 2009-06-20 19:51 16384 d:\windows\Temp\Perflib_Perfdata_758.dat
+ 2009-06-20 20:01 . 2009-02-13 11:49 28376 d:\windows\system32\drivers\ssmdrv.sys
+ 2008-07-29 07:05 . 2008-07-29 07:05 655872 d:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 572928 d:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
+ 2008-07-29 02:54 . 2008-07-29 02:54 225280 d:\windows\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 161784 d:\windows\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 3783672 d:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
+ 2008-07-29 07:05 . 2008-07-29 07:05 3768312 d:\windows\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="d:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SpybotSD TeaTimer"="d:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"EA Core"="d:\program files\Electronic Arts\EADM\Core.exe" [2009-03-28 3325952]
"Veoh"="d:\program files\Veoh Networks\Veoh\VeohClient.exe" [2008-03-24 3587120]
"PC Suite Tray"="d:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-11-09 688128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools-1033"="d:\program files\D-Tools\daemon.exe" [2003-12-27 81920]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="d:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"iTunesHelper"="d:\program files\iTunes\iTunesHelper.exe" [2007-07-10 270648]
"PWRISOVM.EXE"="d:\program files\PowerISO\PWRISOVM.EXE" [2008-07-07 167936]
"SunJavaUpdateSched"="d:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" - d:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" - d:\windows\RTHDCPL.EXE [2006-01-11 15961088]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"NSSInstallation"="d:\windows\system32\Adobe\Shockwave 11\nssstub.exe" [2009-02-21 181624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"Nokia.PCSync"="d:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336]

d:\documents and settings\La Mort\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma.lnk - d:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
RocketDock.lnk - d:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]
TransBar.lnk - d:\windows\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe [2005-6-1 65536]
UberIcon.lnk - d:\windows\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe [2006-5-21 180224]
Y'z Shadow.lnk - d:\windows\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe [2006-5-21 155648]

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - d:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"d:\\Program Files\\MSN Messenger\\livecall.exe"=
"d:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=
"d:\\WINDOWS\\system32\\dpnsvr.exe"=
"d:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=

R3 ASNDIS5;ASNDIS5 Protocol Driver;d:\windows\system32\ASNDIS5.SYS [2002-09-09 16269]
S0 d344bus;d344bus;d:\windows\system32\DRIVERS\d344bus.sys [2003-12-27 137216]
S0 d344prt;d344prt;d:\windows\System32\Drivers\d344prt.sys [2003-12-27 5248]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;d:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-01 108289]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ANTIVIRSCHEDULERSERVICE
*NewlyCreated* - ANTIVIRSERVICE
*NewlyCreated* - AVGIO
*NewlyCreated* - AVGNTFLT
*NewlyCreated* - AVIPBB

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"d:\windows\system32\rundll32.exe" "d:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-06-13 d:\windows\Tasks\AppleSoftwareUpdate.job
- d:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2009-06-20 d:\windows\Tasks\NSSstub.job
- d:\windows\system32\Adobe\Shockwave 11\nssstub.exe [2009-02-21 22:02]

2009-06-20 d:\windows\Tasks\User_Feed_Synchronization-{C65ECB27-1C4A-432A-A90E-71DEFC112A2D}.job
- d:\windows\system32\msfeedssync.exe [2007-08-13 03:31]

2009-06-20 d:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
- d:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{C1550BAE-5FC8-4A1F-A1EA-5F8A21D1748F} - (no file)

.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GFRD
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://fr.yahoo.com
uInternet Connection Wizard,ShellNext = hxxp://lamort.skyblog.com
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
DPF: Microsoft XML Parser for Java - file:///D:/WINDOWS/Java/classes/xmldso.cab
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-20 21:10
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(668)
d:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-06-20 21:12
ComboFix-quarantined-files.txt 2009-06-20 20:12
ComboFix2.txt 2009-06-20 19:37

Avant-CF: 14 826 807 296 octets libres
Après-CF: 14 850 523 136 octets libres

197 --- E O F --- 2009-06-14 17:04
que doit je faire maintenant?

