Cheval de troie rebelle

chafouina -  
 chafouina -
Bonjour,

c'est ce truc sur mon ordi qui me pourrit la vie !
j'avais ESET qui ne filtrait pas grand chose, alors j'ai installé un gratuit AVIRA et PC tool spyware doctor!
C'est le spyware qui stop \globalroot\systemroot\system32\hjgruiothxvrgk.dll qui tente d'ouvrir ou de fermer des fichiers. Je n'y connais pas grand chose en informatique. j'ai un peu lu le forum.
j'ai tenté une ouverture en mode sans echec, l'ordi se déconnecte.
Que faire? Si un copain du forum me venait en aide, cela serait formidable.
Chafouina
Configuration: Windows XP
Firefox 3.5.3

16 réponses

  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    Me faire ceci pour un examen de ton PC.

    ▶ Télécharge Random's System Information Tool (RSIT).

    ▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

    ▶ Double clique sur RSIT.exe pour lancer l'outil.

    ▶ Clique sur 'Continue' à l'écran Disclaimer.

    ▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

    ▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ Héberge le contenu des 2 rapports.

    ( C:\RSIT\log.txt et C:\RSIT\info.txt )

    CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

    Petite chose à faire pour les rapports générés par RSIT avant de continuer

    ▶ Vous devez fusionner les deux rapports.
    ▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt dans un bloc note pour ne faire qu'un seul rapport.
    ▶ Ensuite enregistrer le rapport log.txt.

    Ensuite :

    ▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

    ▶ Cliquez sur parcourir, puis sur cliquez ici pour déposer le fichier

    ▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
    0
    1. chafouina
       
      Bonjour Pimprenelle,

      Merci de t'intéresser à mon problème.
      C'est touchant d'avoir de l'aide d'inconnu serviable...
      voici le lien du rapport d'analyse

      http://www.cijoint.fr/cjlink.php?file=cj200910/cijS0INent.doc
      j'espère avoir tout fait comme il fallait!
      Chafouina
      0
  2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    tu es infecté par du vundo : O4 - HKLM\..\Run: [MSxmlHpr] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w

    Et certainement une infection usb aussi.

    • Télécharge et installe UsbFix par Chiquitine29

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    • Double clic sur le raccourci UsbFix présent sur ton bureau .

    • Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    • Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    • Laisse travailler l'outil.

    • Ensuite poste le rapport UsbFix.txt qui apparaitra.

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    • Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    • Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    0
    1. chafouina
       
      Bonjour Pimprenelle
      Merci pour ton temps bravo pour tes connaissances.
      Chafouina
      Je me suis aperçu après coup, que j'avais ouvert mes cles USB pour l'analyse,
      donc je te poste 2 rapports,
      Le premier avec clés ouvertes, et le second avec clés fermés!
      Je ne sais pas si cela est utile, mais bon...
      Voici le rapport d'analyse
      ############################## | UsbFix V6.038 |

      User : Véro (Administrateurs) # ORDI-VERO
      Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
      Start at: 20:35:22 | 07/10/2009
      Website : http://pagesperso-orange.fr/NosTools/index.html

      AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]



      Le SECOND RAPPORT



      ############################## | UsbFix V6.038 |

      User : Véro (Administrateurs) # ORDI-VERO
      Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
      Start at: 20:59:25 | 07/10/2009
      Website : http://pagesperso-orange.fr/NosTools/index.html

      AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

      C:\ -> Disque fixe local # 78,12 Go (33,44 Go free) [System] # NTFS
      D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
      E:\ -> Disque CD-ROM
      F:\ -> Disque CD-ROM
      G:\ -> Disque CD-ROM
      H:\ -> Disque amovible # 7,67 Go (7,51 Go free) [UDISK PRO] # FAT32
      I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
      J:\ -> Disque amovible # 495,01 Mo (428,03 Mo free) [INTUIX KEY] # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\QuickTime\QTTask.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
      C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
      C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\notepad.exe
      C:\Documents and Settings\Véro\Application Data\U3\0E80AB50423158B9\LaunchPad.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Fichiers # Dossiers infectieux |

      C:\WINDOWS\Temp\nsrbgxod.bak
      H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013
      H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
      I:\autorun.inf
      J:\Recycled.exe

      ################## | Registre # Clés Run infectieuses |

      [HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"

      ################## | Registre # Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\{06d6902a-0fa6-11de-afa0-001d92538a09}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      HKCU\..\..\Explorer\MountPoints2\{06d6902b-0fa6-11de-afa0-001d92538a09}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      HKCU\..\..\Explorer\MountPoints2\{06d69030-0fa6-11de-afa0-001d92538a09}
      Shell\AutoRun\command =F:\LaunchU3.exe

      HKCU\..\..\Explorer\MountPoints2\{2b33ff78-fe61-11dd-af70-001d92538a09}
      Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
      Shell\Menu1\command =H:\LiberKey\LiberKey.exe

      HKCU\..\..\Explorer\MountPoints2\{30969aa6-a103-11de-b145-001d92538a09}
      Shell\AutoRun\command =H:\AutoRun.exe

      HKCU\..\..\Explorer\MountPoints2\{30969aaa-a103-11de-b145-001d92538a09}
      Shell\AutoRun\command =H:\AutoRun.exe

      HKCU\..\..\Explorer\MountPoints2\{30969aae-a103-11de-b145-001d92538a09}
      Shell\AutoRun\command =H:\setup.exe AUTORUN=1

      HKCU\..\..\Explorer\MountPoints2\{b55be404-6a2a-11de-b080-001d92538a09}
      Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
      Shell\Menu1\command =H:\LiberKey\LiberKey.exe

      HKCU\..\..\Explorer\MountPoints2\{d5c29fe1-84be-11dd-ae52-a0b055ceee0d}
      Shell\AutoRun\command =I:\LaunchU3.exe

      HKCU\..\..\Explorer\MountPoints2\{ea9d7a50-0d74-11de-af9a-0015af9a44d7}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      HKCU\..\..\Explorer\MountPoints2\{ea9d7a51-0d74-11de-af9a-0015af9a44d7}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      ################## | ! Fin du rapport # UsbFix V6.038 ! |



