Win 32 infecté par fasec : rapport hijackthis

Question

Bonjour,

Après avoir lu plusieurs posts concernant le trojan Fasec, je viens vers vous pour avoir de l'aide.

Nous sommes sous windows XP
Navigateur : firefox
Protection : avast

Avast le supprime mais fasec revient après (idem avec Malwarebytes)

De plus, 10 minutes après la mise en route du PC on a de la musique !!!!

Voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:41:04, on 06/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Packard Bell EverSafe\TrayControl.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PVSW\Bin\WGE_SRV.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\PVSW\BIN\W3dbsmgr.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\system32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Documents and Settings\Les Bébés\Bureau\Progs Fm Net\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "c:\Program Files\Corel\WordPerfect Office X4\Programs\QFSCHD140.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\microsoft office\Office12\ONENOTEM.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Olitec DSL Wizard.LNK = C:\Program Files\Olitec\DSL Wizard\Setup.exe
O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - ?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans WordPerfect - c:\Program Files\Corel\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: https://www.animaz.fr/
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: Google Update Service (gupdate1c8fe2d5788ca28) (gupdate1c8fe2d5788ca28) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

plopus · Answer

salut

tu t'es chopé un rootkit TDSS, il faut passer des outils puissant commence par ceci stp :

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
http://www.gmer.net/
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.

Utilisateur anonyme · Answer

A toi la main plopus

@+

Discus31 · Answer

Bonjour,
et merci
J'ai lancé le scan, dès que celui-ci est fini je vous l'envoies

cdt

plopus · Answer

si depuis que tu la lancé sa bloque tu peut recommencer ou si il scan encore, le rapport risque d'etre TRES long...

si le rapport est vraiment long fait ce qui suit pour le poste :

• Suis ce tutoriel pour héberger le rapport et poste le lien correspondant dans ta prochaine réponse.
https://www.androidworld.fr/

discus31 · Answer

Voici le rapport de gmer :

http://ww38.toofiles.com/fr/oip/documents/txt/gmer0609.html

Merci pour votre aide

Cdt

discus31 · Answer

Je laisse gmer en fonction ?

plopus · Answer

tu peux fermer GMER pour l'instant

jte prepare un script, on s'en ressert juste après

plopus · Answer

arrete la procedure...

j'edit mon message

plopus · Answer

clic droit sur le lien ci dessous choisit "enregistré la cible du lien sous"
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

choisit l'emplacement du BUREAU, RENOMME le fichier en ton prenom

puis desactive ton antivirus, lance combofix, suit les instruction il te demanderas d'INSTALLER LA CONSOLE de recuperation FAIT LE , une fois installé debranche internet puis laisse poursuivre le scan et poste le rapport a al fin

discus31 · Answer

Dans la partie log de gmer j'ai le message suivant :

'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.
'gmer' n'est pas reconnu en tant que commande interne
ou externe, un programme exécutable ou un fichier de commandes.

Que dois-je faire ?

Dois-je redemarer le pc tout de même ?

discus31 · Answer

Voici le rapport de combofix :

ComboFix 09-09-06.02 - Les Bébés 06/09/2009 19:35.1.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.767.396 [GMT 2:00]
Running from: c:\documents and settings\Les Bébés\Bureau\caro.exe
AV: avast! antivirus 4.8.1351 [VPS 090905-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
 * Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:ecycler\S-1-5-21-3443297506-3015924845-2960133293-1003
C:\setup.exe
c:\windows\Installer\438e06.msi
c:\windows\Installer\a2fa0e.msp
c:\windows\system32\drivers\UACnsfodpqjdq.sys
c:\windows\system32\FTPx.dll
c:\windows\system32\MabryObj.dll
c:\windows\system32\UACdlypdmybiw.dll
c:\windows\system32\UAChxwbrntjlq.dll
c:\windows\system32\uacinit.dll
c:\windows\system32\UACltmxerqpwk.dat
c:\windows\system32\UACqpabriwjye.dll
c:\windows\system32\UACvmpjxvakom.dll
c:\windows\system32\UACwvxtqskcqg.db

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_UACd.sys


(((((((((((((((((((((((((   Files Created from 2009-08-06 to 2009-09-06  )))))))))))))))))))))))))))))))
.

