Ordi infecté?!Fermé

Question

Bonjour,

Je voudrais savoir si vous pouvez me conseiller.
Hier mon antivirus Antivir a détecté 2 virus alors que je ne faisais pas d'analyse.
Les virus sont: W32/Induc.A et join.exe.
Là je m'aperçois que Induc.A a été détecté 4 fois en 2 jours.
J'ai vu sur le net qu'une version du logiciel GlaryUtilities était infectée, et c'est sûrement à cause de ça, car je ne télécharge rien sur internet à part des photos ou petits dossiers.
J'ai choisi de le mettre en quarantaine, mais je ne sais pas si c'était la meilleure solution.
J'ai aussi Zone Alarm (qui d'ailleurs bloque régulièrement des tentatives d'accès de risque élevé, je sais pas si c'est normal)

J'ai windowsXP version familiale 2002, sur un PC AIRIS 3G acheté en janvier. Donc assez puissant.
Et pourtant il rame particulièrement ce soir, où il a planté: les pages web restaient bloquées, ou tout était saccadé. C'est agaçant.
J'ai utilisé CCleaner là, puis redémarré l'ordi, mais il rame encore. Du moins il faut pas trop lui en demander!

Y a-t-il quelque chose à faire ? Voir ce qui ralentit le PC, où sont les virus, qu'en faire? Je ne m'y connais pas trop dès qu'il s'agit de toucher au système de l'ordi.

Je vous remercie d'avance de votre aide.

Merci.

XaTon · Answer

Salut !