      A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (0 Mo free) # FAT
      C:\ -> Disque fixe local # 78,12 Go (33,44 Go free) [System] # NTFS
      D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
      E:\ -> Disque CD-ROM
      F:\ -> Disque CD-ROM
      G:\ -> Disque CD-ROM
      H:\ -> Disque amovible # 7,67 Go (7,51 Go free) [UDISK PRO] # FAT32
      I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
      J:\ -> Disque amovible # 495,01 Mo (428,03 Mo free) [INTUIX KEY] # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\QuickTime\QTTask.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
      C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
      C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Documents and Settings\Véro\Application Data\U3\0E80AB50423158B9\LaunchPad.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Fichiers # Dossiers infectieux |

      C:\WINDOWS\Temp\nsrbgxod.bak
      H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013
      H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
      I:\autorun.inf
      J:\Recycled.exe

      ################## | Registre # Clés Run infectieuses |

      [HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"

      ################## | Registre # Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\{06d6902a-0fa6-11de-afa0-001d92538a09}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      HKCU\..\..\Explorer\MountPoints2\{06d6902b-0fa6-11de-afa0-001d92538a09}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      HKCU\..\..\Explorer\MountPoints2\{06d69030-0fa6-11de-afa0-001d92538a09}
      Shell\AutoRun\command =F:\LaunchU3.exe

      HKCU\..\..\Explorer\MountPoints2\{2b33ff78-fe61-11dd-af70-001d92538a09}
      Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
      Shell\Menu1\command =H:\LiberKey\LiberKey.exe

      HKCU\..\..\Explorer\MountPoints2\{30969aa6-a103-11de-b145-001d92538a09}
      Shell\AutoRun\command =H:\AutoRun.exe

      HKCU\..\..\Explorer\MountPoints2\{30969aaa-a103-11de-b145-001d92538a09}
      Shell\AutoRun\command =H:\AutoRun.exe

      HKCU\..\..\Explorer\MountPoints2\{30969aae-a103-11de-b145-001d92538a09}
      Shell\AutoRun\command =H:\setup.exe AUTORUN=1

      HKCU\..\..\Explorer\MountPoints2\{b55be404-6a2a-11de-b080-001d92538a09}
      Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
      Shell\Menu1\command =H:\LiberKey\LiberKey.exe

      HKCU\..\..\Explorer\MountPoints2\{d5c29fe1-84be-11dd-ae52-a0b055ceee0d}
      Shell\AutoRun\command =I:\LaunchU3.exe

      HKCU\..\..\Explorer\MountPoints2\{ea9d7a50-0d74-11de-af9a-0015af9a44d7}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      HKCU\..\..\Explorer\MountPoints2\{ea9d7a51-0d74-11de-af9a-0015af9a44d7}
      Shell\AutoRun\command =F:\StartVMCLite.exe

      ################## | ! Fin du rapport # UsbFix V6.038 ! |
      0
  3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Alors il va falloir faire 2 fois cette manip car les fichiers détecté sont pas les même en fonction des clefs et ensuite bien sur me poster les 2 rapports de suppression :

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    • Double clic sur le raccourci UsbFix présent sur ton bureau

    • Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    • Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

    • Ton bureau disparaitra et le pc redémarrera .

    • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    • Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
    1. chafouina
       
      Bonjour Pimprenelle,

      alors voici mes 2 rapports.
      j'ai effectué 2 fois la même manip, j'espère que c'était ça qu'il fallait faire!

      Merci encore pour ton temps et tes connaissances.
      chafouina
      ############################## | UsbFix V6.038 |

      User : Véro (Administrateurs) # ORDI-VERO
      Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
      Start at: 21:25:23 | 08/10/2009
      Website : http://pagesperso-orange.fr/NosTools/index.html

      AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

      A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (0 Mo free) # FAT
      C:\ -> Disque fixe local # 78,12 Go (32,26 Go free) [System] # NTFS
      D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
      E:\ -> Disque CD-ROM
      F:\ -> Disque CD-ROM
      G:\ -> Disque CD-ROM
      H:\ -> Disque amovible # 7,67 Go (7,57 Go free) [UDISK PRO] # FAT32
      I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
      J:\ -> Disque amovible # 495,01 Mo (428,03 Mo free) [INTUIX KEY] # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Fichiers # Dossiers infectieux |

      Supprimé ! C:\WINDOWS\Temp\nsrbgxod.bak
      Supprimé ! H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
      Supprimé ! H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013
      Non supprimé ! I:\autorun.inf
      Supprimé ! J:\Recycled.exe

      ################## | Références de comparaison MD5 : |

      File : J:\Recycled.exe
      -> Crc32 : 38cb0806 | Md5 : 7e572fe7346d4b6743e999f873b57c77

      ################## | Autres suppression |


      ################## | Registre # Clés Run infectieuses |

      Supprimé ! [HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"

      ################## | Registre # Mountpoints2 |

      Supprimé ! HKCU\...\Explorer\MountPoints2\{06d6902a-0fa6-11de-afa0-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{06d6902b-0fa6-11de-afa0-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{06d69030-0fa6-11de-afa0-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{2b33ff78-fe61-11dd-af70-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{30969aa6-a103-11de-b145-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{30969aaa-a103-11de-b145-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{30969aae-a103-11de-b145-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{b55be404-6a2a-11de-b080-001d92538a09}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{d5c29fe1-84be-11dd-ae52-a0b055ceee0d}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{ea9d7a50-0d74-11de-af9a-0015af9a44d7}\Shell\AutoRun\Command
      Supprimé ! HKCU\...\Explorer\MountPoints2\{ea9d7a51-0d74-11de-af9a-0015af9a44d7}\Shell\AutoRun\Command

