Sujet Précédent Sujet Suivant

Interprétation HijackThis pour PC infecté

flag56 -  
 flag56 -
Bonjour,

Depuis quelques jours, un problème est apparu sur mon portable: ouvertures intempestives d'internet explorer vers le site runelocus.com, adresse http://Im4ge.info/vote.php qui menace ouvertement de poursuivre l'infection tant que l'on n'a pas "voté".
En parallèle, après quelques vérifications, un programme s'installe tout seul et se duplique dans C:\Documents and Settings\user, nommé 16674.exe, ou 27164.exe, et se multiple, toujours une série de 5 chiffres.exe, avec une icône de tête de diablotin rouge et ricanante... Il envahie également le preftech de windows.
J'ai tenté un nettoyage complet en mode sans echec par plusieurs antivirus tels que avira antiviren suivant un tutorial.
Ci-dessous le rapport HijackThis.
Pouvez vous m'aider?
D'avance un grand merci!

Je tourne avec un portable lenovo X60 et wondows XP, IE8.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:42:22, on 05/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Ink\KeyboardSurrogate.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lenovo\TrackPoint\TP4SERVINST.EXE
C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\Program Files\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\SYSTEM32\WISPTIS.EXE
C:\WINDOWS\System32\tabbtnu.exe
C:\Program Files\Lenovo\TrackPoint\tp4serv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TCServer.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Ink\TabTip.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Windows\system32\nvscv32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Windows\msnmger.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\HijackThis\Scanner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptcl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4431.1036\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [TrackPointSrv] C:\Program Files\Lenovo\TrackPoint\tp4serv.exe
O4 - HKLM\..\Run: [TabletTip] "C:\Program Files\Fichiers communs\microsoft shared\ink\tabtip.exe" /resume
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\ThinkVantage Fingerprint Software\launcher.exe" /startup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogicoolQCamRibbon] "C:\Program Files\Logicool\QCam\Qcam.exe" /hide
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [32.exe] C:\Windows\system32\nvscv32.exe
O4 - HKLM\..\Run: [lol] C:\Windows\msnmger.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TabletWizard] %windir%\help\wizard.hta (User 'SERVICE RÉSEAU')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/controls/contactx.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logicool Co., Ltd - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: tp4serv - Lenovo Group Limited - C:\Program Files\Lenovo\TrackPoint\TP4SERVINST.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
A voir également:

7 réponses

Réponse 1 / 7
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
0
flag56
 
ok merci! je lance le procédure, et te réponds ensuite!
0
flag56
 
OK, analyse terminée, infection trouvée!!
Voici le rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2908
Windows 5.1.2600 Service Pack 3

05/10/2009 11:55:01
mbam-log-2009-10-05 (11-55-01).txt

Type de recherche: Examen rapide
Eléments examinés: 100269
Temps écoulé: 6 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\01CPGJNL\chat[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\install.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\services.exe (Trojan.Agent) -> Quarantined and deleted successfully.


Qu'en penses-tu, était-ce l'origine de mon problème?
0
flag56 > flag56
 
Update:

Le problème persiste!
Malgrès le nettoyage et redémarrage, j'ai toujours l'installation sauvage de plein de petits programmes style "10987.exe dans user, et mon disque externe se rempli de dossiers aux libellés incompréhensibles et impossibles à ouvrir ou supprimer...

Help !!
0
Réponse 2 / 7
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

il faut regarder plus en profondeur.

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, lance ZHPDiag.exe.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
flag56
 
Voilà c'est fait:

http://www.cijoint.fr/cjlink.php?file=cj200910/cijwd6o7pS.txt
0
Réponse 3 / 7
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

alors, dans l'ordre :

(il va gêner la désinfection)

Ouvre Spybot search and destroy.

clique sur mode, choisis advanced mode;

dans la colonne de gauche clique sur le + devant tools.

clique sur résident (colonne de gauche)

dans la fenêtre de droite décoche la case devant "resident tea-timer"

Désinstalle Spybot S&D via le panneau de configuration, il va gêner la désinfection.

Tu le réinstalleras à la fin si tu souhaites.

