Imapd.exe et boot.vbs

Kuitar -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
depuis quelques jours mon antivirus (Avira) a détecter 2 menaces :

c:\windows\system32\imapd.exe
( Contient le modèle de détection du logiciel espion ou publicitaire ADSPY/ActMon.D )
Quand il est en quarantaine ou qu'il est bloqué Je ne saurais pas accéder à Internet ni les autre ordinateur du réseau (Celui ci étant la passerelle par défaut)

c:\windows\system32\boot.vbs
( Contient le modèle de détection du virus de script VBS VBS/Autorun.ahb
Quand il est en quarantaine ou qu'il est bloqué j'ai un message d'erreur me disant que l'ordinateur ne sait pas accéder à celui ci.
De plus je pense que se virus est la cause de certains problème de démarrage de l'ordinateur.

43 réponses

Précédent
Réponse 21 / 43
Kuitar
 
J'ai désinstalé avast, enfaite il était installer de base sur l'ordinateur mais n'était plus actif.

Pour MBAM, j'ai juste fais l'analyse donc je pense que ça va.

J'ai refait l'analyse sur VirusTotal :

http://www.virustotal.com/fr/analisis/89c08b5074ecac32cb23b88106510ea5364815d6f396053d25e75f5c3aa95412-1248445348


Fichier imapd.exe reçu le 2009.07.24 14:22:28 (UTC)
Situation actuelle: terminé
Résultat: 32/41 (78.05%)
Formaté
Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.24 Riskware.Monitor.Win32.ActMon!IK
AhnLab-V3 5.0.0.2 2009.07.24 -
AntiVir 7.9.0.228 2009.07.24 SPR/ActMon.511
Antiy-AVL 2.0.3.7 2009.07.24 RiskWare/Monitor.ActMon.gen
Authentium 5.1.2.4 2009.07.24 W32/Monitor.QS
Avast 4.8.1335.0 2009.07.24 Win32:Spyware-gen
AVG 8.5.0.387 2009.07.24 Logger.RE
BitDefender 7.2 2009.07.24 Spyware.Actmon.511
CAT-QuickHeal 10.00 2009.07.24 -
ClamAV 0.94.1 2009.07.24 -
Comodo 1749 2009.07.24 ApplicUnsaf.Win32.Monitor.ActMon
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 Spyware.Gen
eTrust-Vet 31.6.6638 2009.07.24 -
F-Prot 4.4.4.56 2009.07.24 W32/Monitor.QS
F-Secure 8.0.14470.0 2009.07.24 Monitor.Win32.ActMon.511
Fortinet 3.120.0.0 2009.07.24 Spy/Actmon
GData 19 2009.07.24 Spyware.Actmon.511
Ikarus T3.1.1.64.0 2009.07.24 not-a-virus:Monitor.Win32.ActMon
Jiangmin 11.0.800 2009.07.24 AdWare/ActMon.b
K7AntiVirus 7.10.801 2009.07.24 not-a-virus:Monitor.Win32.ActMon
Kaspersky 7.0.0.125 2009.07.24 not-a-virus:Monitor.Win32.ActMon.511
McAfee 5686 2009.07.23 potentially unwanted program Spyware-ActMon
McAfee+Artemis 5686 2009.07.23 potentially unwanted program Spyware-ActMon
McAfee-GW-Edition 6.8.5 2009.07.24 Riskware.ActMon.511
Microsoft 1.4903 2009.07.24 MonitoringTool:Win32/Actmon
NOD32 4274 2009.07.24 Win32/Monitor.ActMon
Norman 6.01.09 2009.07.22 W32/Logger.GQ
nProtect 2009.1.8.0 2009.07.24 Trojan-Spy/W32.Actmon.958464
Panda 10.0.0.14 2009.07.24 Application/Actmon
PCTools 4.4.2.0 2009.07.24 Application.ActMon_Keylogger
Prevx 3.0 2009.07.24 High Risk Spyware
Rising 21.39.44.00 2009.07.24 -
Sophos 4.44.0 2009.07.24 ActMon
Sunbelt 3.2.1858.2 2009.07.23 Actmon PC & Internet Monitoring
Symantec 1.4.4.12 2009.07.24 Spyware.ActMon
TheHacker 6.3.4.3.373 2009.07.24 Aplicacion/ActMon.511
TrendMicro 8.950.0.1094 2009.07.24 -
VBA32 3.12.10.9 2009.07.24 -
ViRobot 2009.7.24.1851 2009.07.24 Not_a_virus:Monitor.ActMon.958464
VirusBuster 4.6.5.0 2009.07.24 -
Information additionnelle
File size: 958464 bytes
MD5...: 6ca8f7d9b164def52317b1be85ed0505
SHA1..: 761134fcd26d5629711929dacc8449e0011f9e0c
SHA256: 89c08b5074ecac32cb23b88106510ea5364815d6f396053d25e75f5c3aa95412
ssdeep: 12288:DznqfE9jcct18MdyS20sWS5MsvnnpVcOZqppOxUeox5LAry+dk0MEPhu:C
fE9z18Uw0sWWpt6sxUeoxaryaV
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x793f7
timedatestamp.....: 0x40f4694b (Tue Jul 13 22:59:23 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x99e86 0x9a000 6.64 7fede65085ff54637a7651960936b9d2
.rdata 0x9b000 0x1e046 0x1f000 5.91 9f8dcb6cf6f68b2d2962f19e81f83613
.data 0xba000 0x2fbd0 0x6000 5.22 d9511319dd73df4ef170662fd2f68b61
.rsrc 0xea000 0x29470 0x2a000 4.15 426bd5724a595e65814c139a4bb490cb