      ################## | Listing des fichiers présent |

      [17/09/2008 15:30|--a------|0] C:\AUTOEXEC.BAT
      [06/07/2009 14:21|---hs----|224] C:\boot.ini
      [30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin
      [17/09/2008 15:30|--a------|0] C:\CONFIG.SYS
      [17/09/2008 15:30|-rahs----|0] C:\IO.SYS
      [17/09/2008 15:30|-rahs----|0] C:\MSDOS.SYS
      [17/09/2008 17:11|-rahs----|47564] C:\NTDETECT.COM
      [02/10/2008 13:37|-rahs----|252240] C:\ntldr
      [?|?|?] C:\pagefile.sys
      [06/07/2009 14:33|--ahs----|11776] C:\Thumbs.db
      [08/10/2009 23:32|--a------|4841] C:\UsbFix.txt
      [07/10/2009 21:14|--a------|5209] C:\UsbFix1.txt
      [07/10/2009 21:05|--a------|5209] C:\UsbFix2.txt
      [12/03/2003 13:50|--ah-----|84] C:\WRX2546.bin
      [07/09/2004 10:31|--a------|274425064] D:\WindowsXP-KB835935-SP2-FRA.exe
      [19/08/2009 15:42|--a------|589473] H:\19-8-09-5doigts.pdf
      [08/10/2009 12:56|--a------|479066] H:\PANNEAU MARSEILLE.jpg
      [08/10/2009 15:45|--a------|3784542] H:\PANCARTE TRIBUNAL MARON1.jpg
      [08/10/2009 18:01|--a------|103706896] H:\PANCARTE TRIBUNAL MARON paysage.psd
      [04/03/2009 12:29|--ah-----|4096] H:\._.Trashes
      [08/10/2009 13:10|--ah-----|12292] H:\.DS_Store
      [04/03/2009 12:30|--ah-----|82] H:\._helene.tif
      [04/03/2009 12:30|--ah-----|82] H:\._jeanne.tif
      [04/03/2009 12:30|--ah-----|82] H:\._papa et maman.tif
      [04/03/2009 12:30|--ah-----|82] H:\._tita.tif
      [04/03/2009 12:33|--ah-----|82] H:\._edouard.tif
      [08/09/2005 17:30|-r-------|145] I:\autorun.inf
      [08/09/2005 17:38|-r-------|3258070] I:\LaunchPad.zip
      [08/09/2005 17:30|-r-------|925696] I:\LaunchU3.exe
      [08/09/2005 17:30|-ra------|925696] J:\LaunchU3.exe
      [17/09/2008 09:54|--ah-----|4096] J:\._.Trashes
      [28/03/2009 15:01|--a------|5195856] J:\la peste.psd
      [28/03/2009 14:56|--a------|389519] J:\l'‚tranger.jpg
      [28/03/2009 14:57|--a------|5254380] J:\l'‚tranger.psd
      [28/03/2009 14:10|--a------|390681] J:\theatre.jpg
      [28/03/2009 15:01|--a------|387072] J:\la peste copie.jpg
      [28/03/2009 15:12|--a------|5310870] J:\le mythe de sisyphe.psd
      [28/03/2009 15:12|--a------|398794] J:\le mythe de sisyphe copie.jpg
      [28/03/2009 14:12|--a------|436702] J:\theatre 1.jpg

      ################## | Vaccination |

      # C:\autorun.inf -> Folder created by UsbFix.
      # D:\autorun.inf -> Folder created by UsbFix.
      # H:\autorun.inf -> Folder created by UsbFix.
      # J:\autorun.inf -> Folder created by UsbFix.

      ################## | Upload |

      Veuillez envoyer le fichier : C:\DOCUME~1\VRO~1\Bureau\UsbFix_Upload_Me_ORDI-VERO.zip : https://www.androidworld.fr/
      Merci pour votre contribution .

      ################## | ! Fin du rapport # UsbFix V6.038 ! |






      2eme rapport

      ############################## | UsbFix V6.038 |

      User : Véro (Administrateurs) # ORDI-VERO
      Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
      Start at: 23:47:21 | 08/10/2009
      Website : http://pagesperso-orange.fr/NosTools/index.html

      AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

      A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (0 Mo free) # FAT
      C:\ -> Disque fixe local # 78,12 Go (33,9 Go free) [System] # NTFS
      D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
      E:\ -> Disque CD-ROM
      F:\ -> Disque CD-ROM
      G:\ -> Disque CD-ROM
      H:\ -> Disque amovible # 7,67 Go (7,57 Go free) [UDISK PRO] # FAT32
      I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
      J:\ -> Disque amovible # 495,01 Mo (429,2 Mo free) [INTUIX KEY] # FAT32

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Fichiers # Dossiers infectieux |

      Supprimé ! C:\autorun.inf
      Supprimé ! D:\autorun.inf
      Supprimé ! H:\autorun.inf
      Non supprimé ! I:\autorun.inf
      Supprimé ! J:\autorun.inf

      ################## | Registre # Clés Run infectieuses |


      ################## | Registre # Mountpoints2 |


      ################## | Listing des fichiers présent |

      [17/09/2008 15:30|--a------|0] C:\AUTOEXEC.BAT
      [06/07/2009 14:21|---hs----|224] C:\boot.ini
      [30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin
      [17/09/2008 15:30|--a------|0] C:\CONFIG.SYS
      [17/09/2008 15:30|-rahs----|0] C:\IO.SYS
      [17/09/2008 15:30|-rahs----|0] C:\MSDOS.SYS
      [17/09/2008 17:11|-rahs----|47564] C:\NTDETECT.COM
      [02/10/2008 13:37|-rahs----|252240] C:\ntldr
      [?|?|?] C:\pagefile.sys
      [06/07/2009 14:33|--ahs----|11776] C:\Thumbs.db
      [08/10/2009 23:59|--a------|3278] C:\UsbFix.txt
      [07/10/2009 21:14|--a------|5209] C:\UsbFix1.txt
      [12/03/2003 13:50|--ah-----|84] C:\WRX2546.bin
      [07/09/2004 10:31|--a------|274425064] D:\WindowsXP-KB835935-SP2-FRA.exe
      [19/08/2009 15:42|--a------|589473] H:\19-8-09-5doigts.pdf
      [08/10/2009 12:56|--a------|479066] H:\PANNEAU MARSEILLE.jpg
      [08/10/2009 15:45|--a------|3784542] H:\PANCARTE TRIBUNAL MARON1.jpg
      [08/10/2009 18:01|--a------|103706896] H:\PANCARTE TRIBUNAL MARON paysage.psd
      [04/03/2009 12:29|--ah-----|4096] H:\._.Trashes
      [08/10/2009 13:10|--ah-----|12292] H:\.DS_Store
      [04/03/2009 12:30|--ah-----|82] H:\._helene.tif
      [04/03/2009 12:30|--ah-----|82] H:\._jeanne.tif
      [04/03/2009 12:30|--ah-----|82] H:\._papa et maman.tif
      [04/03/2009 12:30|--ah-----|82] H:\._tita.tif
      [04/03/2009 12:33|--ah-----|82] H:\._edouard.tif
      [08/09/2005 17:30|-r-------|145] I:\autorun.inf
      [08/09/2005 17:38|-r-------|3258070] I:\LaunchPad.zip
      [08/09/2005 17:30|-r-------|925696] I:\LaunchU3.exe
      [08/09/2005 17:30|-ra------|925696] J:\LaunchU3.exe
      [17/09/2008 09:54|--ah-----|4096] J:\._.Trashes
      [28/03/2009 15:01|--a------|5195856] J:\la peste.psd
      [28/03/2009 14:56|--a------|389519] J:\l'‚tranger.jpg
      [28/03/2009 14:57|--a------|5254380] J:\l'‚tranger.psd
      [28/03/2009 14:10|--a------|390681] J:\theatre.jpg
      [28/03/2009 15:01|--a------|387072] J:\la peste copie.jpg
      [28/03/2009 15:12|--a------|5310870] J:\le mythe de sisyphe.psd
      [28/03/2009 15:12|--a------|398794] J:\le mythe de sisyphe copie.jpg
      [28/03/2009 14:12|--a------|436702] J:\theatre 1.jpg