2009-08-28 19:11 . 2009-08-03 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-28 19:11 . 2009-08-29 04:29	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-08-28 19:11 . 2009-08-28 19:11	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-28 19:11 . 2009-08-03 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-28 07:44 . 2009-08-28 07:44	70144	----a-w-	c:\windows\system32\drivers\ximqevsipmpuwivs.sys
2009-08-22 19:16 . 2009-08-22 19:16	--------	d-----w-	c:\program files\Windows Media Connect 2
2009-08-22 19:13 . 2009-08-22 19:14	--------	d-----w-	c:\windows\system32\drivers\UMDF
2009-08-22 19:13 . 2009-08-22 19:13	--------	d-----w-	c:\windows\system32\LogFiles
2009-08-21 04:57 . 2009-08-21 04:57	--------	d-----w-	c:\windows\system32\XPSViewer
2009-08-21 04:57 . 2009-08-21 04:57	--------	d-----w-	c:\program files\MSBuild
2009-08-21 04:57 . 2009-08-21 04:57	--------	d-----w-	c:\program files\Reference Assemblies
2009-08-21 04:56 . 2008-07-06 12:06	89088	------w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2009-08-21 04:56 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2009-08-21 04:56 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\dllcache\xpsshhdr.dll
2009-08-21 04:56 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2009-08-21 04:56 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2009-08-21 04:56 . 2009-08-21 04:57	--------	d-----w-	C:\74db1a1a14ee1833247e7950f4
2009-08-21 04:56 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2009-08-21 04:56 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\dllcache\xpssvcs.dll
2009-08-20 15:01 . 2009-08-20 15:01	71168	----a-w-	c:\windows\system32\drivers\idbdwfhxfvgexnsv.sys
2009-08-19 10:51 . 2009-08-19 10:51	71168	----a-w-	c:\windows\system32\drivers\mksmiqqyctcetvnt.sys
2009-08-12 10:40 . 2009-07-10 13:27	1315328	------w-	c:\windows\system32\dllcache\msoe.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-06 13:31 . 2004-05-10 16:47	--------	d-----w-	c:\program files\Packard Bell EverSafe
2009-08-29 09:46 . 2002-09-30 10:49	500482	----a-w-	c:\windows\system32\perfh00C.dat
2009-08-29 09:46 . 2002-09-30 10:49	80508	----a-w-	c:\windows\system32\perfc00C.dat
2009-08-17 16:10 . 2007-09-24 18:57	1279456	----a-w-	c:\windows\system32\aswBoot.exe
2009-08-17 16:06 . 2007-09-24 18:57	93392	----a-w-	c:\windows\system32\drivers\aswmon.sys
2009-08-17 16:06 . 2007-09-24 18:57	94160	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2009-08-17 16:05 . 2008-04-22 18:11	114768	----a-w-	c:\windows\system32\drivers\aswSP.sys
2009-08-17 16:05 . 2008-04-22 18:11	20560	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-08-17 16:04 . 2007-09-24 18:57	51376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2009-08-17 16:04 . 2007-09-24 18:57	23152	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2009-08-17 16:03 . 2007-09-24 18:57	26944	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2009-08-17 16:02 . 2007-09-24 18:57	97480	----a-w-	c:\windows\system32\AvastSS.scr
2009-08-07 23:27 . 2004-10-29 14:48	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-06 10:56 . 2006-08-18 07:57	--------	d-----w-	c:\program files\Java
2009-08-05 09:00 . 2002-12-11 22:14	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-07-25 03:23 . 2009-06-03 02:48	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-07-17 19:03 . 2002-09-30 10:48	58880	----a-w-	c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-05-10 15:40	286208	----a-w-	c:\windows\system32\wmpdxm.dll
2009-06-29 15:57 . 2004-08-23 18:35	827392	----a-w-	c:\windows\system32\wininet.dll
2009-06-29 15:57 . 2004-08-19 23:09	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-06-29 15:57 . 2002-09-30 10:48	17408	----a-w-	c:\windows\system32\corpol.dll
2009-06-16 14:40 . 2002-09-30 10:49	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-16 14:40 . 2002-09-30 10:49	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-15 10:44 . 2002-09-30 10:49	78848	----a-w-	c:\windows\system32	elnet.exe
2009-06-10 14:14 . 2002-09-30 10:48	85504	----a-w-	c:\windows\system32\avifil32.dll
2009-06-10 07:21 . 2002-09-30 11:00	2066432	----a-w-	c:\windows\system32\mstscax.dll
2009-06-10 06:15 . 2002-09-30 10:49	132096	----a-w-	c:\windows\system32\wkssvc.dll
2002-08-30 11:00 . 2002-09-30 10:49	94864	--sh--w-	c:\windows	wain.dll
2008-04-14 02:33 . 2002-09-30 10:49	50688	--sh--w-	c:\windows	wain_32.dll
2008-04-14 02:33 . 2002-09-30 10:49	1028096	--sha-w-	c:\windows\system32\mfc42.dll
2008-04-14 02:33 . 2002-09-30 10:49	57344	--sha-w-	c:\windows\system32\msvcirt.dll
2008-04-14 02:33 . 2002-09-30 10:49	413696	--sha-w-	c:\windows\system32\msvcp60.dll
2008-04-14 02:33 . 2002-09-30 10:49	343040	--sha-w-	c:\windows\system32\msvcrt.dll
2008-04-14 02:33 . 2002-09-30 10:49	551936	--sh--w-	c:\windows\system32\oleaut32.dll
2008-04-14 02:33 . 2002-09-30 10:49	84992	--sha-w-	c:\windows\system32\olepro32.dll
2008-04-14 02:34 . 2002-09-30 10:49	12288	--sh--w-	c:\windows\system32egsvr32.exe
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UpdateManager"="c:\program files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-18 110592]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"WorksFUD"="c:\program files\Microsoft Works\wkfud.exe" [2000-07-12 24576]
"Microsoft Works Portfolio"="c:\program files\Microsoft Works\WksSb.exe" [2000-07-12 311350]
"Microsoft Works Update Detection"="c:\program files\Microsoft Works\WkDetect.exe" [2000-08-04 28739]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 57344]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2008-05-19 185896]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-07-01 77824]
"NovaNet-WEB Tray Control"="c:\program files\Packard Bell EverSafe\TrayControl.exe" [2003-07-21 762368]
"ATIPTA"="c:\ati technologies\ATI Control Panel\atiptaxx.exe" [2004-11-30 344064]
"QuickFinder Scheduler"="c:\program files\Corel\WordPerfect Office X4\Programs\QFSCHD140.EXE" [2008-03-21 83232]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
"ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2006-02-20 67264]
"Symantec NetDriver Warning"="c:\progra~1\SYMNET~1\SNDWarn.exe" [2004-10-29 218232]