( 16 imports )
> WSOCK32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> MPR.dll: WNetAddConnection2A, WNetCancelConnection2A
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerQueryValueA
> WININET.dll: InternetOpenUrlA, InternetReadFile, InternetOpenA, InternetCloseHandle
> WINMM.dll: timeKillEvent, timeGetTime
> KERNEL32.dll: ResumeThread, WaitForSingleObject, EnumResourceLanguagesA, ConvertDefaultLocale, DeleteFileA, ReadFile, FlushFileBuffers, LockFile, UnlockFile, SetEndOfFile, DuplicateHandle, FindClose, GetVolumeInformationA, GetFullPathNameA, FileTimeToLocalFileTime, LocalFileTimeToFileTime, SetFileAttributesA, InterlockedIncrement, GlobalGetAtomNameA, GlobalReAlloc, GlobalHandle, TlsGetValue, TlsAlloc, TlsSetValue, LocalReAlloc, TlsFree, GlobalFlags, GetCPInfo, GetOEMCP, SetErrorMode, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, GetSystemTimeAsFileTime, GetTimeFormatA, GetDateFormatA, TerminateProcess, ExitThread, CreateThread, GetFileType, GetStartupInfoA, GetCommandLineA, HeapReAlloc, SetStdHandle, HeapSize, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, SetUnhandledExceptionFilter, UnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetHandleCount, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetDriveTypeA, IsBadReadPtr, IsBadCodePtr, GetUserDefaultLCID, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, SetEnvironmentVariableA, GetLocaleInfoW, GlobalAddAtomA, GlobalFindAtomA, GlobalDeleteAtom, lstrcmpW, MulDiv, lstrcpynA, ExpandEnvironmentStringsA, GetCurrentDirectoryA, GetSystemDirectoryA, SetLastError, IsBadWritePtr, GetSystemDefaultLangID, GetPrivateProfileStringA, WritePrivateProfileStringA, GetFileTime, FileTimeToSystemTime, FindFirstFileA, FindNextFileA, SetFilePointer, WriteFile, SystemTimeToFileTime, SetFileTime, GetProcessHeap, HeapAlloc, HeapFree, GetCurrentThread, GetCurrentProcess, GetWindowsDirectoryA, DeviceIoControl, CreateEventA, GetFileSize, CreateFileA, GetCurrentThreadId, FreeResource, UnmapViewOfFile, RemoveDirectoryA, CreateDirectoryA, FormatMessageA, LocalFree, GetFileAttributesA, CreateMutexA, CloseHandle, GetComputerNameA, MoveFileExA, lstrcmpA, GetModuleHandleA, ExitProcess, lstrcatA, GetCurrentProcessId, GetModuleFileNameA, OpenProcess, InterlockedDecrement, LoadLibraryA, GetProcAddress, FreeLibrary, FindResourceA, LoadResource, LockResource, SizeofResource, CompareStringW, CompareStringA, lstrcmpiA, GetVersion, GetLastError, RaiseException, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, lstrlenA, _lopen, _lread, _lcreat, GlobalUnlock, GlobalFree, _lclose, GlobalAlloc, GlobalLock, GetLocalTime, GetTimeZoneInformation, GetTickCount, _lwrite, lstrcpyA, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, Sleep, LocalAlloc