      ################## | Vaccination |

      # C:\autorun.inf -> Folder created by UsbFix.
      # D:\autorun.inf -> Folder created by UsbFix.
      # H:\autorun.inf -> Folder created by UsbFix.
      # J:\autorun.inf -> Folder created by UsbFix.

      ################## | Upload |

      Veuillez envoyer le fichier : C:\DOCUME~1\VRO~1\Bureau\UsbFix_Upload_Me_ORDI-VERO.zip : https://www.androidworld.fr/
      Merci pour votre contribution .

      ################## | ! Fin du rapport # UsbFix V6.038 ! |
      0
  4. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    tu peux m'analyser ces 2 fichiers avec virus total : C:\WINDOWS\system32\drivers\kztilx.sys , C:\WINDOWS\system32\drivers\aweyro.sys

    Ce service se trouve ici :
    ==> https://www.virustotal.com/gui/

    1) La fenêtre principale comporte plusieurs points qu'il faut comprendre :

    # La Charge du service est l'élément qui détermine si le site VirusTotal est peu ou fortement sollicité, vert le site est peu utilisé, rouge vous allez devoir attendre.

    # Parcourir, permettra de rechercher le fichier à analyser. Envoyer, commencera l'analyse du fichier que vous avez au préalable recherché voir cette cette image

    2) Cliquez sur " Parcourir " afin de rechercher le fichier à tester qui peut se trouver sur votre bureau, vos documents, un dossier de Windows, etc. :
    Une fois sélectionné , cliquez sur " Ouvrir " voir cette cette image

    3) La page principale revient mais vous voyez maintenant précisément l'emplacement de ce fichier .
    Cliquez sur " Envoyer " voir cette image

    4) L'envoi du fichier est en cours, patientez pendant quelques secondes. Le temps d'attente peut être plus ou moins long selon la charge du service VirusTotal et de la taille du fichier à analyser voir cette cette image

    5) Cependant si le site VirusTotal est trop sollicité , cette fenêtre apparaitra et donc vous aurez pour choix, soit d'attendre tranquillement, soit de revenir à un autre moment de la journée quand le site sera moins utilisé.

    6) Votre fichier a été envoyé avec succès donc l'analyse va débuter dans quelques secondes et durer quelques minutes.
    Les 32 anti-virus vont analyser chacun à leur tour le fichier envoyé.

    7) Une fois le fichier totalement analysé vous verrez apparaitre dans le haut de la fenêtre le statut de l'analyse.
    Le chiffre en rouge est le nombre d'anti-virus considérant le fichier comme infecté.
    Cliquez sur " Formaté " afin d'avoir un rapport détaillé .

    Il ne vous reste qu'à faire un copier-coller du résultat ou de recopier l'url présente sur la barre d'adresse et de l'envoyer à la personne qui vous a demandé de faire cette analyse.
    0
    1. chafouina
       
      Bonjour pimprenelle,

      Je ne trouve pas les 2 fichiers a analyser!!!
      bêtement... je suis aller voir dans windows system32 dans le dossier drivers.
      je vais continuer a chercher dans C windows.
      j'ai aussi lancé une recherche de fichiers ,mais rien.
      Y a t'il quelque chose que je n'ai pas fait correctement?
      faut-il que je cherche dans chaque dossiers???

      MERCIIIIII.
      Amicalement.
      bon dimanche à toi.

      Chafouina
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Fait ceci et ensuite réessaye de chercher :

    Démarches à faire pour afficher les fichiers et dossiers cachés :

    * Double cliquez sur l'Icône Poste de travail qui se trouve sur votre bureau
    * Votre Poste de travail s'affichera alors comme sur cette image
    * Ensuite dans la barre des menus en haut,vous cliquez sur "Outils"
    * Puis vous cliquez sur "Options des dossiers" comme sur cette image
    * Une fois l'option "Options des dossiers" sélectionnée vous verrez apparaître une fenêtre intitulée Options des dossiers
    * Cliquez donc sur l'onglet Affichage et vous obtiendrez cette fenêtre ci
    * Dans les options qui vous sont proposées, sélectionnez " Afficher les dossiers et fichiers cachés" comme sur cette image
    * Masquer les extensions des fichiers dont le type est connu
    * Masquer les fichiers protégés du système d'exploitation
    * Voir comme sur cette image
    * Cliquez ensuite sur "Appliquer" et validez par "Ok"

    0
    1. chafouina
       
      Bonjour Pimprenelle,

      Ils sont trés trés futés ces vilains virus!!!
      Je ne les trouves pas !
      cela fait des heures que je cherche, bon il faut bien avouer que je suis une bille en informatique!!!
      J'ai fais comme tu m'a dis...Je ne sais pas quoi faire d'autre!!!
      j'ai mal a la tête a force de faire défiler les fichiers!
      J'ai aussi lancé plusieurs recherches avec l'explorateur...en vain.
      Tu as une idée?
      Il sont peut être trop coriaces!