Tu peut me poster le rapport de ton Antivirus

Et fait ceci

~~~~~~~~~~~~~~~> Hijack This <~~~~~~~~~~~~~~~~~~~

- Telecharger Hijack 
>http://www.infos-du-net.com/telecharger/HijackThis.html

Une fois Hijack installer, exécuter le :
- Cliquer sur "Do a system scan and save a logfile"

- Un fichier texte s'ouvre, si ce n'est pas le cas celui-ci se trouve dans le même dossier que hijackthis.exe .
- Faire édition / sélectionner tout
- Clic droit / copier

- Poste moi le rapport entier

madua · Answer

Merci pour cette réponse ultra rapide !

Voici le dernier rapport de Antivirs d'hier soir:

Avira AntiVir Personal
Date de création du fichier de rapport : mardi 25 août 2009  22:30

La recherche porte sur 1651917 souches de virus.

Détenteur de la licence :Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme :      Windows XP
Version de Windows :(Service Pack 3)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :AIRIS101603G

Informations de version :
BUILD.DAT     : 8.2.0.61       17752 Bytes  25/05/2009 13:47:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF  : 7.1.4.132    5707264 Bytes  24/06/2009 09:38:25
ANTIVIR2.VDF  : 7.1.5.146    3087360 Bytes  21/08/2009 21:51:51
ANTIVIR3.VDF  : 7.1.5.149       9728 Bytes  21/08/2009 21:51:53
Version du moteur: 8.2.1.3   
AEVDF.DLL     : 8.1.1.1       106868 Bytes  30/04/2009 20:27:29
AESCRIPT.DLL  : 8.1.2.25      459130 Bytes  13/08/2009 10:50:42
AESCN.DLL     : 8.1.2.4       127348 Bytes  22/07/2009 22:19:18
AERDL.DLL     : 8.1.2.4       430452 Bytes  16/07/2009 11:17:55
AEPACK.DLL    : 8.1.3.18      401783 Bytes  31/05/2009 19:56:46
AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  18/06/2009 11:49:06
AEHEUR.DLL    : 8.1.0.155    1921400 Bytes  18/08/2009 21:30:15
AEHELP.DLL    : 8.1.6.0       233846 Bytes  18/08/2009 21:30:03
AEGEN.DLL     : 8.1.1.57      356725 Bytes  18/08/2009 21:30:01
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14/10/2008 10:05:56
AECORE.DLL    : 8.1.7.6       184694 Bytes  22/07/2009 22:19:12
AEBB.DLL      : 8.1.0.3        53618 Bytes  14/10/2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:27:58
AVREP.DLL     : 8.0.0.3       155688 Bytes  22/04/2009 08:37:48
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  04/07/2008 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : mardi 25 août 2009  22:30

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHSP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHid.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosA2dp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'osd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtMng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'robotaskbaricon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mPhonetools.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AvqAutorun.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sm56hlpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OsdService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'42' processus ont été contrôlés avec '42' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '60' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\System Volume Information\_restore{C7F5513A-EAC6-4634-A954-90956C918D81}\RP144\A0025150.exe
    [RESULTAT]  Contient le modèle de détection du virus Windows W32/Induc.A
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac44f0f.qua' !


Fin de la recherche : mardi 25 août 2009  23:01
Temps nécessaire: 31:43 Minute(s)

La recherche a été effectuée intégralement

   4024 Les répertoires ont été contrôlés
 175041 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      1 Impossible de contrôler des fichiers
 175039 Fichiers non infectés
   1130 Les archives ont été contrôlées
      1 Avertissements
      1 Consignes

Je vais utiliser Hijack.
Je poste le rapport dès que c'est fait.
Merci encore.

madua · Answer

Voici le rapport de HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:29:01, on 26/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\OEM\OSD_1.41\OsdService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Connection Manager\AvqAutoRun.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Connection Manager\mPhonetools.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\OEM\OSD_1.41\osd.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Utilisateur\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.reallusion.com/linkcount/linkcount.aspx?lid=CTECg&param=lang=6
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [{27E89A8E-9BAE-b852-9AA8-EF9A97BAB48E}] "C:\Program Files\Connection Manager\AvqAutoRun.exe" "C:\Program Files\Connection Manager\mPhonetools.exe" /OnPlug=%s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Mobile Phonetools] C:\Program Files\Connection Manager\mPhonetools.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: OSD.lnk = ?
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{300162AF-7BE6-4F3A-87A9-2F93E908452C}: NameServer = 62.201.129.99 62.201.159.99
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OSD Service (OsdService) - TODO: <????> - C:\Program Files\OEM\OSD_1.41\OsdService.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Redbart · Answer