J'ai egalement une question pour Antivir comment je lance une analyse totale de tous mes disques durs? et ai je besoin de le lancer aussi souvent qu'avast ou pas besoin? (c'est à dire tout les mois)
0
Utilisateur anonyme
 
Re

Pour répondre a ta question : Un seul antivirus par PC (risque de conflit voir de plantage)

Pour désinstaller Avast:
http://files.avast.com/files/eng/aswclear.exe


Fait ceci:
Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) : http://www.geekstogo.com/forum/files/file/6-smitfraudfix/

- Enregistres-le sur le bureau

- Clic droit(exécuter en tant que administrateur) sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.


NB: SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Lalouli999
 
Le Rapport a quoi as t'il servit? comme on me la conseillé j'ai mis comme anti virus ANTIVIR mais le quel es le mieu celui ci ou celui que tu me conseil? et le language informatique, je ne le comprend pas donc: "Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31)" "SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. "
Je ne comprend pas très bien désoler.
0
Utilisateur anonyme
 
Re

Le "mieux" pour moi est Antivir.

Ensuite le précédent rapport m'a permis de voir si effectivement tu étais victime de rootkits.

Enfin pour le dernier souci;cet outil utilise une technique utilisé par les virus donc c'est pour cela que l'on prévient qu'il n'y a aucuns risques.

Passe à la suite stp merci
0
Réponse 6 / 19
Lalouli999
 
rootkits? qu'es ce que c'est au juste?

Et comment sa passer a la suite?

entout cas merci pour ton aide. Pour le moment tous remarche comme il faut, mais fichier cachés réaparaissent et je n'est plus la demande de quel programme je doit lancer si je veux rentré dans mon disque dur, il s'ouvre automatiquement.
0
Utilisateur anonyme
 
Re

Relis ce post stp merci:
http://www.commentcamarche.net/forum/affich 12974614 pc infecte besoin d aide d urgence?#6

0
Réponse 7 / 19
Lalouli999
 
Désoler j'avais mal lu, j'ai activer QmitfraudFix... mais j'ignore si je doit lancer: recherche, nettoyage (mode sans echec recommandé (si c'est celui la comment me mettre en mode sans echec?)), effacer les mises à jours, rechercher et suppression de détournement DNS ou desactiver Proxy. Le quel doit je lancer?
0
Utilisateur anonyme
 
Re

On recommence depuis le début...

Smithfraud étant téléchargé
- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

NB: SmitFraudFix utilise process.exe qui est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+
0
Réponse 8 / 19
Lalouli999
 
SmitFraudFix v2.422

Rapport fait à 22:11:42,68, 20/06/2009
Executé à partir de D:\Documents and Settings\La Mort\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» D:\

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\La Mort

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\LAMORT~1\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\La Mort\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\LAMORT~1\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» D:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="D:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

voila. Alors?
0
Utilisateur anonyme
 
Re

Rien pour smithfraud.
As tu désinstallé un des antivirus?
Lance un scan complet avec celui que tu as gardé
Merci

PS:poste moi le rapport stp

@+
0
Réponse 9 / 19
Lalouli999
 
J'ai désinstallé Avast, et j'ai mis Antivir. J'ai lancé ses mises à jours, et configuré pour qu'il scan tout les disques. Il est lancé et en est à environ 35% de l'analyse. D'accord je posterai le rapport. Merci bcp.
0
Utilisateur anonyme
 
Re

Ok merci
Je patiente
0
Réponse 10 / 19
Lalouli999
 
Désoler c'etait long. alors voilà le rapport:

Lors de la recherche, des virus ou programmes indésirables ont été trouvés!
Sélectionnez l'action/les actions à exécuter.
Objet Résultat Positif
A0294802.sys TR/PSW.Magania.bfsm
A0295817.dll TR/Crypt.XPAC.Gen
A0295877.dll TR/Crypt.XPAC.Gen
A0295889.dll TR/Crypt.XPAC.Gen
A0295926.dll TR/Crypt.XPAC.Gen
A0297569.dll TR/Crypt.XPAC.Gen
A0297583.dll TR/Crypt.XPAC.Gen
A0297601.dll TR/Crypt.XPAC.Gen
A0297732.dll TR/BHO.urk
A0297733.dll TR/Crypt.XPAC.Gen
A0298017.dll TR/Agent.59904.B
A0298018.dll WORM/Autorun.cxl
A0298019.dll DR/Gastor.3102.1
A0298020.dll TR/Agent.160570.A
Reboot.exe SPR/Tool.Reboot.F
SmitfraudFixe.exe SPR/Tool.Hardoff.A
Stuffplug 2.2.397.exe HEUR/HTML.Malware
kdpini.dll.vir TR/BHO.urk
nmdfgds0.dll.vir TR/Crypt.XPAC.Gen
pac.txt.vir TR/Dldr.VB.VPG
restart.exe SPR/Tool.Hardoff.A
talker.emo.js HEUR/HTML.Malware
talker.emot.js HEUR/HTML.Malware