> USER32.dll: TabbedTextOutA, DrawTextExA, GrayStringA, ClientToScreen, BeginPaint, EndPaint, DestroyMenu, GetMessageA, TranslateMessage, ValidateRect, SetMenuItemBitmaps, ModifyMenuA, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, SetWindowTextA, IsDialogMessageA, WinHelpA, GetCapture, CreateWindowExA, SetWindowsHookExA, CallNextHookEx, GetClassLongA, GetClassInfoExA, SetPropA, GetPropA, RemovePropA, SendDlgItemMessageA, GetFocus, SetFocus, GetWindowTextLengthA, GetLastActivePopup, DispatchMessageA, GetTopWindow, UnhookWindowsHookEx, GetMessageTime, MapWindowPoints, GetKeyState, GetMenu, AdjustWindowRectEx, GetClassInfoA, RegisterClassA, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, GetWindowPlacement, GetActiveWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, GetDlgItem, IsWindowEnabled, GetNextDlgTabItem, EndDialog, GetMenuState, GetMenuItemID, GetMenuItemCount, GetSubMenu, SetWindowRgn, DrawTextA, LoadBitmapA, CopyRect, GetWindowDC, SystemParametersInfoA, PeekMessageA, RedrawWindow, IsWindowVisible, UpdateWindow, PostMessageA, SetRect, GetThreadDesktop, GetUserObjectInformationA, RegisterWindowMessageA, GetWindowTextA, SendMessageTimeoutA, MoveWindow, SetWindowLongA, LoadCursorA, IsWindow, GetMessagePos, GetParent, KillTimer, PtInRect, SetCursor, GetForegroundWindow, GetWindowRect, MapVirtualKeyExA, ToAsciiEx, GetCursor, GetCursorPos, WindowFromPoint, AttachThreadInput, DrawIconEx, GetSysColorBrush, IsRectEmpty, GetSysColor, GetDC, ReleaseDC, EnumChildWindows, ShowWindow, SetTimer, SetDlgItemTextA, GetSystemMetrics, LoadIconA, SetForegroundWindow, GetDesktopWindow, GetClientRect, IsIconic, FindWindowA, PostQuitMessage, SendMessageA, SetWindowPos, EnableWindow, GetWindowLongA, GetClassNameA, DdeInitializeA, DdeCreateStringHandleA, DdeConnectList, DdeFreeStringHandle, DdeUninitialize, DdeQueryNextServer, DdeDisconnectList, GetWindowThreadProcessId, DdeQueryConvInfo, DdeClientTransaction, DdeGetData, UnregisterClassA, CharUpperA, GetWindow, MessageBoxA, wsprintfA
> GDI32.dll: DPtoLP, ExtTextOutA, TextOutA, RectVisible, PtVisible, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, RestoreDC, SaveDC, SetBkColor, SetTextColor, GetClipBox, CreateRectRgn, CombineRgn, CreateFontIndirectA, GetStockObject, GetDIBits, GetDeviceCaps, GetSystemPaletteEntries, SelectPalette, RealizePalette, CreatePalette, DeleteDC, DeleteObject, SetMapMode, StretchBlt, BitBlt, SelectObject, CreateCompatibleDC, GetObjectA, CreateCompatibleBitmap, CreateBitmap, SetBkMode, Escape
> comdlg32.dll: GetFileTitleA
> WINSPOOL.DRV: OpenPrinterA, DocumentPropertiesA, ClosePrinter
> ADVAPI32.dll: GetTokenInformation, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegDeleteKeyA, RegDeleteValueA, RegSetValueExA, RegQueryValueExA, RegOpenKeyA, RegCreateKeyA, GetUserNameA, LookupAccountSidA, RegEnumKeyA, OpenThreadToken, AllocateAndInitializeSid, EqualSid, FreeSid, RegOpenKeyExA, RegQueryValueA
> SHELL32.dll: SHGetSpecialFolderLocation, SHFileOperationA, SHGetPathFromIDListA, ShellExecuteA
> COMCTL32.dll: _TrackMouseEvent, -
> SHLWAPI.dll: PathFindExtensionA, PathFindFileNameA, PathStripToRootA, PathIsUNCA
> ole32.dll: CoUninitialize, CoInitialize, CoInitializeEx, CoInitializeSecurity, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=6ca8f7d9b164def52317b1be85ed0505' target='_blank'>https://www.symantec.com?md5=6ca8f7d9b164def52317b1be85ed0505</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=85957C5D00F8BC81A0450E88D5ABCA00C969E8BB' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=85957C5D00F8BC81A0450E88D5ABCA00C969E8BB</a>
ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.


VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy
0
Réponse 22 / 43
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...


Pour MBAM, j'ai juste fais l'analyse donc je pense que ça va

-> oki ... poste le rapport que tu as obtenu stp ... ^^



puis fait ceci :

Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

0
Réponse 23 / 43
Kuitar
 
Voila déjà le rapport que j'avais eu de MBAM :

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2492
Windows 5.1.2600 Service Pack 2

24/07/2009 15:58:22
mbam-log-2009-07-24 (15-58-17).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 228198
Temps écoulé: 20 minute(s), 54 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\imapdd.dll (Worm.Autorun) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.ActMon) -> Data: c:\windows\system32\boot.vbs -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.ActMon) -> Data: system32\boot.vbs -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\imapdc.vxd (Spyware.ActMon) -> No action taken.
C:\WINDOWS\system32\boot.vbs (Spyware.ActMon) -> No action taken.
C:\WINDOWS\system32\fiber.exe (Spyware.ActMon) -> No action taken.
C:\WINDOWS\system32\imapde.dll (Spyware.ActMon) -> No action taken.
C:\WINDOWS\system32\imapdd.dll (Worm.Autorun) -> No action taken.
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Vu pour MBAM ... ^^"


passe à UsbFix donc ...

0
Réponse 24 / 43
Kuitar
 
Voila pour usbfix (sur mes 3 clé usb) :



############################## | UsbFix V6.010 |

User : Lévi (Administrateurs) # SHS-SALON
Update on 23/07/09 by Chiquitine29 & C_XX
Start at: 17:33:07 | 24/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.30 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 931,51 Go (886,93 Go free) # NTFS
D:\ -> Disque CD-ROM # 5,46 Mo (0 Mo free) [U3 System] # CDFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 963,7 Mo (963,53 Mo free) # FAT
H:\ -> Disque amovible # 1,92 Go (393,31 Mo free) [Nano] # FAT
I:\ -> Disque amovible # 1,9 Go (1,41 Go free) [2GO LÉVI] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\imapd.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
c:\program files\Mumble\dbus-daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! D:\autorun.inf
G:\autorun.inf # -> fichier appelé : "G:\kinza.exe" ( Présent ! )
Présent ! G:\kinza.exe
Présent ! G:\autorun.inf
H:\autorun.inf # -> fichier appelé : "H:\kinza.exe" ( Présent ! )
Présent ! H:\kinza.exe
Présent ! H:\autorun.inf
I:\autorun.inf # -> fichier appelé : "I:\kinza.exe" ( Présent ! )
Présent ! I:\kinza.exe
Présent ! I:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{06572c50-6f83-11de-91e0-00221585f618}
Shell\AutoRun\command =D:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{06572c51-6f83-11de-91e0-00221585f618}
Shell\AutoRun\command =I:\kinza.exe
Shell\explore\Command =I:\kinza.exe
Shell\open\Command =I:\kinza.exe