Supprime aussi le répertoire C:\Program Files\Spybot - Search & Destroy

===

=>Télécharge ATF-Cleaner (Attribune) : http://www.atribune.org/ccount/click.php?id=1
-- Met le sur ton bureau

=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected

* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected

* Quitte ATF-Cleaner
==

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj200910/cij1cbIIn7.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===
Scanne ton Poste de travail avec ton antivirus

===

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

0
flag56
 
Bon voilà,
Désolé pour la réponse tardive, obligations familiales oblige!
J'ai tout fait comme demandé:
Le rapport ZHPDFix:
ZHPFix v1.12.14 by Nicolas Coolman - Rapport de suppression du 06/10/2009 11:06:09
Fichier d'export Registre : C:\ZHPExportRegistry-06-10-2009-11-06-09.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
C:\Windows\msnmger.exe => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
O4 - HKLM\..\Run: [32.exe] C:\Windows\system32\nvscv32.exe => Valeur supprimée
O4 - HKLM\..\Run: [lol] C:\Windows\msnmger.exe => Valeur supprimée
O47 - AAKE:Key Export SP - "C:\Windows\system32\nvscv32.exe"="C:\Windows\system32\nvscv32.exe:*:Enabled:Windows Boot Device" => Valeur supprimée
O47 - AAKE:Key Export SP - "C:\Windows\msnmger.exe"="C:\Windows\msnmger.exe:*:Enabled:Windows Serivce Pack Updater" => Valeur supprimée

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
C:\Windows\system32\nvscv32.exe => Supprimé et mis en quarantaine
C:\Windows\msnmger.exe => Fichier absent
C:\WINDOWS\download25992.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download14029.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download12550.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download6416.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download928.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download31674.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download31665.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download22640.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download14618.exe => Supprimé et mis en quarantaine
C:\WINDOWS\System32\nvscv32.exe => Fichier absent
C:\WINDOWS\System32\18018.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download15251.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download15723.exe => Supprimé et mis en quarantaine
C:\WINDOWS\download15725.exe => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Autre :
<HTML><META HTTP-EQUIV="content-type" CONTENT="text/html;charset=utf-8"> => Format Non supporté
<PRE>C:\Windows\system32\nvscv32.exe => Format Non supporté
</PRE> => Format Non supporté


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 4
Elément de données du Registre : 0
Dossier : 0
Fichier : 16
Logiciel : 0
Autre : 3



End of the scan

Puis j'ai scanné avec mon antivirus (McAfee entreprise, pas le choix...) qui n'a rien trouvé,
puis MBAM, voici son rapport:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2908
Windows 5.1.2600 Service Pack 3

06/10/2009 11:29:20
mbam-log-2009-10-06 (11-29-20).txt

Type de recherche: Examen rapide
Eléments examinés: 98935
Temps écoulé: 12 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Suite à tous cela, je n'ai plus l'ouverture intempestive d'onglets ie, mais j'ai toujours l'apparition spontanée de petits exécutables style 23463.exe et download3246.exe qui se multiplient tous seul dans C:\Documents and Settings\user et C:\WINDOWS ainsi que dans C:\WINDOWS\Prefetch.

Il y a donc toujours quelque part une application qui tourne et qui télécharge ces modules, je n'arrive pas à l'identifier. ELLE NE FONCTIONNE QUE LORSQUE JE SUIS CONNECTE A INTERNET. Si pas de connection, pas de fichiers créés...

Par ailleurs, j'ai toujours sur mon dique dur externe des tas de dossiers qui se sont créés tout seul du style
/Ì
Ãn=x.▓u¹, impossibles à supprimer. USBFix l'a tenté, sans succès..

Qu'en penses-tu?

Encore merci de ton aide!
0
Réponse 4 / 7
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

pas de souci pour le délai.

On va hausser le ton.

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

===

Pour ton DD externe, j'ai un problème de lecture des noms.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Re,

je ne connais pas le parefeu de Mc Afee.

Il y en a un ?

Si oui, tu as la possibilité de voir avec quelle ip tu es en connexion ?
0
flag56
 
Ah ouais! ça rigole pas!