avira est un excellent antivirus, il offre un protection résidente, càd qu'il contrôle chaque fichier lut et écrit en dehors des scans complets planifiés

W32/Induc.A est lié à ça : 
https://www.broadcom.com/support/security-center

quant à ZA, laisse le faire son travail, sans lui ton pc serait en plus mauvais point

je te déconseille glaryutilities, il peut être utile en des mains expertes mais très dangereux pour un novice 

installe spybot  et malwaresbyte antimalware
https://www.safer-networking.org/products/

https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button

spybot (gratuit) est planifiable, il  inclut divers composants très utiles, mais assez difficiles à configurer au départ

mbam n'est utilisable qu'à l'occasion en manuel (version libre) 

fait la mise à jour et les scans et supprime tout ce qu'ils trouvent

madua · Answer

Spybot je l'ai, je scanne régulièrement. L'autre je viens de le télécharger grâce à votre lien.
Je ferai ça demain, car je vais dormir, je bosse demain matin.
Je reviens demain apres midi.
Bonne nuit à vous ! et encore merci de votre aide.

Redbart · Answer

je trouve ton ai roboform trop envahissant, et totalement à l'inverse des conseils de sécurité les plus basiques

as tu activé la recherche de rootkits en mode expert dans avira?

faudra penser à désactiver 1 h la restauration auto pour supprimer les points de restau infectés, redémarrer et réactiver

XaTon · Answer

Bon je te laisse continuer Redbart ...

Bonne continuation

Redbart · Answer

tes conseils sont tout aussi appréciés que les miens, surtout qu' à cette heure on s'oriente horizontalement
@+

XaTon · Answer

surtout qu' à cette heure on s'oriente horizontalement 

Tu as bien raison   

LoL

a+

madua · Answer

Bonjour!!
Alors vous parlez du logiciel Roboform ? Je peux le supprimer, c'était pratique pour les formulaires.
Je ne sais pas ce que c'est Rootkits: une option dans avira ? je vais voir.
Bon je vais lancer le logiciel antimalware et je reviens.
Après pour les modes restauration etc je ne sais pas ce que c'est :/

madua · Answer

La fonction Rootkits n'était pas activée dans l'antivirus. Je viens de l'activer.
Là le logiciel malwarebytes est en train de scanner.
Et après il faut que je fasse quoi ? je désinstalle Roboform ? 
J'ai désintallé GlaryUtilities hier.
Merci de votre aide.

XaTon · Answer

Poste moi déjà le log Mbam 

 Après on avisera

madua · Answer

Ca y est voici le rapport de malwarebytes:

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2706
Windows 5.1.2600 Service Pack 3

27/08/2009 19:53:04
mbam-log-2009-08-27 (19-53-04).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 125147
Temps écoulé: 45 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

XaTon · Answer

Refait un log Hijack

Comment tourne le pc ?

madua · Answer

Alors j'ai lancé spybot et il n'a rien trouvé.
J'ai refait Hijackthis, le rapport est: (je sais pas si c'est utile mais je vous le mets quand même):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:17:52, on 27/08/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\OEM\OSD_1.41\OsdService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Connection Manager\AvqAutoRun.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Connection Manager\mPhonetools.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Program Files\OEM\OSD_1.41\osd.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\Utilisateur\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ww12.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://ww12.cherche.us
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.reallusion.com/linkcount/linkcount.aspx?lid=CTECg&param=lang=6
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: RoboForm - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
O4 - HKLM\..\Run: [{27E89A8E-9BAE-b852-9AA8-EF9A97BAB48E}] "C:\Program Files\Connection Manager\AvqAutoRun.exe" "C:\Program Files\Connection Manager\mPhonetools.exe" /OnPlug=%s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Mobile Phonetools] C:\Program Files\Connection Manager\mPhonetools.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: OSD.lnk = ?
O8 - Extra context menu item: Barre RoboForm - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Enregistrer le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: Personnaliser le menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: Remplir le formulaire - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Remplir - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: Remplir le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Enregistrer - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: Enregistrer le formulaire - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: Barre RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.chat-land.org
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - https://www.touslesdrivers.com/index.php?v_page=29
O17 - HKLM\System\CCS\Services\Tcpip\..\{300162AF-7BE6-4F3A-87A9-2F93E908452C}: NameServer = 62.201.129.99 62.201.159.99
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: OSD Service (OsdService) - TODO: <????> - C:\Program Files\OEM\OSD_1.41\OsdService.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

XaTon · Answer

Il y a une ligne qui m'inquiete 