HKCU\..\..\Explorer\MountPoints2\{f2178242-6f18-11de-b5b1-00221585f618}
Shell\AutoRun\command =H:\kinza.exe
Shell\explore\Command =H:\kinza.exe
Shell\open\Command =H:\kinza.exe

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.010 ! |
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 43
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
re,


la suite :


1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).


=================


2- refais un scan RSIT , poste le nouveau "log.txt" obtenu pour analyse et attends la suite ....

0
Réponse 26 / 43
Kuitar
 
Rapport de usbfix :


############################## | UsbFix V6.010 |

User : Lévi (Administrateurs) # SHS-SALON
Update on 23/07/09 by Chiquitine29 & C_XX
Start at: 17:56:54 | 24/07/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.30 [ Enabled | Updated ]

C:\ -> Disque fixe local # 931,51 Go (886,92 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM # 5,46 Mo (0 Mo free) [U3 System] # CDFS
H:\ -> Disque amovible # 963,7 Mo (963,53 Mo free) # FAT
I:\ -> Disque amovible # 1,9 Go (1,41 Go free) [2GO LÉVI] # FAT32
J:\ -> Disque amovible # 1,92 Go (393,31 Mo free) [Nano] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscript.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\explorer.exe

################## | Fichiers # Dossiers infectieux |


################## | All Drives ... |

H:\autorun.inf # -> fichier appelé : "H:\kinza.exe" ( Présent ! )
Supprimé ! -> H:\kinza.exe
I:\autorun.inf # -> fichier appelé : "I:\kinza.exe" ( Présent ! )
Supprimé ! -> I:\kinza.exe
J:\autorun.inf # -> fichier appelé : "J:\kinza.exe" ( Présent ! )
Supprimé ! -> J:\kinza.exe
Supprimé ! Présent ! G:\autorun.inf
Supprimé ! Présent ! H:\autorun.inf
Supprimé ! Présent ! I:\autorun.inf
Supprimé ! Présent ! J:\autorun.inf

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[22/01/2008 23:32|--a------|0] -> C:\AUTOEXEC.BAT
[18/07/2009 12:54|-rahs----|216] -> C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] -> C:\Bootfont.bin
[22/01/2008 23:32|--a------|0] -> C:\CONFIG.SYS
[22/01/2008 23:32|-rahs----|0] -> C:\IO.SYS
[22/01/2008 23:32|-rahs----|0] -> C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] -> C:\NTDETECT.COM
[05/08/2004 14:00|-rahs----|251712] -> C:\ntldr
[?|?|?] -> C:\pagefile.sys
[24/07/2009 17:59|--a------|3147] -> C:\UsbFix.txt
[12/02/2007 21:53|-r-------|277] -> G:\autorun.inf
[13/02/2007 03:33|-r-------|1110016] -> G:\LaunchU3.exe
[13/02/2007 04:23|-r-------|4558081] -> G:\LaunchPad.zip
[24/07/2009 17:56|--a------|262] -> H:\autorun.inf
[24/07/2009 17:51|-rahs----|262] -> I:\autorun.inf
[10/06/2009 10:00|--a------|983042] -> I:\DRAW003a.cmx
[10/06/2009 10:40|--a------|13039] -> I:\bilan juin.pdf
[13/02/2007 03:33|-ra------|1110016] -> I:\LaunchU3.exe
[02/12/2008 19:47|--a------|2358784] -> J:\rav.exe
[14/07/1998 13:42|--a------|80620] -> J:\CALIFB.TTF
[14/07/1998 13:42|--a------|98748] -> J:\CALIFI.TTF
[14/07/1998 13:42|--a------|105300] -> J:\CALIFR.TTF
[10/10/2008 09:56|---h-----|26112] -> J:\~WRL0002.tmp
[18/08/2006 21:02|--a------|997821] -> J:\montage-photo.wmv
[06/11/2008 21:30|---h-----|22528] -> J:\~WRL2066.tmp
[06/11/2008 21:52|---h-----|22528] -> J:\~WRL0523.tmp
[05/08/2008 17:37|--a------|373958262] -> J:\CS16_full-V35_DiGiTALZONE.exe
[24/07/2009 17:51|-rahs----|262] -> J:\autorun.inf
[30/04/2009 12:37|--a------|7463987] -> J:\Chobits - Dark Chii Theme.mp3