Bon, j'ai tout fais, mais juste avant ta réponse, j'ai fait une petite analyse perso en mode sans echec, et trouvé cette cohonnerie: nvscv32.exe dans system32, que j'ai effacé. Combofix a supprimé le clef de registre correspondante. Et depuis... Semblerait que le problème ai disparu, plus de création innopportune de petits programmes... Mais je ne crie pas victoire, et j'ai suivi ta procédure à la lettre.
Concernant l'adresse IP, le voici: 81.48.215.188, et le pare feu mc afee devrait pourtant être activé?

Voici le rapport combofix qui a nettoyé certains fichiers:

ComboFix 09-10-05.01 - user 06/10/2009 14:05.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1014.571 [GMT 2:00]
Lancé depuis: c:\documents and settings\user\Bureau\ComboFix.exe
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\ThinkPad\ConnectUtilities\ACGina.dll
c:\windows\Installer\b588f.msi
c:\windows\system32\sqlite3.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-09-06 au 2009-10-06 ))))))))))))))))))))))))))))))))))))
.

2009-10-06 12:11 . 2009-10-06 12:11 -------- d-----w- c:\windows\system32\1036
2009-10-06 12:11 . 2009-10-06 12:11 -------- d-----w- c:\windows\system32\1033
2009-10-06 08:43 . 2009-10-06 08:44 -------- d-----w- C:\rsit
2009-10-05 12:06 . 2009-10-06 09:06 -------- d-----w- c:\program files\ZHPDiag
2009-10-05 09:46 . 2009-10-05 09:46 -------- d-----w- c:\documents and settings\user\Application Data\Malwarebytes
2009-10-05 09:46 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-05 09:46 . 2009-10-05 09:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-05 09:46 . 2009-10-05 09:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-05 09:46 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-03 05:32 . 2009-10-03 05:32 -------- d-----w- c:\documents and settings\NetworkService\Bureau
2009-10-02 18:05 . 2009-03-24 14:07 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-10-02 12:28 . 2009-10-06 10:55 -------- d-----w- C:\HijackThis
2009-10-02 12:19 . 2009-10-02 12:19 -------- d-----w- c:\documents and settings\LocalService\Bureau
2009-09-29 23:35 . 2009-01-22 00:40 163840 ----a-w- c:\windows\system32\SecureNet.dll
2009-09-29 08:33 . 2009-09-29 08:33 -------- d-----w- c:\program files\iPod
2009-09-29 08:33 . 2009-09-29 08:35 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-29 08:28 . 2009-09-29 08:29 -------- d-----w- c:\program files\QuickTime
2009-09-29 08:19 . 2009-09-29 08:29 -------- d-----w- c:\documents and settings\user\Application Data\U3
2009-09-15 14:13 . 2009-09-15 14:13 -------- d-----w- c:\program files\Inachis
2009-09-13 18:05 . 2009-10-03 06:52 -------- d-----w- c:\program files\Goto Software
2009-09-13 18:05 . 2009-10-03 06:52 -------- d-----w- c:\documents and settings\All Users\Application Data\VadeRetro
2009-09-13 07:44 . 2009-09-13 07:44 -------- d-----w- c:\documents and settings\user\Application Data\Leadertech
2009-09-13 07:43 . 2008-12-17 06:01 432664 ----a-r- c:\windows\system32\LVUI2RC.dll
2009-09-13 07:43 . 2008-12-17 06:00 490008 ----a-r- c:\windows\system32\LVUI2.dll
2009-09-13 07:43 . 2008-12-17 05:55 416280 ----a-r- c:\windows\system32\lvcodec2.dll
2009-09-13 07:43 . 2008-12-17 06:01 6363800 ----a-r- c:\windows\system32\drivers\lvuvc.sys
2009-09-13 07:42 . 2008-12-17 05:37 29562 ----a-r- c:\windows\system32\Repository.reg
2009-09-13 07:42 . 2008-12-17 06:01 41112 ----a-r- c:\windows\system32\drivers\LVUSBSta.sys
2009-09-13 07:42 . 2008-12-17 06:00 767384 ----a-r- c:\windows\system32\drivers\lvrs.sys
2009-09-13 07:42 . 2008-12-17 05:55 195096 ----a-r- c:\windows\system32\lvci11901262.dll
2009-09-13 07:41 . 2008-12-17 06:01 23192 ----a-r- c:\windows\system32\drivers\lvuvcflt.sys
2009-09-13 07:40 . 2009-09-13 07:43 -------- d-----w- c:\program files\Fichiers communs\LogiShrd
2009-09-13 07:40 . 2009-09-13 07:40 -------- d-----w- c:\program files\Logicool
2009-09-13 07:39 . 2009-09-13 07:40 -------- d-----w- c:\documents and settings\All Users\Application Data\LogiShrd
2009-09-13 07:39 . 2008-04-13 17:39 5504 -c--a-w- c:\windows\system32\dllcache\mstee.sys
2009-09-13 07:39 . 2008-04-13 17:39 5504 ----a-w- c:\windows\system32\drivers\MSTEE.sys
2009-09-13 07:39 . 2008-04-13 17:46 10880 -c--a-w- c:\windows\system32\dllcache\ndisip.sys
2009-09-13 07:39 . 2008-04-13 17:46 10880 ----a-w- c:\windows\system32\drivers\NdisIP.sys
2009-09-13 07:39 . 2008-04-13 17:46 15232 -c--a-w- c:\windows\system32\dllcache\streamip.sys
2009-09-13 07:39 . 2008-04-13 17:46 15232 ----a-w- c:\windows\system32\drivers\StreamIP.sys
2009-09-13 07:38 . 2008-04-13 17:46 11136 -c--a-w- c:\windows\system32\dllcache\slip.sys
2009-09-13 07:38 . 2008-04-13 17:46 11136 ----a-w- c:\windows\system32\drivers\SLIP.sys
2009-09-13 07:38 . 2008-04-13 17:46 19200 -c--a-w- c:\windows\system32\dllcache\wstcodec.sys
2009-09-13 07:38 . 2008-04-13 17:46 19200 ----a-w- c:\windows\system32\drivers\WSTCODEC.SYS
2009-09-13 07:38 . 2008-04-13 17:46 85248 -c--a-w- c:\windows\system32\dllcache\nabtsfec.sys
2009-09-13 07:38 . 2008-04-13 17:46 85248 ----a-w- c:\windows\system32\drivers\NABTSFEC.sys
2009-09-13 07:38 . 2008-04-13 17:46 17024 -c--a-w- c:\windows\system32\dllcache\ccdecode.sys
2009-09-13 07:38 . 2008-04-13 17:46 17024 ----a-w- c:\windows\system32\drivers\CCDECODE.sys
2009-09-13 07:38 . 2008-04-14 01:33 54784 -c--a-w- c:\windows\system32\dllcache\vfwwdm32.dll
2009-09-13 07:38 . 2008-04-14 01:33 54784 ----a-w- c:\windows\system32\vfwwdm32.dll