~~~~~~~~~~~~~~~~> Virustotal <~~~~~~~~~~~~~~~~~~~

- Rends toi sur ce site :

> https://www.virustotal.com/gui/

- Clique sur parcourir et cherche ce fichier :C:\Program Files\OEM\OSD_1.41\OsdService.exe 

- Clique sur Send File.

- Un rapport va s'élaborer ligne à ligne.

- Attends la fin. Il doit comprendre la taille du fichier envoyé.

- Sauvegarde le rapport avec le bloc-note.

- Copie le dans ta réponse.

- Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

madua · Answer

Donc j'ai fait une analyse avec virustotal, à la fin il n'y avait pas la taille du fichier envoyé mais c'était écrit TERMINE en haut.
Il y a une ligne en rouge.
Je ne comprends pas, ce que je vous mets ci dessous est différent de ce qu'il y a sur la page! Ca me dit "situation actuelle: terminé" et là dessous c'est autre chose alors que j'ai juste fait copier coller..

 Fichier OsdService.exe reçu le 2009.08.27 19:26:44 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/41 (2.44%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 4.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.24	2009.08.27	-
AhnLab-V3	5.0.0.2	2009.08.27	-
AntiVir	7.9.1.7	2009.08.27	-
Antiy-AVL	2.0.3.7	2009.08.24	-
Authentium	5.1.2.4	2009.08.27	-
Avast	4.8.1335.0	2009.08.26	-
AVG	8.5.0.406	2009.08.27	-
BitDefender	7.2	2009.08.27	-
CAT-QuickHeal	10.00	2009.08.27	-
ClamAV	0.94.1	2009.08.27	-
Comodo	2115	2009.08.27	-
DrWeb	5.0.0.12182	2009.08.27	-
eSafe	7.0.17.0	2009.08.27	-
eTrust-Vet	31.6.6704	2009.08.27	-
F-Prot	4.5.1.85	2009.08.26	-
F-Secure	8.0.14470.0	2009.08.27	-
Fortinet	3.120.0.0	2009.08.27	-
GData	19	2009.08.27	-
Ikarus	T3.1.1.68.0	2009.08.27	-
Jiangmin	11.0.800	2009.08.27	-
K7AntiVirus	7.10.829	2009.08.27	-
Kaspersky	7.0.0.125	2009.08.27	-
McAfee	5722	2009.08.27	-
McAfee+Artemis	5722	2009.08.27	-
McAfee-GW-Edition	6.8.5	2009.08.27	Heuristic.BehavesLike.Win32.Downloader.H
Microsoft	1.4903	2009.08.27	-
NOD32	4374	2009.08.27	-
Norman		2009.08.27	-
nProtect	2009.1.8.0	2009.08.27	-
Panda	10.0.2.2	2009.08.27	-
PCTools	4.4.2.0	2009.08.27	-
Prevx	3.0	2009.08.27	-
Rising	21.44.11.00	2009.08.25	-
Sophos	4.45.0	2009.08.27	-
Sunbelt	3.2.1858.2	2009.08.27	-
Symantec	1.4.4.12	2009.08.27	-
TheHacker	6.3.4.3.388	2009.08.25	-
TrendMicro	8.950.0.1094	2009.08.27	-
VBA32	3.12.10.10	2009.08.27	-
ViRobot	2009.8.27.1905	2009.08.27	-
VirusBuster	4.6.5.0	2009.08.27	-
Information additionnelle
File size: 94208 bytes
MD5...: b7edd9fd6387802dfaa795372aecf212
SHA1..: 8a9bb95703c8f0011029c71e6dcdbf7a1cb43f79
SHA256: 53e8eacc9cd678bc4ffbd22a0f463a7834b1e68d2741518c65cc8883757cd912
ssdeep: 1536:ENlCu23JsmCHJLJ2YG0aSLGEOOtKTKpkhNLloz+un5XtvpS:eiKmmvPL9ET
/Nxoz+K5Xtvg
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6a4e
timedatestamp.....: 0x47be244a (Fri Feb 22 01:24:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf042 0xf200 6.54 31de32977e8e0addd8da9823308f5fd8
.rdata 0x11000 0x3e4a 0x4000 5.10 03966e2b9b631a8b98eb66ee41b47479
.data 0x15000 0x3148 0x1200 2.66 27bc9af9458fa1ae4cf8415d10461f6f
.rsrc 0x19000 0xb78 0xc00 4.25 b8d004d772acbf9dc2027c42ae2c7ab8
.reloc 0x1a000 0x1bf8 0x1c00 4.48 039c779e3651aa4f14e37361717fb459