Fichiers controlés: 424874
epertoires controlés: 13153
Archives controlées: 5095
Temps nécessaire: 1:36:32
Controlés jusqu'ici: 100%
Résultats positifs: 21
Fichiers suspects: 4
Avertissements: 2
Supprimés: 0
Déplacés: 23

A la fin du scan j'ai mis tout réparé mais j'aimerai suprimé ces virus, comment faire pour les supprimer?
0
Réponse 11 / 19
Lalouli999
 
Dsl celui la est plus clair:
Avira AntiVir Personal
Date de création du fichier de rapport : samedi 20 juin 2009 22:17

La recherche porte sur 1479393 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : AGN-DF6D67EC365

Informations de version :
BUILD.DAT : 9.0.0.65 17959 Bytes 22/04/2009 12:06:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 13:20:54
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 12:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 20:33:26
ANTIVIR2.VDF : 7.1.4.87 2982912 Bytes 12/06/2009 21:15:28
ANTIVIR3.VDF : 7.1.4.118 227328 Bytes 20/06/2009 21:15:30
Version du moteur : 8.2.0.193
AEVDF.DLL : 8.1.1.1 106868 Bytes 20/06/2009 21:15:50
AESCRIPT.DLL : 8.1.2.9 409978 Bytes 20/06/2009 21:15:49
AESCN.DLL : 8.1.2.3 127347 Bytes 20/06/2009 21:15:47
AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 18:24:41
AEPACK.DLL : 8.1.3.18 401783 Bytes 20/06/2009 21:15:44
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 20/06/2009 21:15:42
AEHEUR.DLL : 8.1.0.133 1798520 Bytes 20/06/2009 21:15:41
AEHELP.DLL : 8.1.3.6 205174 Bytes 20/06/2009 21:15:34
AEGEN.DLL : 8.1.1.46 348533 Bytes 20/06/2009 21:15:33
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 14:32:40
AECORE.DLL : 8.1.6.12 180599 Bytes 20/06/2009 21:15:32
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 11:39:26
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 17/02/2009 13:49:32
RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 10:07:05

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: d:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, H:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +JOKE,+SPR,

Début de la recherche : samedi 20 juin 2009 22:17

La recherche d'objets cachés commence.
'73227' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CF11011.exe' - '1' module(s) sont contrôlés
Module OK -> 'D:\WINDOWS\system32\CF11011.exe'
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'usnsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NclRSSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NclUSBSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ServiceLayer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'YzShadow.exe' - '1' module(s) sont contrôlés
Processus de recherche 'UberIcon Manager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RocketDock.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PCSuite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'VeohClient.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PWRISOVM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'daemon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'43' processus ont été contrôlés avec '43' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'H:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '60' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <DATA>
C:\Logiciel\Msn\StuffPlug 2.2.397.exe
[0] Type d'archive: NSIS
--> Settings/talker.emo.js
[RESULTAT] Contient le code suspect : HEUR/HTML.Malware
--> Settings/talker.emot.js
[RESULTAT] Contient le code suspect : HEUR/HTML.Malware
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298017.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.59904.B
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298018.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.cxl
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298019.exe
[RESULTAT] Contient le modèle de détection du dropper DR/Gator.3102.1
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298020.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.160570.A
Recherche débutant dans 'D:\'
D:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
D:\Documents and Settings\La Mort\Bureau\SmitfraudFix.exe
[0] Type d'archive: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
--> SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
D:\Documents and Settings\La Mort\Bureau\SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
D:\Documents and Settings\La Mort\Bureau\SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
D:\Program Files\MessengerPlus! 3\Plugins\StuffPlug-NG\Talkers\talker.emo.js
[RESULTAT] Contient le code suspect : HEUR/HTML.Malware
D:\Program Files\MessengerPlus! 3\Plugins\StuffPlug-NG\Talkers\talker.emot.js
[RESULTAT] Contient le code suspect : HEUR/HTML.Malware
D:\Qoobox\Quarantine\D\WINDOWS\system32\kdpini.dll.vir
[RESULTAT] Contient le cheval de Troie TR/BHO.urk
D:\Qoobox\Quarantine\D\WINDOWS\system32\nmdfgds0.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\Qoobox\Quarantine\D\WINDOWS\system32\pac.txt.vir
[RESULTAT] Contient le cheval de Troie TR/Dldr.VB.VPG
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP616\A0294802.sys
[RESULTAT] Contient le cheval de Troie TR/PSW.Magania.bfsm
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP616\A0295817.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP617\A0295875.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP617\A0295889.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0295926.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0297569.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0297583.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0297601.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP619\A0297732.dll
[RESULTAT] Contient le cheval de Troie TR/BHO.urk
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP619\A0297733.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
Recherche débutant dans 'H:\'