c:\documents and settings\Les B‚b‚s\Menu D‚marrer\Programmes\D‚marrage\
OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\microsoft office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Exif Launcher.lnk - c:\program files\FinePixViewer\QuickDCF.exe [2004-5-12 241664]
HPAiODevice(hp psc 700 series) - 1.lnk - c:\program files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe [2002-4-24 487484]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Olitec DSL Wizard.LNK - c:\program files\Olitec\DSL Wizard\Setup.exe [2004-5-10 4026368]
Packard Bell EverSafe Tray Control.lnk - c:\program files\Packard Bell EverSafe\TrayControl.exe [2004-5-10 762368]
Rappels du Calendrier Microsoft Works.lnk - c:\program files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe [2000-7-12 24633]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Les Bébés^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.0.lnk]
path=c:\documents and settings\Les Bébés\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.0.lnk
backup=c:\windows\pss\OpenOffice.org 2.0.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\IMApp.exe"=
"c:\Program Files\MSN Messenger\msnmsgr.exe"=
"c:\Program Files\MSN Messenger\livecall.exe"=
"c:\Program Files\TYPSoft FTP Server\ftpserv.exe"=
"c:\PVSW\Bin\w3dbsmgr.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\Program Files\Java\jre1.5.0_08\bin\javaw.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\microsoft office\Office12\ONENOTE.EXE"=