2009-09-12 19:18 . 2009-09-12 19:18 -------- d-----w- c:\documents and settings\user\Application Data\Auslogics
2009-09-12 19:17 . 2009-09-12 19:17 -------- d-----w- c:\program files\Auslogics
2009-09-12 18:57 . 2009-10-06 09:13 -------- d-----w- c:\documents and settings\user\Application Data\vlc
2009-09-10 11:26 . 2009-06-21 21:47 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-07 21:10 . 2009-09-28 08:15 161000 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-06 10:52 . 2009-05-05 18:34 -------- d-----w- c:\program files\Unlocker
2009-10-06 08:49 . 2008-02-22 21:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-10-05 14:43 . 2008-02-22 21:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-10-05 14:38 . 2008-02-22 21:39 -------- d-----w- c:\program files\Lavasoft
2009-10-05 14:37 . 2008-02-22 21:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2009-10-05 14:26 . 2009-05-06 05:26 -------- d-----w- c:\program files\Bonjour
2009-10-03 06:52 . 2008-12-12 12:35 -------- d-----w- c:\program files\Fichiers communs\Goto Software
2009-10-02 12:01 . 2007-06-15 12:10 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
2009-10-01 19:58 . 2008-11-24 16:58 -------- d-----w- c:\documents and settings\user\Application Data\Azureus
2009-09-30 17:57 . 2008-02-23 08:41 -------- d-----w- c:\documents and settings\user\Application Data\Skype
2009-09-30 16:45 . 2009-09-13 08:50 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2009-09-30 16:44 . 2009-09-13 07:42 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2009-09-29 08:35 . 2009-05-06 05:26 -------- d-----w- c:\program files\iTunes
2009-09-29 08:33 . 2009-05-06 05:25 -------- d-----w- c:\program files\Fichiers communs\Apple
2009-09-29 08:27 . 2009-08-31 11:07 -------- d-----w- c:\documents and settings\user\Application Data\TuneUpMedia
2009-09-27 09:14 . 2009-08-17 10:49 -------- d-----w- c:\documents and settings\All Users\Application Data\DxO_Labs
2009-09-15 11:48 . 2009-06-14 04:54 -------- d-----w- c:\documents and settings\user\Application Data\dvdcss
2009-09-12 16:47 . 2009-06-07 13:44 -------- d-----r- c:\program files\Skype
2009-09-12 16:47 . 2008-02-22 21:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype
2009-09-12 07:51 . 2008-03-07 08:50 -------- d-----w- c:\program files\Microsoft Silverlight
2009-09-11 18:34 . 2008-03-02 19:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-31 11:08 . 2009-08-31 11:07 -------- d-----w- c:\program files\TuneUpMedia
2009-08-31 11:08 . 2009-08-31 11:07 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUpMedia
2009-08-31 11:04 . 2008-11-24 16:57 -------- d-----w- c:\program files\Vuze
2009-08-06 17:24 . 2007-06-15 09:34 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2007-06-15 09:34 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2007-06-15 09:34 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 17:24 . 2005-05-26 02:16 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2007-06-15 09:34 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2004-08-05 12:00 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2007-06-15 09:34 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2007-06-20 08:42 274288 ----a-w- c:\windows\system32\mucltui.dll
2009-08-06 17:23 . 2007-06-15 09:34 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-06 17:23 . 2005-05-26 02:19 215920 ----a-w- c:\windows\system32\muweb.dll
2009-08-05 09:00 . 2004-08-05 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-05 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-22 68856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="c:\program files\Lenovo\TrackPoint\tp4serv.exe" [2007-11-08 92960]
"TabletTip"="c:\program files\Fichiers communs\microsoft shared\ink\tabtip.exe" [2008-04-14 271872]
"TPHOTKEY"="c:\progra~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 94208]
"PSQLLauncher"="c:\program files\ThinkVantage Fingerprint Software\launcher.exe" [2006-04-25 31232]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2007-02-22 112216]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 136768]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-15 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-15 162328]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"LogicoolQCamRibbon"="c:\program files\Logicool\QCam\Qcam.exe" [2008-12-20 2654992]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BTTray.lnk - c:\program files\ThinkPad\Bluetooth Software\BTTray.exe [2007-2-27 561213]
EPSON Status Monitor 3 Environment Check 2.lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2008-8-25 135680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\loginkey]
2008-04-14 02:33 47104 ----a-w- c:\program files\Fichiers communs\Microsoft Shared\Ink\loginkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify]
2006-12-25 08:29 32768 ----a-w- c:\program files\ThinkPad\ConnectUtilities\ACNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2006-04-25 17:20 40448 ----a-w- c:\windows\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TabBtnWL]
2002-08-29 09:45 11776 ----a-w- c:\windows\system32\tabbtnwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-05 14:45 28672 ----a-w- c:\windows\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpgwlnotify]
2008-04-14 02:33 32256 ----a-w- c:\windows\system32\tpgwlnot.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 11:16 24576 ----a-w- c:\windows\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli psqlpwd