Début de la désinfection :
C:\Logiciel\Msn\StuffPlug 2.2.397.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab26846.qua' !
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298017.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.59904.B
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a6f6802.qua' !
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298018.exe
[RESULTAT] Contient le modèle de détection du ver WORM/Autorun.cxl
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e1137c3.qua' !
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298019.exe
[RESULTAT] Contient le modèle de détection du dropper DR/Gator.3102.1
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4eef0753.qua' !
C:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP620\A0298020.exe
[RESULTAT] Contient le cheval de Troie TR/Agent.160570.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4eeceeab.qua' !
D:\Documents and Settings\La Mort\Bureau\SmitfraudFix.exe
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa6683f.qua' !
D:\Documents and Settings\La Mort\Bureau\SmitfraudFix\Reboot.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Reboot.F
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9f6837.qua' !
D:\Documents and Settings\La Mort\Bureau\SmitfraudFix\restart.exe
[RESULTAT] Contient le modèle de détection du programme SPR/Tool.Hardoff.A
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ab06837.qua' !
D:\Program Files\MessengerPlus! 3\Plugins\StuffPlug-NG\Talkers\talker.emo.js
[RESULTAT] Contient le code suspect : HEUR/HTML.Malware
[REMARQUE] Le résultat positif a été classé comme suspect.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa96833.qua' !
D:\Program Files\MessengerPlus! 3\Plugins\StuffPlug-NG\Talkers\talker.emot.js
[RESULTAT] Contient le code suspect : HEUR/HTML.Malware
[REMARQUE] Le résultat positif a été classé comme suspect.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc7b834.qua' !
D:\Qoobox\Quarantine\D\WINDOWS\system32\kdpini.dll.vir
[RESULTAT] Contient le cheval de Troie TR/BHO.urk
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aad6836.qua' !
D:\Qoobox\Quarantine\D\WINDOWS\system32\nmdfgds0.dll.vir
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa1683f.qua' !
D:\Qoobox\Quarantine\D\WINDOWS\system32\pac.txt.vir
[RESULTAT] Contient le cheval de Troie TR/Dldr.VB.VPG
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa06833.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP616\A0294802.sys
[RESULTAT] Contient le cheval de Troie TR/PSW.Magania.bfsm
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ee9f603.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP616\A0295817.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b1b78cb.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP617\A0295875.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49449813.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP617\A0295889.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a6f6803.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0295926.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b1a4934.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0297569.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b00bfcc.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0297583.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b1e8f5c.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP618\A0297601.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b1c6104.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP619\A0297732.dll
[RESULTAT] Contient le cheval de Troie TR/BHO.urk
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b19599c.qua' !
D:\System Volume Information\_restore{68DD478C-9C80-4E0F-BAD1-33131A4036B8}\RP619\A0297733.dll
[RESULTAT] Contient le cheval de Troie TR/Crypt.XPACK.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b182a04.qua' !