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [10/05/2004 17:49 11264]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [22/04/2008 20:11 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [22/04/2008 20:11 20560]
R2 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [07/12/2006 17:08 32768]
R3 STAC97NA;SigmaTel 3D Environmental Audio;c:\windows\system32\drivers\stac97na.sys [01/01/1980 296179]
R3 STAC97NH;STAC97NH;c:\windows\system32\drivers\stac97nh.sys [01/01/1980 231983]
S2 gupdate1c8fe2d5788ca28;Google Update Service (gupdate1c8fe2d5788ca28);c:\program files\Google\Update\GoogleUpdate.exe [14/08/2008 18:46 133104]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [12/08/2005 18:04 21344]
.
Contents of the 'Scheduled Tasks' folder

2009-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-14 04:24]

2009-09-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2008-08-14 04:24]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Add animation to IncrediMail Style Box - c:\progra~1\INCRED~1\binesources\WebMenuImg.htm
IE: &Search - ?p=ZNfox000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Ouvrir dans WordPerfect - c:\program files\Corel\WordPerfect Office X4\Programs\WPLauncher.hta
Trusted Zone: animaz.fr\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Les Bébés\Application Data\Mozilla\Firefox\Profiles\3t8tozig.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://en-us.start.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer
pzylomgamesplayer.dll
FF - plugin: c:\program files\Google\Lively
plively.dll
FF - plugin: c:\program files\Google\Update\1.2.183.7
pGoogleOneClick8.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pMdm.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pzylomgamesplayer.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-06 19:48
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(516)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-09-06 19:52
ComboFix-quarantined-files.txt  2009-09-06 17:52

Pre-Run: 20 698 210 304 octets libres
Post-Run: 20 694 630 400 octets libres

Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8
202	--- E O F ---	2009-08-28 21:30


Que faut-il faire à présent ?

plopus · Answer

clic ici et clic sur parcouir ne milieu de page

- dans la nouvelle fenetre va cherche ce fichier  c:\windows\system32\drivers\idbdwfhxfvg­exnsv.sys     

et clic sur ouvrir pui sur la page internet analyser, un rapport va s'etablir copie colle le en entier avec le nom des fichiers au debut du rapport

fait pareil avec celui ci   c:\windows\system32\drivers\mksmiqqyctc­etvnt.sys     

si tu ne les trouve pas affiche les dossiers caché ET LES EXTENSION :  https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/

ensuite

Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

discus31 · Answer

Désolé là je suis un peu perdu : Clic ici et clic sur parcouir ne milieu de page => il y a un lien ?

plopus · Answer

excuse j'ai oublié le lien  :-/

https://www.virustotal.com/gui/

tu va mieux comprendre avec   :)

discus31 · Answer

c:\windows\system32\drivers\idbdwfhxfvg­exnsv.sys

Le fichier a déjà été analysé:
MD5: 	bc97929d2b04cbbb8d6d65c774150ba5
First received: 	2009.07.01 13:32:36 UTC
Date 	2009.07.01 13:32:36 UTC [>67D]
Résultats 	0/41
Permalink: 	analisis/8f293a2c394d3135faefcccdc9a37de80ab038eead17d96fc88ac67afbdf0d88-1246455156

c:\windows\system32\drivers\mksmiqqyctc­etvnt.sys 
Le fichier a déjà été analysé:
MD5: 	bc97929d2b04cbbb8d6d65c774150ba5
First received: 	2009.07.01 13:32:36 UTC
Date 	2009.09.06 19:07:20 UTC [<1D]
Résultats 	0/41
Permalink: 	analisis/8f293a2c394d3135faefcccdc9a37de80ab038eead17d96fc88ac67afbdf0d88-1252264040

Je vais lancer RSIT

discus31 · Answer

log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Les Bébés at 2009-09-06 21:16:54
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 20 GB (26%) free of 76 GB
Total RAM: 767 MB (36% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:18:13, on 06/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PVSW\Bin\WGE_SRV.exe
C:\PVSW\BIN\W3dbsmgr.EXE
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Les Bébés\Bureau\RSIT.exe
C:\Documents and Settings\Les Bébés\Bureau\Progs Fm Net\Les Bébés.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "c:\Program Files\Corel\WordPerfect Office X4\Programs\QFSCHD140.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\microsoft office\Office12\ONENOTEM.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Olitec DSL Wizard.LNK = C:\Program Files\Olitec\DSL Wizard\Setup.exe
O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - ?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans WordPerfect - c:\Program Files\Corel\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: https://www.animaz.fr/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: Google Update Service (gupdate1c8fe2d5788ca28) (gupdate1c8fe2d5788ca28) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

discus31 · Answer

Pour le fichier info :

https://www.cjoint.com/?jgvAFo7sSU

Merci pour votre temps

plopus · Answer

va dans demarrer/executer

et tape

cmd

dans la fenetre noir tape EXACTEMENT le h au debut et a la fin et pas en majuscule mais le reste oui

sc delete hSONYPVh

puis entrée et dit moi si ta dit bien service delete

ensuite 

Fais un scan en ligne Kaspersky :