      Merci de t'occuper de mon problème.
      Chafouina
      0
  7. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    pas grave on verra à la fin s'il sont encore là :

    ▶ Télécharge malwarebyte's anti-malware

    ▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

    ▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    ▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    ▶ L'analyse peut durer un bon moment.....

    ▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    ▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    ▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
    0
    1. chafouina
       
      Bonjour Pimprenelle

      Alors voici le rapport de Malware
      Merci encore!

      Amicalement
      Chafouina



      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 2943
      Windows 5.1.2600 Service Pack 3

      11/10/2009 19:38:20
      mbam-log-2009-10-11 (19-38-20).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 196375
      Temps écoulé: 30 minute(s), 21 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 12
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 1
      Fichier(s) infecté(s): 5

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      \\?\globalroot\systemroot\system32\hjgruiskilxyid.dll (Rootkit.TDSS) -> Delete on reboot.

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\Typelib\{40196867-19f8-7157-c097-ecaff653c9ad} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msncache (Trojan.Agent) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mms (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSxmlHpr (Trojan.Agent) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      C:\Documents and Settings\All Users\Application Data\12458124 (Rogue.Multiple) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      \\?\globalroot\systemroot\system32\hjgruiskilxyid.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
      D:\Téléchargements\Logiciels\AUDIO\Convertisseur\Tous formats\dBpowerAMP Music Converter v.11\2-Crack\Crack.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\a99k.bin (Trojan.Goldun) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
      C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
      0
  8. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    * Télécharge ComboFix (de sUBs) sur ton Bureau.
    * /!\Désactive temporairement toute protection résidente /!\ (Antivirus , Antispywares..)
    * Double clique sur ComboFix.exe.(Sous Vista , il faut cliquer droit sur Combofix.exe et choisir Exécuter en tant qu'administrateur).
    * Accepte la licence en cliquant sur Oui.
    * Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne.Je vous conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
    * Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse.
    * Le rapport ce trouve ici : %SystemDrive%ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)
    * Aide :Comment utiliser ComboFix.
    0
    1. chafouina
       
      Bonsoir Pimprenelle,


      un nouveau rapport d'annalyse...
      peut etre que cette fois nous en viendrons à bout de ces méchants virus!!!
      Merci
      Amicalement
      Chafouina

      ComboFix 09-10-11.03 - Véro 12/10/2009 22:00.1.2 - NTFSx86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1919.1335 [GMT 2:00]
      Lancé depuis: c:\documents and settings\Véro\Mes documents\Téléchargements\ComboFix.exe
      AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
      * Un nouveau point de restauration a été créé
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\windows\Install.txt
      c:\windows\Installer\16ecd1.msp
      c:\windows\system32\drivers\hjgruiuhbawufb.sys
      c:\windows\system32\hjgruiothxvrgk.dll
      c:\windows\system32\hjgruivfppkhlx.dat
      c:\windows\system32\hjgruiwrujngft.dll

      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_hjgruiyiqrdlyp
      -------\Legacy_MSNCACHE
      -------\Service_hjgruiyiqrdlyp


      ((((((((((((((((((((((((((((( Fichiers créés du 2009-09-12 au 2009-10-12 ))))))))))))))))))))))))))))))))))))
      .

      2009-10-11 16:56 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2009-10-11 16:55 . 2009-10-11 17:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2009-10-11 16:55 . 2009-10-11 16:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
      2009-10-11 16:55 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
      2009-10-10 18:48 . 2009-10-10 18:48 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache
      2009-10-07 18:34 . 2009-10-08 21:59 -------- d-----w- C:\UsbFix
      2009-10-06 19:47 . 2009-10-06 19:48 -------- d-----w- c:\program files\trend micro
      2009-10-06 19:47 . 2009-10-06 19:48 -------- d-----w- C:\rsit
      2009-10-05 19:55 . 2009-10-08 12:25 -------- d-----r- c:\documents and settings\LocalService\Mes documents
      2009-10-02 07:12 . 2009-10-02 07:12 -------- d-----w- c:\windows\system32\Nouveau dossier
      2009-09-30 20:48 . 2009-10-01 06:35 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
      2009-09-30 20:48 . 2009-09-30 20:48 -------- d-----w- c:\program files\NOS
      2009-09-29 20:03 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
      2009-09-29 20:03 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
      2009-09-29 20:03 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
      2009-09-29 20:03 . 2009-09-29 20:03 -------- d-----w- c:\program files\Fichiers communs\PC Tools
      2009-09-29 20:03 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
      2009-09-29 20:02 . 2009-10-09 18:02 -------- d-----w- c:\program files\Spyware Doctor
      2009-09-29 20:02 . 2009-09-29 20:02 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
      2009-09-29 20:02 . 2009-10-12 20:09 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
      2009-09-29 19:59 . 2009-09-29 19:59 -------- d-----w- c:\windows\system32\IOSUBSYS
      2009-09-29 19:57 . 2009-09-29 20:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
      2009-09-29 19:35 . 2009-09-29 19:35 -------- d-----w- c:\windows\SxsCaPendDel
      2009-09-27 09:50 . 2009-10-10 18:48 -------- d-----r- c:\documents and settings\LocalService\Favoris
      2009-09-27 09:50 . 2009-09-27 09:50 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
      2009-09-27 09:42 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
      2009-09-27 09:42 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
      2009-09-27 09:42 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
      2009-09-27 09:42 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
      2009-09-27 09:42 . 2009-09-27 09:42 -------- d-----w- c:\program files\Avira
      2009-09-27 09:42 . 2009-09-27 09:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
      2009-09-14 11:21 . 2009-09-14 11:21 -------- d-----w- c:\program files\Bouygues
      2009-09-14 07:50 . 2009-09-14 11:38 -------- d-----w- c:\program files\Kit Internet Mobile Bouygues Telecom