Fin de la recherche : samedi 20 juin 2009 23:50
Temps nécessaire: 1:36:32 Heure(s)

La recherche a été effectuée intégralement

13153 Les répertoires ont été contrôlés
424874 Des fichiers ont été contrôlés
21 Des virus ou programmes indésirables ont été trouvés
4 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
23 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
424847 Fichiers non infectés
5095 Les archives ont été contrôlées
2 Avertissements
24 Consignes
73227 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
Utilisateur anonyme
 
Re

1)Vide la quarantaine .
regarde ici:http://www.bibou0007.com/antivirus-avec-protection-en-temps-reel-f89/antivir-vider-la-quarantaine-t1284.htm

2)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

3)Utilitaire à conserver et à faire tourner une fois par semaine.

Télécharge Malwarebytes anti malware ici
http://www.malwarebytes.org/mbam.php

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d’utilisation).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

4)Pour vérifier plus en profondeur ton PC,fait ceci:

1- Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/ 159 hijackthis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Clique sur le setup pour lancer l'installation : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l’installation, le programme se lance automatiquement : ferme le en cliquant sur la croix rouge.
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

(Ne lance pas ce prg pour l'instant et fais la suite ... )



2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer.

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).

Poste le contenu de " log.txt " (c'est celui qui apparaît à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
( Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ... )

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )


Merci et @+ tard
0
Réponse 12 / 19
Lalouli999
 
Alors voicit le rapport avec Malware:

alwarebytes' Anti-Malware 1.38
Version de la base de données: 2317
Windows 5.1.2600 Service Pack 3

21/06/2009 01:43:42
mbam-log-2009-06-21 (01-43-37).txt

Type de recherche: Examen complet (C:\|D:\|H:\|)
Eléments examinés: 233058
Temps écoulé: 1 hour(s), 22 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\apar (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\intermplug (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\parttimeb (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\ppo.ob (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\ppo.ob.1 (Spyware.OnlineGames) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{587097ab-a686-4c3b-83a7-2b8e2d47868e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6246ff85-1da0-4486-9b1d-95c0fd31158e} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{6494b9be-3a4c-11de-91d2-bd8055d89593} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{5f2b8ee3-5b51-4424-a4bd-6c0595c40007} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{41699f6b-014e-46e5-a097-3d52f79cab65} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{5303e828-3a4c-11de-ac1c-f77f55d89593} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\office one 450 fonts_is1 (Worm.Archive) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
d:\WINDOWS\system32\netrax06 (Trojan.Agent) -> No action taken.
D:\Program Files\DivoCodec (Trojan.Downloader) -> No action taken.

Fichier(s) infecté(s):
c:\logiciel video ipod\Internet Video Converter.exe (Trojan.Downloader) -> No action taken.
d:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.

Et je vais attaquer avec HijackThis
0
Réponse 13 / 19
Lalouli999
 
J'ai voulut lancé RSIT en 2month comme tu me l'as conseillé mais il m'as mis un message d'erreure en anglais
"line -1:
Error: Variable used without being declared."
Que doit je faire?
0
Réponse 14 / 19
Lalouli999
 
J'ai quand même lancé HijackThis et voilà le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:03:01, on 21/06/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir Desktop\sched.exe
D:\Program Files\Avira\AntiVir Desktop\avguard.exe
D:\Program Files\Bonjour\mDNSResponder.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Java\jre6\bin\jusched.exe
D:\Program Files\Avira\AntiVir Desktop\avgnt.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
D:\Program Files\MSN Messenger\msnmsgr.exe
D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Program Files\MSN Messenger\usnsvc.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://lamort.skyrock.com/profil/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {C1550BAE-5FC8-4A1F-A1EA-5F8A21D1748F} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - D:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] D:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [NSSInstallation] D:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EA Core] "D:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Veoh] "D:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-21-789336058-823518204-725345543-1002\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-789336058-823518204-725345543-1002\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User '?')
O4 - HKUS\S-1-5-21-789336058-823518204-725345543-1002\..\Run: [EA Core] "D:\Program Files\Electronic Arts\EADM\Core.exe" -silent (User '?')
O4 - HKUS\S-1-5-21-789336058-823518204-725345543-1002\..\Run: [Veoh] "D:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide (User '?')
O4 - HKUS\S-1-5-21-789336058-823518204-725345543-1002\..\Run: [PC Suite Tray] "D:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-789336058-823518204-725345543-1002 Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe (User '?')
O4 - S-1-5-21-789336058-823518204-725345543-1002 Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe (User '?')
O4 - S-1-5-21-789336058-823518204-725345543-1002 Startup: TransBar.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe (User '?')
O4 - S-1-5-21-789336058-823518204-725345543-1002 Startup: UberIcon.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe (User '?')
O4 - S-1-5-21-789336058-823518204-725345543-1002 Startup: Y'z Shadow.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe (User '?')
O4 - Startup: Adobe Gamma.lnk = D:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///D:/Program%20Files/Monopoly%20Here%20and%20Now/Images/stg_drm.ocx
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
0
Utilisateur anonyme
 