• Désactive ton antivirus
• Fais un scan en ligne ici https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
• Clique sur "Kaspersky Online Scanner Cliquez-ici"
• Lis le texte d'information, puis clique sur « J'accepte »
• Si une fenêtre te demande t'exécuter un programme, accepte
• Une fois la mise à jour téléchargée, choisis "Poste de travail" pour le scan.
• A la fin de l'analyse, clique sur « Enregistrer rapport » et poste le dans ta prochaine réponse.

Tutoriel illustré : https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky


ou ici avec internet explorer si sa marche pas avec kaspersky a la fin tu copie colle la page internet ici avec les lignes  infecté pas juste le nombre de virus :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

puis lance un scan complet avec malwarebyte supprime ce qu'il trouve , poste le rapport

si tu n'as pas utilise CCleaner :  https://www.malekal.com/tutoriel-ccleaner/
va dans option/avancé et nettoie plusieurs fois dans les 2 onglets nettoyeur et registre jusqu' a trouver 0erreur

ensuite poste un nouveau log RSIT

et dit moi comment sa va le PC ?

discus31 · Answer

deleteservicesuccess

Je vais faire l'analyse avec Kaspersky

discus31 · Answer

J'ai été obligé de télécharger kaspersky antivirus car impossible de lancer le webscanner (problème de licence !!)

J'ai fait une analyse rapide et il n'a rien détecté :

Analyse Rapide: terminée :  il y a 1 minute   (événements : 2, objets : 1186, durée : 00:03:18)	
06/09/2009 22:46:55	Lancement de la tâche			
06/09/2009 22:50:18	Fin de la tâche	

Je lance cette nuit une analyse compléte

Je voulais encore vous remercier de l'aide que vous m'avez apporté cette après midi

Passez une bonne soirée

CDT

discus31 · Answer

Bonjour,

L'analyse complète s'est terminée il y a une heure : 

Apparement il y a plein de m sur le pc !!