( 5 imports )
> KERNEL32.dll: GetCommandLineW, LoadLibraryExW, GetLocaleInfoA, FindResourceW, LoadResource, SizeofResource, MultiByteToWideChar, FreeLibrary, InterlockedDecrement, InterlockedIncrement, GetCurrentThreadId, SetEvent, CreateEventW, CreateThread, Sleep, GetModuleFileNameW, GetSystemDirectoryW, lstrcmpiW, GetModuleHandleW, GetProcAddress, GetLastError, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WaitForSingleObject, CreateFileA, CloseHandle, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, FlushFileBuffers, LoadLibraryA, InitializeCriticalSectionAndSpinCount, IsValidCodePage, GetOEMCP, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, VirtualFree, VirtualAlloc, HeapReAlloc, HeapCreate, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, WideCharToMultiByte, SetFilePointer, GetConsoleCP, GetConsoleMode, GetCPInfo, GetACP
> USER32.dll: DispatchMessageW, GetMessageW, PostThreadMessageW, LoadStringW, CharNextW, CharUpperW, MessageBoxW, TranslateMessage
> ADVAPI32.dll: ChangeServiceConfig2W, ChangeServiceConfigW, RegisterServiceCtrlHandlerW, RegEnumKeyExW, CreateServiceW, StartServiceW, RegQueryInfoKeyW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, ControlService, DeleteService, CloseServiceHandle, StartServiceCtrlDispatcherW
> ole32.dll: CoUninitialize, CoInitialize, CoTaskMemAlloc, CoRevokeClassObject, CoRegisterClassObject, CoTaskMemFree, StringFromGUID2, CoCreateInstance, CoTaskMemRealloc
> OLEAUT32.dll: -, -, -, -, -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
pdfid.: -

madua · Answer

J'ai peut etre copié trop haut: voici les résultats des différents antivirus:

a-squared	4.5.0.24	2009.08.27	-
AhnLab-V3	5.0.0.2	2009.08.27	-
AntiVir	7.9.1.7	2009.08.27	-
Antiy-AVL	2.0.3.7	2009.08.24	-
Authentium	5.1.2.4	2009.08.27	-
Avast	4.8.1335.0	2009.08.26	-
AVG	8.5.0.406	2009.08.27	-
BitDefender	7.2	2009.08.27	-
CAT-QuickHeal	10.00	2009.08.27	-
ClamAV	0.94.1	2009.08.27	-
Comodo	2115	2009.08.27	-
DrWeb	5.0.0.12182	2009.08.27	-
eSafe	7.0.17.0	2009.08.27	-
eTrust-Vet	31.6.6704	2009.08.27	-
F-Prot	4.5.1.85	2009.08.26	-
F-Secure	8.0.14470.0	2009.08.27	-
Fortinet	3.120.0.0	2009.08.27	-
GData	19	2009.08.27	-
Ikarus	T3.1.1.68.0	2009.08.27	-
Jiangmin	11.0.800	2009.08.27	-
K7AntiVirus	7.10.829	2009.08.27	-
Kaspersky	7.0.0.125	2009.08.27	-
McAfee	5722	2009.08.27	-
McAfee+Artemis	5722	2009.08.27	-
McAfee-GW-Edition	6.8.5	2009.08.27	Heuristic.BehavesLike.Win32.Downloader.H
Microsoft	1.4903	2009.08.27	-
NOD32	4374	2009.08.27	-
Norman		2009.08.27	-
nProtect	2009.1.8.0	2009.08.27	-
Panda	10.0.2.2	2009.08.27	-
PCTools	4.4.2.0	2009.08.27	-
Prevx	3.0	2009.08.27	-
Rising	21.44.11.00	2009.08.25	-
Sophos	4.45.0	2009.08.27	-
Sunbelt	3.2.1858.2	2009.08.27	-
Symantec	1.4.4.12	2009.08.27	-
TheHacker	6.3.4.3.388	2009.08.25	-
TrendMicro	8.950.0.1094	2009.08.27	-
VBA32	3.12.10.10	2009.08.27	-
ViRobot	2009.8.27.1905	2009.08.27	-
VirusBuster	4.6.5.0	2009.08.27	-
Information additionnelle
File size: 94208 bytes
MD5...: b7edd9fd6387802dfaa795372aecf212
SHA1..: 8a9bb95703c8f0011029c71e6dcdbf7a1cb43f79
SHA256: 53e8eacc9cd678bc4ffbd22a0f463a7834b1e68d2741518c65cc8883757cd912
ssdeep: 1536:ENlCu23JsmCHJLJ2YG0aSLGEOOtKTKpkhNLloz+un5XtvpS:eiKmmvPL9ET
/Nxoz+K5Xtvg
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6a4e
timedatestamp.....: 0x47be244a (Fri Feb 22 01:24:26 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xf042 0xf200 6.54 31de32977e8e0addd8da9823308f5fd8
.rdata 0x11000 0x3e4a 0x4000 5.10 03966e2b9b631a8b98eb66ee41b47479
.data 0x15000 0x3148 0x1200 2.66 27bc9af9458fa1ae4cf8415d10461f6f
.rsrc 0x19000 0xb78 0xc00 4.25 b8d004d772acbf9dc2027c42ae2c7ab8
.reloc 0x1a000 0x1bf8 0x1c00 4.48 039c779e3651aa4f14e37361717fb459