Bonjour

Pour Malwaresbytes;as tu supprimé tout se qu'il a trouvé?

Pour le RSIT ,retente mais en laissant la valeur par défaut; et poste moi un rapport .Merci


Un petit nettoyage avec cet utilitaire qui est à conserver et à faire tourner une fois par semaine.

C - Ccleaner :

https://filehippo.com/download_ccleaner/

.enregistres le sur le bureau
.double-cliques sur le fichier pour lancer l'installation
.sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur suivant
.lis la licence et j'accepte
.cliques sur suivant
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
.cliques sur installer
.cliques sur fermer
.double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.cliques maintenant sur registre et puis sur rechercher les erreurs
.laisses tout cochées et cliques sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et fermer tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


0
Réponse 15 / 19
gabzi Messages postés 6 Statut Membre 5
 
pour savoir si ton pc et infectè par un virus il peu avoir plusieur virus a la foi ou un seul

- ton pc ralenti il devien lent

-ta souri se bar a droite ou a gauche des foi ( ca doit aitre rare)

-ton image de fon d'ecgrand change en une page blanche avec marquè des truk inti virus ( c rare que ça arive mai bn)

voila si ta un truk comme ça comtacte qsur çe site vla tchou.
0
Réponse 16 / 19
Lalouli999
 
Bonjour,
Alors pour Malwaresbytes oui j'ai tous supprimer et pour RSIT j'ai essayé les 3 months (1-2-3) rien à faire le messge d'erreur est le même pour les 3 config.

Et il est possible que je n'ai plus ou plus bcp de virus car ma sourit se barer plus dans tout les sens et il es bcp mois long au demarrage.
0
Utilisateur anonyme
 
Re

Un autre outil pour vérifier plus profondement ton PC.

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Une fois le téléchargement achevé, dézippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.
0
Réponse 17 / 19
Lalouli999
 
pour Ccleaner c'est bon j'ai repeté les etapes plusieur fois il n'y a, à present plus rien du tout quand je le lance. Mais pour ZHPDiag j'ai voulu le telecharger mais il ne se lance nul pare ou c'est des liens morts. J'ai voulu le chercher de mon coter je tombe toujours sur le site officiel et sur les liens morts.
0
Utilisateur anonyme
 
Re

Bizarre...
Le lien fonctionne très bien chez moi.
Quand tu arrives sur le site tu cliques sur télécharger
et ensuite une fenêtre s'ouvre si rien ne se passe clic sur le lien FTP Zebulon.


0
Réponse 18 / 19
Lalouli
 
J'ai encore une question j'ai vsita premimum sur un nouveau pc mais j'ai deja un probleme, c'est personal antivirus, il s'est installé, mais rien a faire je n'arrive pas a l'enlever, par son unistal j'arrive pas, dans programme file j'ai essayé de le suprimer il veux pas il me demande un accord que j'ai pas, et par supression des programme il n'est pas dans la liste et pareil pour tout les logiciel antivirus que tu mavais conseillé aucun ne la. Il n'est vraiment dans des liste. c'est comme si mon pc disait kil ni etait pas alors qu'il es la et me bloke tous.
0
Utilisateur anonyme
 
Re

Télécharge Malwarebytes anti malware ici
http://www.malwarebytes.org/mbam.php

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d’utilisation).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
0
Réponse 19 / 19
Lalouli
 
c'est bon j'ai resoulu la chose j'ai utilisé le point de restauration avant qu'il ce mette ce satané trus. Tous marche bien. Tout marche nikel grace a ton aide. ^^
0
Utilisateur anonyme
 
Re

Impeccable;procède à l'installation de antivir et fait un scan complet.
Passe quand même Malwaresbytes.

@+
0