Analyse Rapide: terminée :  il y a 6 heures   (événements : 2, objets : 1186, durée : 00:03:18)	
06/09/2009 22:46:55	Lancement de la tâche			
06/09/2009 22:50:18	Fin de la tâche			
Analyse Complète: terminée :  il y a 1 heure   (événements : 22, objets : 1153175, durée : 05:15:26)	
06/09/2009 23:04:32	Lancement de la tâche			
06/09/2009 23:15:12	Détectés: Rootkit.Win32.Agent.oxr	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215820.sys		
06/09/2009 23:15:13	Détectés: Trojan.Win32.Tdss.anrc	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215822.dll		
06/09/2009 23:15:13	Détectés: Trojan.Win32.TDSS.amwo	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215821.dll		
06/09/2009 23:17:22	Supprimés: Trojan.Win32.Tdss.anrc	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215822.dll		
06/09/2009 23:17:22	Supprimés: Rootkit.Win32.Agent.oxr	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215820.sys		
06/09/2009 23:17:23	Détectés: Packed.Win32.TDSS.y	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215823.dll		
06/09/2009 23:17:23	Détectés: Packed.Win32.TDSS.y	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215824.dll		
06/09/2009 23:17:23	Supprimés: Trojan.Win32.TDSS.amwo	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215821.dll		
06/09/2009 23:17:24	Supprimés: Packed.Win32.TDSS.y	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215823.dll		
06/09/2009 23:17:24	Supprimés: Packed.Win32.TDSS.y	c:\System Volume Information\_restore{9AEDEF4B-1977-4657-B854-EFDB21259CFF}\RP1655\A0215824.dll		
07/09/2009 03:18:58	Détectés: Packed.Win32.TDSS.y	c:\Qoobox\Quarantine\C\WINDOWS\system32\UAChxwbrntjlq.dll.vir		
07/09/2009 03:18:58	Détectés: Packed.Win32.TDSS.y	c:\Qoobox\Quarantine\C\WINDOWS\system32\UACdlypdmybiw.dll.vir		
07/09/2009 03:18:59	Détectés: Trojan.Win32.Tdss.anrc	c:\Qoobox\Quarantine\C\WINDOWS\system32\UACqpabriwjye.dll.vir		
07/09/2009 03:20:52	Supprimés: Packed.Win32.TDSS.y	c:\Qoobox\Quarantine\C\WINDOWS\system32\UAChxwbrntjlq.dll.vir		
07/09/2009 03:20:52	Supprimés: Packed.Win32.TDSS.y	c:\Qoobox\Quarantine\C\WINDOWS\system32\UACdlypdmybiw.dll.vir		
07/09/2009 03:20:52	Détectés: Trojan.Win32.TDSS.amwo	c:\Qoobox\Quarantine\C\WINDOWS\system32\UACvmpjxvakom.dll.vir		
07/09/2009 03:20:52	Détectés: Rootkit.Win32.Agent.oxr	c:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACnsfodpqjdq.sys.vir		
07/09/2009 03:20:52	Supprimés: Trojan.Win32.Tdss.anrc	c:\Qoobox\Quarantine\C\WINDOWS\system32\UACqpabriwjye.dll.vir		
07/09/2009 03:21:16	Supprimés: Rootkit.Win32.Agent.oxr	c:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\UACnsfodpqjdq.sys.vir		
07/09/2009 03:21:17	Supprimés: Trojan.Win32.TDSS.amwo	c:\Qoobox\Quarantine\C\WINDOWS\system32\UACvmpjxvakom.dll.vir		
07/09/2009 04:19:58	Fin de la tâche			
Recherche d'outils de dissimulation d'activité: terminée :  il y a 6 heures   (événements : 2, objets : 633, durée : 00:05:39)	
06/09/2009 23:10:45	Lancement de la tâche			
06/09/2009 23:16:24	Fin de la tâche			


Bonne journée

plopus · Answer

salut

c'est impeccable, tout les virus trouvés ont deja ete supprimé certains ce trouve dans ta restauration systeme (sytemeVolumeRestore) qu'on va purgé pour eviter de les faire revenir si tu fait une restauration systeme et ton rootkit dans la Qobox c'est a dire la quarantaine de combofix donc pour moi  c'est bon ton PC est sain

tu as encore des probleme ?

passe un coup de CCleaner comme expliqué et poste un nouveau RSIT pour finir proprement

discus31 · Answer

Bonjour,

Encore merci pour votre aide
Bonne soirée

Voici le rapport :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Les Bébés at 2009-09-07 18:51:23
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 19 GB (25%) free of 76 GB
Total RAM: 767 MB (41% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:52:36, on 07/09/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\apps\ABoard\ABoard.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Packard Bell EverSafe\TrayControl.exe
C:\apps\ABoard\AOSD.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\FinePixViewer\QuickDCF.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
C:\PVSW\Bin\WGE_SRV.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\PVSW\BIN\W3dbsmgr.EXE
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\WINDOWS\wanmpsvc.exe
C:\Program Files\IncrediMail\bin\IncMail.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Program Files\EBP\Gestion12.0\Gestion.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Les Bébés\Bureau\RSIT.exe
C:\Documents and Settings\Les Bébés\Bureau\Progs Fm Net\Les Bébés.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [UpdateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NovaNet-WEB Tray Control] C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "c:\Program Files\Corel\WordPerfect Office X4\Programs\QFSCHD140.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [ALUAlert] C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Symantec NetDriver Warning] C:\PROGRA~1\SYMNET~1\SNDWarn.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 - Capture d'écran et lancement.lnk = C:\Program Files\microsoft office\Office12\ONENOTEM.EXE
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 700 series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp psc 700 series\Bin\hpobrt07.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Olitec DSL Wizard.LNK = C:\Program Files\Olitec\DSL Wizard\Setup.exe
O4 - Global Startup: Packard Bell EverSafe Tray Control.lnk = C:\Program Files\Packard Bell EverSafe\TrayControl.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - ?p=ZNfox000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans WordPerfect - c:\Program Files\Corel\WordPerfect Office X4\Programs\WPLauncher.hta
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: https://www.animaz.fr/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: EBP Pervasive.SQL - Unknown owner - C:\PVSW\Bin\WGE_SRV.exe
O23 - Service: Google Update Service (gupdate1c8fe2d5788ca28) (gupdate1c8fe2d5788ca28) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Fichiers communs\Protexis\License Service\PsiService_2.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

plopus · Answer

telecharge hijackthis sur ton bureau

lance choisit do a scan only et coche les cases a gauche des lignes :