( 5 imports )
> KERNEL32.dll: GetCommandLineW, LoadLibraryExW, GetLocaleInfoA, FindResourceW, LoadResource, SizeofResource, MultiByteToWideChar, FreeLibrary, InterlockedDecrement, InterlockedIncrement, GetCurrentThreadId, SetEvent, CreateEventW, CreateThread, Sleep, GetModuleFileNameW, GetSystemDirectoryW, lstrcmpiW, GetModuleHandleW, GetProcAddress, GetLastError, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WaitForSingleObject, CreateFileA, CloseHandle, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, FlushFileBuffers, LoadLibraryA, InitializeCriticalSectionAndSpinCount, IsValidCodePage, GetOEMCP, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, HeapFree, RtlUnwind, GetStartupInfoW, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, VirtualFree, VirtualAlloc, HeapReAlloc, HeapCreate, ExitProcess, WriteFile, GetStdHandle, GetModuleFileNameA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, WideCharToMultiByte, SetFilePointer, GetConsoleCP, GetConsoleMode, GetCPInfo, GetACP
> USER32.dll: DispatchMessageW, GetMessageW, PostThreadMessageW, LoadStringW, CharNextW, CharUpperW, MessageBoxW, TranslateMessage
> ADVAPI32.dll: ChangeServiceConfig2W, ChangeServiceConfigW, RegisterServiceCtrlHandlerW, RegEnumKeyExW, CreateServiceW, StartServiceW, RegQueryInfoKeyW, RegSetValueExW, RegQueryValueExW, RegOpenKeyExW, RegCreateKeyExW, RegCloseKey, RegDeleteValueW, RegDeleteKeyW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource, OpenSCManagerW, OpenServiceW, ControlService, DeleteService, CloseServiceHandle, StartServiceCtrlDispatcherW
> ole32.dll: CoUninitialize, CoInitialize, CoTaskMemAlloc, CoRevokeClassObject, CoRegisterClassObject, CoTaskMemFree, StringFromGUID2, CoCreateInstance, CoTaskMemRealloc
> OLEAUT32.dll: -, -, -, -, -, -, -

( 0 exports )
RDS...: NSRL Reference Data Set
-
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
pdfid.: -

XaTon · Answer

Fait ceci :