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.010 ! |







Je refais de suite le scan avec RSIT
0
Réponse 27 / 43
Kuitar
 
Voici celui de RSIT :


Logfile of random's system information tool 1.06 (written by random/random)
Run by Lévi at 2009-07-24 18:04:31
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 908 GB (95%) free of 954 GB
Total RAM: 3327 MB (87% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:42, on 24/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Lévi\Bureau\RSIT.exe
C:\Documents and Settings\Lévi\Bureau\Lévi.exe
C:\Program Files\Avira\AntiVir Desktop\avwsc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKLM\..\Policies\Explorer\Run: [imapd] "C:\WINDOWS\system32\imapd.exe" -at
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O17 - HKLM\System\CS2\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
0
Réponse 28 / 43
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ....


la suite dans l'ordre :


1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


================


2- utilise Malwarebytes ainsi :


mets le à jour si besion .


! Déconnecte toi et ferme toutes applications en cours !


* Lance Malwarebyte's .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date),
accompagné d'un nouveau rapport RSIT ( log.txt ) pour analyse et attends la suite ...



0
Réponse 29 / 43
kuitar
 
Rapport de MBAM


Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2492
Windows 5.1.2600 Service Pack 2

24/07/2009 18:33:57
mbam-log-2009-07-24 (18-33-57).txt

Type de recherche: Examen rapide
Eléments examinés: 106530
Temps écoulé: 3 minute(s), 4 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\imapdc.vxd (Spyware.ActMon) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\boot.vbs (Spyware.ActMon) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fiber.exe (Spyware.ActMon) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\imapde.dll (Spyware.ActMon) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\imapdd.dll (Worm.Autorun) -> Quarantined and deleted successfully.
0
Réponse 30 / 43
kuitar
 
Logfile of random's system information tool 1.06 (written by random/random)
Run by Lévi at 2009-07-24 18:40:40
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 909 GB (95%) free of 954 GB
Total RAM: 3327 MB (83% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:44, on 24/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\imapd.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lévi\Bureau\RSIT.exe
C:\Documents and Settings\Lévi\Bureau\Lévi.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKLM\..\Policies\Explorer\Run: [imapd] "C:\WINDOWS\system32\imapd.exe" -at
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O17 - HKLM\System\CS2\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
0
Réponse 31 / 43
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
impec ...


la suite dans l'ordre :


1- supprime tout ce qui se trouve dans la quarantaine de malwarebytes .

===============


2- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

* Double clique sur "OTM.exe" pour ouvrir le prg .

* Ensuite rends toi sur cette page > https://www.cjoint.com/?hys6TkafG0

* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


================


3- refais un scan RSIT , poste le nouveau "log.txt" obtenu et attends la suite ...