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"EZEJMNAP"=c:\progra~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
"SoundMAX"="c:\program files\Analog Devices\SoundMAX\Smax4.exe" /tray
"SoundMAXPnP"=c:\program files\Analog Devices\Core\smax4pnp.exe
"TPKMAPHELPER"=c:\program files\ThinkPad\Utilities\TpKmapAp.exe -helper
"TabletWizard"=c:\windows\help\SplshWrp.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Vuze\\Azureus.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 smihlp;SMI helper driver;c:\program files\ThinkVantage Fingerprint Software\smihlp.sys [25/04/2006 19:00 3456]
R2 tp4serv;tp4serv;c:\program files\Lenovo\TrackPoint\tp4servinst.exe [08/11/2007 11:56 35616]
R3 Tp4Track;PS/2 TrackPoint Driver;c:\windows\system32\drivers\tp4track.sys [15/06/2007 13:38 22568]
R3 WacomPen;Pilote de tablette Wacom à stylet série;c:\windows\system32\drivers\wacompen.sys [15/06/2007 13:13 14208]
S3 EPUSBSTOR;EPSON USB Storage Driver;c:\windows\system32\drivers\epusbsto.sys [10/09/2001 17976]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-10-06 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-02-22 06:52]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} - hxxp://www.facebook.com/controls/contactx.dll
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
HKCU-Run-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
HKLM-Run-32.exe - c:\windows\system32\nvscv32.exe
AddRemove-HijackThis - c:\hijackthis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-06 14:13
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1417001333-1229272821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*r*¼*%\OpenWithList]
@Class="Shell"