 O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) 
 O4 - HKLM\..\Run: [WorksFUD] C:\Program Files\Microsoft Works\wkfud.exe     
 O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers     
 O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Microsoft Works\WkDetect.exe     
 O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot     
 O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime     
 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe     
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')     
 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')     
 O4 - Global Startup: Exif Launcher.lnk = ? 
 O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe      
 O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ? 
 O8 - Extra context menu item: &Search - ?p=ZNfox000 

puis clic sur fix checked


ensuite lance malwarebyte, fait une mise  a jour et lance un scan, supprime ce qu'il trouve te poste le rapport


ensuite clic ici  http://www.cijoint.fr/cj200909/cijqZQfrFv.txt
et suit les instruction et poste le rapport

puis  on peut aussi verfier la vulnerabilité de windows et aussi d'autre produits

- Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html

- Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
https://filehippo.com/windows/tuning-utilities/

desinstalle les ancienne versions des  produits que tu dois mettre a jour


puis si + de problemes

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :


    * Télécharge Toolscleaner sur ton Bureau

     https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
    * Double-clique sur ToolsCleaner2.exe et laisse le travailler
    * Clique sur Recherche et laisse le scan se terminer.
    * Clique sur Suppression pour finaliser.
    * Tu peux, si tu le souhaites, te servir des Options facultatives.
    * Clique sur Quitter, pour que le rapport puisse se créer.
    * Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse


ensuite trés important car les virus ont bien touché la restauration systeme
purge ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information

puis creer un point de restauration sain avec sa https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/
et met ton sujet en resolu

discus31 · Answer

Bonsoir,

J'ai lancé le scan malwerbytes :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2753
Windows 5.1.2600 Service Pack 3

07/09/2009 23:16:22
mbam-log-2009-09-07 (23-16-22).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 268684
Temps écoulé: 2 hour(s), 34 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

discus31 · Answer

Puis voici le rapport OTM :

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named TeaTimer.exe was found!
No active process named iexplorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lphcrskj0e30g\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhcvskj0e30g\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sonic RecordNow!\C:\Program Fileshcvskj0e30ghcvskj0e30g.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->FireFox cache emptied: 13373882 bytes
 
User: Les BÃ©bÃ©s
 
User: Les Bébés
->Temp folder emptied: 357980795 bytes
File delete failed. C:\Documents and Settings\Les Bébés\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 8332061 bytes
->Java cache emptied: 25493442 bytes
->FireFox cache emptied: 76798213 bytes
 
User: Les BÚbÚs
 
User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Propriétaire
 
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 39097 bytes
%systemroot%\System32 .tmp files removed: 4148736 bytes
Windows Temp folder emptied: 1081796 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 464,77 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 09082009_212600

Files moved on Reboot...

Registry entries deleted on Reboot...


Je vais faire le reste demain et cloturerai le post

Je vous remercie de toutes l'aide apportée car nous avons enfin un pc clean !!! ca va être mieux pour travailler

plopus · Answer

bonsoir

de rien, fait bien le poste  24 dans son integralité pour prevenir de ce genre d'infection a l'avenir

@+

discus31 · Answer

Bonjour

Ok pour le post 24 mais il vaut mieux supprimer les bons éléments.

RESOLU

Ps voici le message de toolcleaner :

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Les Bébés\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\Les Bébés\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\Les Bébés\Bureau\Progs Fm Net\HijackThis.exe: trouvé !
C:\Documents and Settings\Les Bébés\Bureau\Progs Fm Net\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\Les Bébés\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\Les Bébés\Bureau\Progs Fm Net\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Les Bébés\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\Les Bébés\Bureau\Progs Fm Net\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !


Bonne journée

Win 32 infecté par fasec : rapport hijackthis

28 réponses

Votre réponse

Discussions similaires

Newsletters