0
Réponse 32 / 43
Kuitar
 
OTM :


All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\imapdb.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\imapd.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\\imapd deleted successfully.
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\syswin moved successfully.
C:\WINDOWS\system32\kinza.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\imapdc.dll
C:\WINDOWS\system32\imapdc.dll NOT unregistered.
C:\WINDOWS\system32\imapdc.dll moved successfully.
C:\WINDOWS\system32\imapd.exe moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\imapdb.dll
C:\WINDOWS\system32\imapdb.dll NOT unregistered.
C:\WINDOWS\system32\imapdb.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Axel
->Temp folder emptied: 647885 bytes
->Temporary Internet Files folder emptied: 11371689 bytes
->FireFox cache emptied: 4115972 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
->FireFox cache emptied: 2488328 bytes

User: Kathleen
->Temp folder emptied: 587536 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 2488328 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 3028420 bytes

User: Loupolo
->Temp folder emptied: 312287798 bytes
->Temporary Internet Files folder emptied: 14895436 bytes
->FireFox cache emptied: 20501710 bytes

User: Lévi
->Temp folder emptied: 902415 bytes
->Temporary Internet Files folder emptied: 495086 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 3885873 bytes
->Google Chrome cache emptied: 17427679 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114937 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 378,93 mb


OTM by OldTimer - Version 3.0.0.5 log created on 07242009_190518

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Réponse 33 / 43
Kuitar
 
RSIT :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Lévi at 2009-07-24 19:36:14
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 909 GB (95%) free of 954 GB
Total RAM: 3327 MB (84% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:36:17, on 24/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Lévi\Bureau\RSIT.exe
C:\Documents and Settings\Lévi\Bureau\Lévi.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FICHIE~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Lévi\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O17 - HKLM\System\CS2\Services\Tcpip\..\{02C75A50-EDB5-4EEC-B068-F16F59F2CBBC}: NameServer = 193.109.184.72,193.109.184.75
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Version Cue CS3 {fr_FR} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Program Files\Fichiers communs\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
0
Réponse 34 / 43
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien .....


dis moi comment va le PC ... du mieux ?



puis fait ceci :


Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .



0
Réponse 35 / 43
Kuitar
 
Antivir ne me met plus d'alerte c'est déjà bon signe je crois ^^


GenProc :

Rapport GenProc 2.606 [1] - ven. 24/07/2009 à 19:44:34
@ Windows XP Service Pack 2 - Mode normal
@ Google Chrome (2.0.172.37) [Navigateur par défaut]

~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~
~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt



----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 19:45:21 ~~
0
Réponse 36 / 43
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bien ...


fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on finalisera ... ;) ) :


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprime tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

( garde CCleaner et Malwarebytes : très utiles ! )

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Retélécharge et réinstalle hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharge et installe le logiciel HijackThis :

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment )

======================================

4- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================


5- Fais un scan en ligne avec Kaspersky :

Suis les indications de ce tuto > https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky

Sauvegarde bien le rapport en ".txt" et poste son contenu dans ta prochaine réponse ...


0
Réponse 37 / 43
Kuitar
 
Je pose déjà le rapport de ToulsCleaner et je continue la suite tout de suite :

[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\GenProc: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Lévi\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Lévi\Bureau\HijackThis.exe: trouvé !
C:\Documents and Settings\Lévi\Bureau\hijackthis.log: trouvé !
C:\Documents and Settings\Lévi\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\Lévi\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\Lévi\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Lévi\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Lévi\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Lévi\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Lévi\Bureau\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\Lévi\Bureau\hijackthis.log: supprimé !
C:\Documents and Settings\Lévi\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\Lévi\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\Lévi\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Lévi\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\GenProc: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\Lévi\Menu Démarrer\Programmes\UsbFix: supprimé !
0
Réponse 38 / 43
Kuitar
 
J'ai un message d'erreur a l'étape "mettre à jour" sur le scan online de Kaspersky qui dit qu'il faut une connections ininterrompue pour utilisé le scan... Pourtant la connections ne se coupe pas...
0
Réponse 39 / 43
Kuitar
 
Non ça va pas de problème, ça marche avec Firefox...
0
Réponse 40 / 43
Kuitar
 
Le bouton "enregistrer rapport" est gris, donc je ne saurais pas enregistrer le rapport mais le scan n'a rien détecter, est ce que c'est suffisant comme information ?
0