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-09-29 20:18 . 2008-10-02 18:23 -------- d-----w- c:\program files\Google
      2009-09-29 19:34 . 2009-09-10 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!
      2009-09-10 16:49 . 2009-09-10 16:06 -------- d-----w- c:\documents and settings\All Users\Application Data\SITEguard
      2009-09-10 16:05 . 2009-09-10 16:05 -------- d-----w- c:\program files\Fichiers communs\iS3
      2009-09-03 11:40 . 2009-09-03 11:03 16 ----a-w- c:\windows\pxydb.dat
      2009-08-21 11:11 . 2002-08-30 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
      2009-08-21 11:11 . 2002-08-30 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
      2009-08-21 11:08 . 2009-08-21 11:08 -------- d-----w- c:\program files\MSBuild
      2009-08-21 11:08 . 2009-08-21 11:08 -------- d-----w- c:\program files\Reference Assemblies
      2009-08-06 17:24 . 2008-09-17 15:14 327896 ----a-w- c:\windows\system32\wucltui.dll
      2009-08-06 17:24 . 2008-09-17 15:14 209632 ----a-w- c:\windows\system32\wuweb.dll
      2009-08-06 17:24 . 2008-09-17 15:14 35552 ----a-w- c:\windows\system32\wups.dll
      2009-08-06 17:24 . 2007-07-30 17:19 44768 ----a-w- c:\windows\system32\wups2.dll
      2009-08-06 17:24 . 2008-09-17 13:26 53472 ----a-w- c:\windows\system32\wuauclt.exe
      2009-08-06 17:24 . 2002-08-30 12:00 96480 ----a-w- c:\windows\system32\cdm.dll
      2009-08-06 17:23 . 2008-09-17 15:14 575704 ----a-w- c:\windows\system32\wuapi.dll
      2009-08-06 17:23 . 2008-09-17 13:26 1929952 ----a-w- c:\windows\system32\wuaueng.dll
      2009-08-05 09:00 . 2002-08-30 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
      2009-07-17 19:03 . 2002-08-30 12:00 58880 ----a-w- c:\windows\system32\atl.dll
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Gestionnaire Antidote.exe"="c:\progra~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe" [2003-09-20 368640]
      "VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-10-09 3502840]
      "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-03 39408]
      "ISUSPM"="c:\documents and settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe" [2007-03-29 222128]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
      "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
      "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-14 136600]
      "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-03-29 198160]
      "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
      "ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
      "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
      "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-08-20 16384512]
      "AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2006-06-29 89541]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

      c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
      Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-3-5 11000]
      Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-18 110592]
      Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-18 110592]
      GlobeTrotter Connect.lnk - c:\program files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe [2008-3-11 880640]
      L-Express.lnk - c:\program files\Softissimo\Lexibase Collins FE\exe\l-express.exe [2008-9-18 49152]

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
      @=""

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
      @=""

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

      R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [18/09/2008 18:13 39680]
      R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [18/09/2008 18:13 35712]
      R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [29/09/2009 22:03 130936]
      R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/09/2009 11:42 108289]
      R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [29/09/2009 22:02 348752]
      S2 iwwff;iwwff;\??\c:\windows\system32\drivers\aweyro.sys --> c:\windows\system32\drivers\aweyro.sys [?]
      S2 onkwaxpfecg;onkwaxpfecg;\??\c:\windows\system32\drivers\kztilx.sys --> c:\windows\system32\drivers\kztilx.sys [?]
      S3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe -k getPlusHelper [30/08/2002 14:00 14336]
      S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [18/02/2008 16:14 106624]
      S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [08/02/2008 12:00 59648]
      S3 GTPTSER;GT PT SER;c:\windows\system32\drivers\gtptser.sys [30/03/2007 12:38 8064]

      --- Autres Services/Pilotes en mémoire ---

      *Deregistered* - mchInjDrv

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      getPlusHelper REG_MULTI_SZ getPlusHelper

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
      "c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
      .
      Contenu du dossier 'Tâches planifiées'

      2009-09-30 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

      2009-10-12 c:\windows\Tasks\Google Software Updater.job
      - c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-10-02 19:57]

      2009-10-12 c:\windows\Tasks\User_Feed_Synchronization-{5E7C1849-CFA0-45B0-A879-DFC687B82B66}.job
      - c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
      .
      .
      ------- Examen supplémentaire -------
      .
      uInternet Settings,ProxyOverride = *.local
      uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
      DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
      DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
      FF - ProfilePath - c:\documents and settings\Véro\Application Data\Mozilla\Firefox\Profiles\lhscg564.default\
      FF - plugin: c:\program files\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll
      FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
      FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
      FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      Toolbar-SITEguard - (no file)
      Toolbar-Locked - (no file)
      HKLM-Run-ASuite - h:\liberkey\Apps\Asuite\LKrun.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-10-12 22:08
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(836)
      c:\windows\system32\Ati2evxx.dll

      - - - - - - - > 'explorer.exe'(816)
      c:\windows\system32\webcheck.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      c:\windows\system32\eappprxy.dll
      .
      ------------------------ Autres processus actifs ------------------------
      .
      c:\windows\system32\ati2evxx.exe
      c:\windows\system32\ati2evxx.exe
      c:\program files\Avira\AntiVir Desktop\avguard.exe
      c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
      c:\program files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      c:\program files\Bonjour\mDNSResponder.exe
      c:\windows\system32\drivers\CDANTSRV.EXE
      c:\program files\Java\jre6\bin\jqs.exe
      c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      c:\program files\O2Micro Oz128 Driver\o2flash.exe
      c:\program files\Spyware Doctor\pctsSvc.exe
      c:\program files\iPod\bin\iPodService.exe
      c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
      c:\windows\system32\wscntfy.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      .
      **************************************************************************
      .
      Heure de fin: 2009-10-12 22:14 - La machine a redémarré
      ComboFix-quarantined-files.txt 2009-10-12 20:14

      Avant-CF: 35 975 200 768 octets libres
      Après-CF: 36 069 060 608 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn /usepmtimer

      212 --- E O F --- 2009-09-10 22:35
      0
  9. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    tu vas pouvoir vider la quarantaine de malware et me faire un nouveau RSIT.
    0
    1. chafouina
       
      bonsoir, Pimprenelle,

      Voici le dernier Rapport...

      merci de l'attention que tu portes a mon probléme...
      Amicalement
      Chafouina

      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 2943
      Windows 5.1.2600 Service Pack 3