[HKEY_USERS\S-1-5-21-1417001333-1229272821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*%ø*Æ*]
@Class="Shell"

[HKEY_USERS\S-1-5-21-1417001333-1229272821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*%ø*Æ*\OpenWithList]
@Class="Shell"

[HKEY_USERS\S-1-5-21-1417001333-1229272821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*i%s*“%]
@Class="Shell"

[HKEY_USERS\S-1-5-21-1417001333-1229272821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*i%s*“%\OpenWithList]
@Class="Shell"

[HKEY_USERS\S-1-5-21-1417001333-1229272821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*“%u*¹*]
@Class="Shell"

[HKEY_USERS\S-1-5-21-1417001333-1229272821-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*“%u*¹*\OpenWithList]
@Class="Shell"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(904)
c:\program files\ThinkPad\ConnectUtilities\ACNotify.dll
c:\program files\ThinkPad\ConnectUtilities\AcSvcStub.dll
c:\program files\ThinkPad\ConnectUtilities\AcLocSettings.dll
c:\program files\ThinkPad\ConnectUtilities\ACHelper.dll
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\windows\system32\biologon.dll
c:\program files\ThinkVantage Fingerprint Software\homepass.dll
c:\program files\ThinkVantage Fingerprint Software\bio.dll
c:\program files\ThinkVantage Fingerprint Software\remote.dll
c:\program files\ThinkVantage Fingerprint Software\ps2css.dll
c:\windows\system32\tphklock.dll
c:\program files\ThinkVantage Fingerprint Software\crypto.dll

- - - - - - - > 'lsass.exe'(964)
c:\windows\system32\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\infra.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll

- - - - - - - > 'explorer.exe'(1428)
c:\windows\system32\btmmhook.dll
c:\program files\windows journal\nbmaptip.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\program files\ThinkPad\Bluetooth Software\bin\btwdins.exe
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Fichiers communs\Microsoft Shared\Ink\keyboardsurrogate.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\program files\McAfee\Common Framework\FrameworkService.exe
c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\program files\ThinkPad\ConnectUtilities\AcSvc.exe
c:\program files\McAfee\Common Framework\naPrdMgr.exe
c:\program files\Canon\CAL\CALMAIN.exe
c:\windows\system32\wisptis.exe
c:\windows\system32\tabbtnu.exe
c:\program files\Fichiers communs\Microsoft Shared\Ink\tcserver.exe
c:\program files\McAfee\Common Framework\Mctray.exe
c:\program files\Fichiers communs\LogiShrd\LQCVFX\COCIManager.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2009-10-06 14:20 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-06 12:20

Avant-CF: 8 506 245 120 octets libres
Après-CF: 8 358 424 576 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(3)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

291 --- E O F --- 2009-09-11 18:37


Voilà!

Bon, petite bière, et je vais grignoter un morceau, mais je garde un oeuil sur l'écran!!!

Encore merci, j'ai l'impression que cela progresse!!