Note

Outil a utiliser avec précaution

~~~~~~~~~~~~~~~~> Combofix <~~~~~~~~~~~~~~~~~~~

- Télécharge Combofix
>http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Tuto en image , a consulter avant d'agir :
> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

- Renomme le pour l’enregistrer sur ton bureau en asdehi
- Double clique combofix.exe qui est devenu asdehi.exe

Note
-  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours avant de lancer le scan 
-  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares  

/!\ Installe bien la console de récupération /!\

- Tape sur la touche 1 (Yes) pour démarrer le scan
- Lorsque ComboFix a fini son examen, il annoncera qu'il est en train de préparer le compte rendu

Note :
Ceci peut durer un certain temps, donc surtout sois patient. Si si le Bureau Windows disparaît, ne pas s'inquiéter pas

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un log s'ouvrira, celui ci sera sauvegarder dans C:/ Combofix

/!\  Réactiver la protection en temps réel  /!\

- Copie / Colle moi le rapport présent dans C:/ Combofix

Redbart · Answer

osd 1.41 = http://www.topshareware.com/Icons-Land-Transport-Vector-Icons-download-67923.htm

Redbart · Answer

non, c'était pour dire qu'osd n'était pas un virus

ton pc semble bien protègé , il a été désinfecté

remet tout ce que tu as supprimé du registre , si tu l'a conservé, et arrête d'utiliser ce balayeur qui enlève tout ce qu'il ne connait pas

madua · Answer

OSD est un balayeur ? Je sais pas ce que c'est ce truc, ça me rappelle rien.
Je vais le supprimer alors.
Si ça se trouve je comprends rien lol, désolée de poser des questions à chaque fois.
L'ordi rame encore, peut etre une défragmentation lui ferait du bien.. mais j'en ai fait une y a pas très longtemps ... je ne sais pas si ça aide. Je me demande ce qui peut bien ralentir le pc puisqu'il est désinfecté.

Liste des programmes non d'origine:

AI Roboform
AIDA 32
Antivir
Ccleaner
HijackThis
K-Lite Codec Pack 3.0.0 Standard (je sais pas ce que c'est)
Lecteur windows media 11
Malwarebytes
Messenger Plus! Live
Microsoft Silverlight
Firefox
OSD 1_41 (je sais pas ce que c'est)
Quicktime
Spybot
IE 8
Windows mediat format 11 runtime
Windows media player firefox plugin
Winrar
Zonelarm





merci

Redbart · Answer

Concerne Ccleaner : remet tout ce que tu as supprimé du registre , si tu l'a conservé, et arrête d'utiliser ce balayeur qui enlève tout ce qu'il ne connait pas 

est ce toi qui a installé ce moteur de recherche bizarre ? :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/%s 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us 

et cet assistant de connection internet ? :
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.reallusion.com/templates/linkcount/linkcount.asp?lid=CTECg¶m=lang=6

Redbart · Answer

http://www.clubic.com/telecharger-fiche14888-browser-hijack-retaliator.html
un logiciel qui empêche le détournement de la page d'accueil d'IE , je ne sais s'il peut réparer si le mal est fait...

supprime les fichiers temporaires, les cookies et remet IE en config par défaut avec les outils d'IE et non pas Ccleaner
supprime le contenu de C:\windows\prefetch sans toucher au répertoire

les éléments effacés de la base de registre  -s'ils ont été sauvegardés - sont sous le répertoire de ccleaner

madua · Answer

Bonjour,
Merci pour le lien, je l'ai téléchargé et executé.
J'ai effacé tous les cookies et fichiers temporaires, et remis les configurations par défaut.
J'utilise Mozilla Firefox  pour naviguer, onm'a dit que c'était pus sécurisé. 
Votre avis ?
Pour ccleaner, je suis en train de voir comment je peux rétablir, mais je ne sais pas oùest le répertoire.
Pour windows prefetch c'est pareil, j'ai été dedans mais je n'ai rien fait par peur d'effacer le répertoire car je ne sais pas où il est.
Merci

Redbart · Answer

supprime le contenu de C:\windows\prefetch sans toucher au répertoire  : c'est C:\windows\prefetch le répertoirte (c'est un classeur jaune)

