Help svp,ver FlyStudio.AG

Bonsoir ,

Rien a craindre , l'infection ce situe dans la restauration

Purge la restauration du systeme

! Enjoy !

Bonsoir Xaton,
merci pour ta réponse mais je vien de relancer une analyse avec nod32 puis j'ai supprimé le ver qui semble avoir été éffacé.Je relance une analyse.Penses tu que ça pourrait suffir pour en etre débarassé?

Suit ce tuto

> http://www.bibou0007.com/

Et tu vas créer un point de restauration

Suit ce tuto

> https://www.micro-astuce.com/depannage/creer-restauration-systeme.php


Fait ceci en plus :

~~~~~~~~~~~~~~~> Hijack This <~~~~~~~~~~~~~~~~~~~

- Telecharger Hijack
>http://www.infos-du-net.com/telecharger/HijackThis.html

Une fois Hijack installer, exécuter le :
- Cliquer sur "Do a system scan and save a logfile"

- Un fichier texte s'ouvre, si ce n'est pas le cas celui-ci se trouve dans le même dossier que hijackthis.exe .
- Faire édition / sélectionner tout
- Clic droit / copier

- Poste moi le rapport entier

up,j'ai édité le message juste au dessus.

Oui Oui t'inquiète

Mais fait un Hijack

Ok je le fait dès la fin de cette 2eme analyse.
Merci encore à toi,c'est vraiment cool.

Merci encore à toi,c'est vraiment cool.

De rien par contre je regarde ton log Hijack demain ; )

Yep,bonne nuit alors.
Je le post quand meme de suite au cas où...
A demain

voilà le rapport:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:12, on 15/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE
C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S3C91.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series (Copie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S3CC2.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

J'ai quand même analysé le rapport et il est totalement propre

Par contre tu as un anti-spyware ?

ha merci,je suis donc débarassé de ce ver?
Je vai pouvoir dormir tranquille.
oui j'ai Giant antispyware mais je t'avoues que je ne suis pas certain qu'il fonctionne correctement.

Si c est bon j'ai repéré Giant

Et tu va suivre les différents étapes ci dessous

~~~~~~~~~~~~~~~~~> Ccleaner <~~~~~~~~~~~~~~~~~~~

* Télécharger et installer CCleaner .
> http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
/!\ Ne pas installer la Yahoo! Toolbar /!\

* Dans l'onglet "Nettoyeur", cliquer sur "Analyser".
* Une fois l'analyse terminée, cliquer sur "Nettoyer".
* Recommencer jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

* Dans l'onglet " Registre ", cliquer sur " Chercher les erreurs "
* Une fois l'analyse terminée, cliquer sur " Corriger les erreurs sélectionnées "
* Recommencer jusqu’à ce qu’il ne trouve plus rien.

~~~~~~~~~~~~~~> Malwarebytes <~~~~~~~~~~~~~~~~~~~

- Télécharger Malwarebytes
- Enregistre le sur le bureau
- Double clique sur le fichier téléchargé pour lancer le processus d’installation
- Lorsqu’il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes

- Double-clique sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre

- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse.
- Rends toi dans l’onglet rapport/log
- Tu clique dessus pour l’afficher.
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller

Ps : Garde Malwarebytes

Ha merci,je suis donc débarassé de ce ver?

Oui je pense , mais fait les manipulations au dessus

Je n'ai eu qu'à me laisser guider par tes instructions très claires,alors voilà:
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2627
Windows 5.1.2600 Service Pack 3

15/08/2009 02:27:14
mbam-log-2009-08-15 (02-27-14).txt

Type de recherche: Examen complet (C:\|H:\|K:\|)
Eléments examinés: 178159
Temps écoulé: 20 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

j'vai faire dodo,a demain

Y a juste un petit truc ennuyeux depuis la procédure avec CCleaner,Giant antispyware m'affiche ce petit message d'alerte constament:
"GIANT AntiSpyware has detected your default user folder (shell folder) Recent attempting to be changed from %USERPROFILE%\Recent to .

Shell folders are special folders that Windows uses to indicate the default location for many types of settings and data.
Advise: Unless you have specifically made this change the change should be blocked."

cette fois ci je plonge dans mon lit pour de vrai.
a+ ;)

Hello Xaton,
au sujet de ce message d'erreur que j'évoque ci dessus,son titre est:

"A change to the Default User Folders Requires Approval".
Giant me demande ce que je souhaite faire,hier soir,un peu beaucoup fatigué j'ai cliqué sur block mais ce matin j'ai cliqué sur Allow au moins 50 fois et le message réapparait automatiquement juste après alors que "remember this action est coché".
Que faire pour qu'il cesse de me harceler?
lorsque je click sur details voilà ce qui s'affiche:

"System Agent- User Shell Folders Protection
What does this Security Checkpoint do?

Prevents unauthorized changes to the system's User Shell Folder settings.

What is a User Shell folder?

Shell folders are special folders that Windows uses to indicate the default location for many types of settings and data. These special folders are usually the more commonly used system folders such as My Documents, My Pictures, your Program Files folders and a number of other standard Window's folders.

The default user shell folders location is in %USERPROFILE% which is "C:\Documents and Settings\user".

Some common Shell folders include:

CD Burning

Desktop

Document Templates

Favorites

Installation Path Windows Installer default install folder location

My Documents

My Music

My Pictures

Programs

SendTo

Shared Documents

Shared Music

Shared Pictures

Start Menu

Startup

Common Admin Tools

Common AppData

Common Desktop

Common Favorites

Common Programs

Common Start Menu

Common Startup

Common Templates"

Fait un scan avec Giant

Déjà fait,il n'a rien trouvé.

peut etre en serai je débarassé si je désinstallai Giant et que j'installai un nouveau Antispyware?
Penses tu que se serait une bonne idée et si oui,lequel me conseillerais tu?

ce maudit message n'apparait plus quand je choisi "disable real time protection" et ré-apparait quand je choisi "enable real time protection".