Pour le disque dur, effectivement, cela ressemble a un problème de lecture des noms, j'avais eu la mauvaise idée de le tripatouillé avec swissknife, je crois que je suis bon pour une sauvegarde des données et un formatage...
0
Réponse 6 / 7
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonsoir,

c'est bizarre ton histoire de nvscv32.exe

Il est dans la liste supprimée par ZHPFix, ainsi que la clé.

Je voudrais vérifier un fichier :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\system32\lvci11901262.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
0
flag56
 
Voila le rapport d'analyse, il sembrerait que ce soit une dll de ma webcam (logicool)... je comprends pas trop!

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.06 -
AhnLab-V3 5.0.0.2 2009.10.06 -
AntiVir 7.9.1.33 2009.10.06 -
Antiy-AVL 2.0.3.7 2009.10.05 -
Authentium 5.1.2.4 2009.10.06 -
Avast 4.8.1351.0 2009.10.06 -
AVG 8.5.0.420 2009.10.04 -
BitDefender 7.2 2009.10.06 -
CAT-QuickHeal 10.00 2009.10.06 -
ClamAV 0.94.1 2009.10.05 -
Comodo 2524 2009.10.06 -
DrWeb 5.0.0.12182 2009.10.06 -
eSafe 7.0.17.0 2009.10.06 -
eTrust-Vet 35.1.7054 2009.10.06 -
F-Prot 4.5.1.85 2009.10.06 -
F-Secure 8.0.14470.0 2009.10.06 -
Fortinet 3.120.0.0 2009.10.06 -
GData 19 2009.10.06 -
Ikarus T3.1.1.72.0 2009.10.06 -
Jiangmin 11.0.800 2009.10.06 -
K7AntiVirus 7.10.863 2009.10.06 -
Kaspersky 7.0.0.125 2009.10.06 -
McAfee 5763 2009.10.06 -
McAfee+Artemis 5763 2009.10.06 -
McAfee-GW-Edition 6.8.5 2009.10.06 -
Microsoft 1.5101 2009.10.06 -
NOD32 4485 2009.10.06 -
Norman 6.01.09 2009.10.06 -
nProtect 2009.1.8.0 2009.10.06 -
Panda 10.0.2.2 2009.10.06 -
PCTools 4.4.2.0 2009.10.06 -
Prevx 3.0 2009.10.06 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.06 -
Sunbelt 3.2.1858.2 2009.10.06 -
Symantec 1.4.4.12 2009.10.06 -
TheHacker 6.5.0.2.032 2009.10.06 -
TrendMicro 8.950.0.1094 2009.10.06 -
VBA32 3.12.10.11 2009.10.05 -
ViRobot 2009.10.6.1972 2009.10.06 -
VirusBuster 4.6.5.0 2009.10.06 -
Information additionnelle
File size: 195096 bytes
MD5...: 0785df871df11606c3eab74a09ba86be
SHA1..: 75130d96a71bc329d0adc3a5a4a007852f107e05
SHA256: 2718bc13d017b86c29a625a624c6d4595ecfa7476b34907e96ddab4178131d54
ssdeep: 3072:YUTfB9tAKzOewg5RpdO4DWN9LirnPPsNJpbu5TlJb9gttxAfxAUel:NfB9t
ACO5g5R+NUnOQ5NM

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xa46c
timedatestamp.....: 0x494890f7 (Wed Dec 17 05:41:11 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21bba 0x22000 6.66 7f8f4d89bf7b7743abfa4d430bb98ef0
.rdata 0x23000 0x5c37 0x6000 5.57 eac788144b940d77ebb574e545feff04
.data 0x29000 0x2d8c 0x2000 1.56 79baa67a7eb8422d2646b3f7e354558e
.rsrc 0x2c000 0x1000 0x1000 1.97 03ba956d5eaf334a75b66f7b0b60783b
.reloc 0x2d000 0x17fe 0x2000 5.67 97e89b1b6a6eadbb89e5404c8b2514b6