tu peux effacer tout ce qui se nomme abcdef.pf et le layout .ini
ce qui est utile sera recréé par windows

FFX n'est pas plus sûr que IE7 ou 8, tous ont des adsblocker, antiphishing, etc, mais hélas cela ne suffit pas
d'ailleurs FFX a des addons pour la sécurité - WOT- 
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
pourquoi donc, s'il était déjà le + sûr?

tu devrais trouver CC ici ->C:\program files\ccleaner


Alors le moteur de recherche je crois savoir d'où ça vient, en fait j'ai été sur un chat une fois, le site de chat-land, et pour y accéder, ça demande d'accepter la page d'accueil par défaut et le moteur de recherche dont tu parles. 
ça vient bien de chat-land

conseil de GH pour nettoyer
https://forums.commentcamarche.net/forum/affich-13323154-cherche-us-mais-d-ou-sa-vient

Télécharge HostXpert sur ton Bureau : 

---> Décompresse-le (Clic droit >> Extraire ici) 

---> Double-clique sur HostsXpert pour le lancer 

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur. 

s'il est fermé , clique dessus :) 

ensuite : 

&#9830; Télécharge Ad-remover ( de C_XX ) sur ton bureau : 


&#9830; Déconnecte toi et ferme toutes applications en cours ! 

&#9830; Double clique(clic droit "executer en temps qu'administrateur pour vista) sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9830; Double-clique(clic droit "executer en temps qu'administrateur pour vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil . 

&#9830; Au menu principal choisis l'option "L" et tape sur [entrée] . 

&#9830; Laisse travailler l'outil et ne touche à rien ... 

&#9830; Poste le rapport qui apparait à la fin , sur le forum ... 

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9830; Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Et encore
https://forum.zebulon.fr/topic/165589-pubs-intempestives-chercheus#entry1401879
 --
« Si le problème a une solution, il ne sert à rien de s'inquiéter. Mais s'il n'en a pas, alors s'inquiéter ne change rien »  Proverbe Tibétain

Redbart · Answer

comment va ton pc?
as tu un anti spyware?

Redbart · Answer

ok pour spybot 
passe spybot en mode avancé
as tu vacciné ton pc avec spybot?
sur spybot les màj et scan peuvent être planifié, l'as tu fait?
et pour plus de sécurité tu peux actier teatimer et sdhelper quoiqu'avec ZA en mode élevé ce n'est pas nécessaire

Redbart · Answer

Pour la vaccination j'essaie de le faire à chaque détection, mais comme il n'y a pas de confirmation (barre verte), je ne sais pas si ça les prend en compte.  : pour la vaccinne les ficiers protègés sont comptabilisés en haut à droite ( le nombre en vert doit être égale au nombre en noir)

madua · Answer

Par contre ya quelque chose qui m'embete, je sais pas quel programme intervient, si c'est Adremover ou Brother Hijack retaliator, mais là par exemple au cours d'une vaccination avec spybot, ça m'a ouvert un message plusieurs fois comme:

"THE FOLLOWING RECORD HAS BEEN ADDED TO YOUR HOSTS FILE:
127.0.0.1 007guard.com
puis 008i.com (et encore d'autres noms qui ne m'évoquent rien.)

WHAT DO YOU WANT TO DO?

REMOVE, 
RESTORE WINDOWS DEFAULT, 
ou ALLOW."

Et je ne sais pas ce qu'il faut choisir...

Si vous répondez pas j'irai voir moi même sur le site demain , peut etre que j'aurai des réponses sans vous embeter après tout. 

Bonne nuit à vous :)

Redbart · Answer

la vaccination complète un fichier hosts où il liste tous les sites connus pour l'envoi de pub et si cette pub arrive tout de même à s'installer sur le pc la connexion sortante est envoyée vers le 127.0.0.1, càd vers le pc local et non vers le site d'origine

tu est loin du compte avec ton 3g; 384kbps = 46 ko/s 
https://www.clubic.com/article-36150-4-telephonie-de-troisieme-generation-edge-3g-etc.html

j'ai un abo 8 méga et je télécharge de 100 à 700ko/s sur divers sites dont M$

Ordi infecté?!

31 réponses

Discussions similaires

Newsletters