      13/10/2009 20:59:58
      mbam-log-2009-10-13 (20-59-58).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 197436
      Temps écoulé: 40 minute(s), 23 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 7

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Qoobox\Quarantine\C\WINDOWS\system32\hjgruiothxvrgk.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\hjgruiwrujngft.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
      C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hjgruiuhbawufb.sys.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP245\A0044411.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP246\A0044468.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP246\A0044469.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
      C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP246\A0044470.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
      0
  10. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Tu as refait un autre Scan malware. vide la quarantaine et ensuite poste moi un noveau rapport RSIt
    0
    1. chafouina
       
      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 2943
      Windows 5.1.2600 Service Pack 3

      16/10/2009 21:54:22
      mbam-log-2009-10-16 (21-54-22).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 193226
      Temps écoulé: 56 minute(s), 50 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)
      Bonjour Pimprenelle,

      cette fois, j'ai l'impression que nous en sommes a bout!!!
      Voici un nouveau rapport malware...

      Avec toute ma gratitude

      Chafouina

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  11. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Et le nouveau rapport RSIT?
    0
    1. chafouina
       
      Alors le voila...
      Je ne me rappelais plus que j'avais ce programme!

      Amicalement
      Chafouina

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Véro at 2009-10-17 07:16:26
      Microsoft Windows XP Professionnel Service Pack 3
      System drive C: has 35 GB (43%) free of 80 GB
      Total RAM: 1919 MB (73% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 07:16:29, on 17/10/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\QuickTime\QTTask.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
      C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Documents and Settings\Véro\Mes documents\Téléchargements\RSIT.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\trend micro\Véro.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
      O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
      O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
      O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
      O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe" -scheduler
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: GlobeTrotter Connect.lnk = C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
      O4 - Global Startup: L-Express.lnk = C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
      O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
      O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
      O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
      0
  12. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Pourrais tu aller supprimer ce fichier là c.exe dans : c:\documents and settings\vro~1\locals~1\temp\c.exe
    0
    1. chafouina
       
      ben je le trouve pas...
      y a t'il une méthode pour le débusquer?

      A +++

      Chafouina
      0
  13. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    tu ne le trouveras pas, pour la même raison que tu n'as pas trouvé :

    C:\WINDOWS\system32\drivers\aweyro.sys et

    C:\WINDOWS\system32\drivers\kztilx.sys

    ===

    Par contre il faut que pimptenelle te "débarrasse" de :

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cognac]

    S2 iwwff;iwwff; \??\C:\WINDOWS\system32\drivers\aweyro.sys []

    S2 onkwaxpfecg;onkwaxpfecg; \??\C:\WINDOWS\system32\drivers\kztilx.sys []
    0
    1. chafouina
       
      Bonjour le lyonnais

      C'est quoi les raisons ?
      si c'est une reponse super technique c'est pas la peine!!!
      je suis une bille en informatique alors je risque de ne pas comprendre grand chose!
      Merci
      Chafouina
      0
      1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > chafouina
         
        Re,

        la raison est simple : ces fichiers ont déjà été supprimés.
        0
  14. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Et ba pas de bol parce que je les avais trouvé dommage.
    0
    1. chafouina
       
      Bonjour pimprenelle,

      Est ce que tu peux encore m'aider a résoudre mon problème?
      Apparemment, j'ai encore des fichiers a éliminer...
      Amicalement
      Chafouina
      0
      1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503 > chafouina
         
        ▶ Télécharge OTM (de Old_Timer) sur ton Bureau

        ▶ Double-clique sur OTM.exe pour le lancer.

        ▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

        ▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

        -----------------------------------------------------------------------------
        :services
        iwwff
        onkwaxpfecg

        :reg
        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cognac]

        :Commands
        [purity]
        [emptytemp]
        [Reboot]




        -----------------------------------------------------------------------------

        ▶ clique sur MoveIt! pour lancer la suppression.

        ▶ Le résultat apparaitra dans le cadre "Results".

        ▶ Clique sur Exit pour fermer.

        ▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

        ▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
        0
      2. chafouina > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité
         
        Bonjour Pimprenelle;

        voici le rapport OTM,
        merci
        amicalement
        Chafouina
        All processes killed
        ========== SERVICES/DRIVERS ==========

        Service\Driver iwwff deleted successfully.

        Service\Driver onkwaxpfecg deleted successfully.
        ========== REGISTRY ==========
        Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cognac\ deleted successfully.
        ========== COMMANDS ==========

        [EMPTYTEMP]

        User: All Users

        User: Default User
        ->Temp folder emptied: 0 bytes
        ->Temporary Internet Files folder emptied: 33170 bytes

        User: LocalService
        ->Temp folder emptied: 0 bytes
        File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
        ->Temporary Internet Files folder emptied: 344236 bytes

        User: NetworkService
        ->Temp folder emptied: 0 bytes
        ->Temporary Internet Files folder emptied: 534395 bytes

        User: Véro
        ->Temp folder emptied: 4141964 bytes
        ->Temporary Internet Files folder emptied: 5711333 bytes
        ->Java cache emptied: 390965 bytes
        ->FireFox cache emptied: 49795941 bytes

        %systemdrive% .tmp files removed: 0 bytes
        %systemroot% .tmp files removed: 1139202 bytes
        %systemroot%\System32 .tmp files removed: 2833408 bytes
        Windows Temp folder emptied: 1209344 bytes
        RecycleBin emptied: 178809415 bytes

        Total Files Cleaned = 233,60 mb


        OTM by OldTimer - Version 3.0.0.6 log created on 10222009_210730

        Files moved on Reboot...