( 8 imports )
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA
> SETUPAPI.dll: SetupDiOpenClassRegKey, SetupDiGetDriverInfoDetailA, SetupDiGetSelectedDriverA, SetupCloseInfFile, SetupGetLineTextA, SetupOpenInfFileA, SetupDiGetDeviceRegistryPropertyA, SetupDiGetDeviceInstallParamsA, SetupDiOpenDevRegKey, SetupDiSetDeviceInstallParamsA, SetupFindFirstLineA, SetupGetStringFieldA, SetupGetSourceInfoA
> SHLWAPI.dll: SHDeleteValueA
> KERNEL32.dll: EnumSystemLocalesA, GetLocaleInfoA, GetUserDefaultLCID, GetDateFormatA, GetTimeFormatA, GetStringTypeW, CreateMutexA, CloseHandle, ReleaseMutex, WaitForMultipleObjectsEx, GetLastError, GetFileAttributesA, GetSystemDirectoryA, GetPrivateProfileStringA, GetVersionExA, CreateProcessA, GlobalFree, GetFullPathNameA, GlobalAlloc, lstrcmpiA, lstrcpynA, GetSystemWindowsDirectoryA, IsValidLocale, WaitForMultipleObjects, GetLocalTime, InterlockedDecrement, InterlockedIncrement, SetErrorMode, ExpandEnvironmentStringsA, SetEnvironmentVariableA, GetProcAddress, LoadLibraryA, GetPrivateProfileSectionA, GetWindowsDirectoryA, GetVersion, FindClose, FindNextFileA, FindFirstFileA, MoveFileA, DeleteFileA, CopyFileA, SetFileAttributesA, GetStringTypeA, InitializeCriticalSection, GetConsoleCP, GetConsoleMode, SetConsoleCtrlHandler, FreeLibrary, InterlockedExchange, SetStdHandle, FlushFileBuffers, CreateFileA, GetTimeZoneInformation, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, FormatMessageA, CompareStringW, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, CompareStringA, SetEndOfFile, GetLocaleInfoW, GetEnvironmentStringsW, HeapAlloc, HeapFree, GetCurrentThreadId, GetCommandLineA, GetProcessHeap, EnterCriticalSection, LeaveCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThread, LCMapStringA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringW, FatalAppExitA, VirtualFree, VirtualAlloc, HeapReAlloc, HeapDestroy, HeapCreate, ExitProcess, WriteFile, GetModuleFileNameA, RtlUnwind, SetFilePointer, ReadFile, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, HeapSize
> USER32.dll: CharLowerA
> ADVAPI32.dll: RegEnumValueA, RegDeleteKeyA, RegCreateKeyExA, RegOpenKeyExA, RegEnumKeyA, RegQueryValueExA, RegDeleteValueA, RegCloseKey, RegSetValueExA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, RegOpenKeyA
> SHELL32.dll: ShellExecuteExA, SHGetSpecialFolderPathA, SHFileOperationA
> ole32.dll: CoFreeLibrary, CoUninitialize, CoInitialize

( 2 exports )
LvCoInstaller, SetupEntryPoint

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: Logicool Co., Ltd
copyright....: (c) 1996-2008 Logicool. All rights reserved.
product......: Logicool Qcam
description..: Logicool Co-Installer
original name: lvci11901262.dll
internal name: lvci11901262.dll
file version.: 11.90.1261.0
comments.....: n/a
signers......: Logitech Inc
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 7:55 AM 12/17/2008
verified.....: -
0
flag56 > flag56
 
Par contre, dans system32, il y a 2 dossiers un peu bizarres nommés 1033 et 1036, apparemment vides, impossibles pourtant à supprimer, créés tout seul aujourd'hui à 14h11.. ils sont apparemment liés au processus winlogon. est-ce normal? (Ils me rappellent les .exe qui apparraissaient tous seuls)
0
Réponse 7 / 7
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

j'ai des dossiers semblables sur mon ordi.

Tu as eu des écrans bleus ?

Encore des soucis ou on peut finir le nettoyage ?
0
flag56
 
Non, à prori plus de soucis, plus de fenêtres intempestives ni d'écran bleu, et le pc démarre notablement plus vite! Le progrès est conséquent, mais je m'en remet à toi pour savoir si c'est terminé ou pas! Que dois-je faire de plus?
0