        Registry entries deleted on Reboot...
        0
  15. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    post 8 Je ne trouve pas les 2 fichiers a analyser!!!

    post 10 Je ne les trouves pas !
    0
  16. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Un dernier RSIT à jour.
    0
    1. chafouina
       
      Bonjour Pimprenelle

      J'ai l'impression que nous en venons a bout !!!
      Merci de m'avoir aidé pendant tout ce temps.
      Amicalement
      Chafouina

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Véro at 2009-10-23 05:46:51
      Microsoft Windows XP Professionnel Service Pack 3
      System drive C: has 35 GB (44%) free of 80 GB
      Total RAM: 1919 MB (68% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 05:46:56, on 23/10/2009
      Platform: Windows XP SP3 (WinNT 5.01.2600)
      MSIE: Internet Explorer v8.00 (8.00.6001.18702)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\AGRSMMSG.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
      C:\Program Files\QuickTime\QTTask.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
      C:\Program Files\Spyware Doctor\pctsTray.exe
      C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
      C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
      C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      C:\Program Files\Spyware Doctor\pctsAuxs.exe
      C:\Program Files\Spyware Doctor\pctsSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\WINDOWS\System32\wbem\wmiapsrv.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\System32\alg.exe
      C:\Documents and Settings\Véro\Mes documents\Téléchargements\RSIT.exe
      C:\Program Files\trend micro\Véro.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
      O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
      O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
      O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
      O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
      O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
      O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
      O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
      O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe" -scheduler
      O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: GlobeTrotter Connect.lnk = C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
      O4 - Global Startup: L-Express.lnk = C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
      O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
      O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
      O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
      O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
      O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
      O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
      0
  17. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    On peut passer au nettoyage et mise à jour de l’ordinateur :

    Lance Hijackthis , (= C:\Program Files\trend micro\Véro.exe) , ensuite clique sur do a system scan only puis tu sélectionne les lignes suivante ,

    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" => Apple®Itunes Helper

    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE => Realtek Semiconductor®HD Audio Sound Effect Manager
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe => Ahead®Nero Burning Rom
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime => Apple®Quick Time
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot => Real Networks®Real Player
    O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" => Google®Toolbar
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe => Microsoft®Windows NT
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') => Microsoft®Windows NT
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') => Microsoft®Windows NT
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe => Adobe®Creative Studio
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe => Adobe®Creative Studio
    O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer®Bonjour for Windows

    Tu cliques en bas sur le bouton FIX CHECKED et valides .

    Redémarres l'ordi . ( important pour que certaines modifs faites avec hijakthis soient prises en compte )

    Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

    ▶ Télécharge Toolscleaner sur ton Bureau

    Sous XP : Double-clique sur ToolsCleaner2.exe
    ▶ Clique sur Recherche et laisse le scan se terminer.
    ▶ Clique sur Suppression pour finaliser.
    ▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
    ▶ Clique sur Quitter, pour que le rapport puisse se créer.
    ▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

    Pour mettre à jour les logiciels sur ton PC :

    Les Mises A Jour sont très importantes pour votre PC, afin d'éviter certaines failles de sécurité

    Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

    ▶ Télécharge Update Checker

    ▶ Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

    ▶ Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

    ▶ Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

    Un conseil : n'installe pas les BETA qui sont listées en dessous.

    ▶ Tu installes les mises à jour que tu désires, les plus importantes sont :

    ● Java

    ● Adobe Reader

    ● Adobe Flash Player

    ● Navigateur Internet

    (attention certain logiciels mis en lien pour les mises à jour peuvent être en anglais, rechercher celui en français)

    Voici un tuto

    Enfin un petit nettoyage de l'ordi :

    Télécharge Ccleaner

    Tutoriel pour l'installer et l'utiliser correctement CCleaner

    Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

    Enfin Purge de la restauration système :

    Désactivation de la restauration :

    ▶ Cliquez droit sur poste de travail
    ▶ Ensuite aller sur propriétés
    ▶ Puis restauration système
    ▶ Et cochez la case désactiver la restauration
    ▶ Cliquez ensuite sur appliquez, puis OK
    ▶ Et redémarrez votre PC

    Réactivation de la restauration :

    ▶ Cliquez droit sur poste de travail
    ▶ Ensuite aller sur propriétés
    ▶ Puis restauration système
    ▶ Et décochez la case désactiver la restauration
    ▶ Cliquez ensuite sur appliquez, puis OK
    ▶ Et redémarrez votre PC

    Et ensuite création d'un nouveau point de restauration comme ce qui suit :

    ▶ Allez dans le Menu Démarrer
    ▶ Puis dans Programmes
    ▶ Ensuite dans Accessoires
    ▶ Et enfin dans Outils système
    ▶ Choisir Restauration du système
    ▶ Sélectionnez créer un point de restauration
    ▶ Cliquez sur Suivant
    ▶ Entrez un nom pour le point de restauration
    ▶ Cliquez sur créer et le point de restauration se créé automatiquement.

    Enfin vous devez garder les logiciels suivant qui ont été téléchargés pour la désinfection et le nettoyage::

    ▶ Ccleaner à garder absolument et faire le nettoyage souvent

    ▶ Malware à garder absolument (faire scan de temps en temps)

    ▶ Update checker à garder absolument et faire un scan pour vérifier les mises à jour disponible

    Les autres sont à supprimer, dans ajout et suppression de programmes pour certains et pour d'autres manuellement

    Pour finir, penser à faire après tout ça, une défragmentation du PC afin de regrouper les fragments de fichiers éparpillés sur le disque pour optimiser les temps d'accès du disque dur lors de la lecture de fichiers de taille importante.

    Voici la procédure :

    Méthode 1 :

    Ainsi pour défragmenter de manière optimale, il est fortement recommandé de démarrer Windows en mode sans échec, puis de lancer la défragmentation !

    Pour lancer la défragmentation :

    ▶ Pour Windows XP et pour les autres versions, la procédure est quasiment la même

    ▶ Double-cliquez sur Poste de Travail, clic droit sur le disque à défragmenter puis sur Propriétés.

    ▶ Choisissez l'onglet Outils puis cliquez sur Défragmenter maintenant

    Méthode 2 :

    Aussi pour défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows).

    Télacharge MyDefrag

    Voir le tuto pour bien l'installer et l'utiliser

    Si vous ne trouvé pas Hijackthis, téléchargez le fichier d'installation d'HijackThis.

    Tutoriaux Hijackthis

    0
    1. chafouina
       
      Salut Pimprenelle,

      J'ai suivie tes instructions presqu'a la lettre !!!
      J'ai oublier de réactiver la restauration system et le nouveau point de restauration aprés l'avoir desactivé,
      je l'ai fais après la défragmentation...
      j'espère que c'est pas grave!!!
      Merci pour ta persévérance et pour le partage de tes connaissances.
      Amicalement
      Chafouina
      0