Bonjour, c'est ce truc sur mon ordi qui me pourrit la vie ! j'avais ESET qui ne filtrait pas grand chose, alors j'ai installé un gratuit AVIRA et PC tool spyware doctor! C'est le spyware qui stop \globalroot\systemroot\system32\hjgruiothxvrgk.dll qui tente d'ouvrir ou de fermer des fichiers. Je n'y connais pas grand chose en informatique. j'ai un peu lu le forum. j'ai tenté une ouverture en mode sans echec, l'ordi se déconnecte. Que faire? Si un copain du forum me venait en aide, cela serait formidable. Chafouina

Cheval de troie rebelle

Réponse 1 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Bonjour,

Me faire ceci pour un examen de ton PC.

▶ Télécharge Random's System Information Tool (RSIT).

▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

▶ Double clique sur RSIT.exe pour lancer l'outil.

▶ Clique sur 'Continue' à l'écran Disclaimer.

▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

Petite chose à faire pour les rapports générés par RSIT avant de continuer

▶ Vous devez fusionner les deux rapports.
▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt dans un bloc note pour ne faire qu'un seul rapport.
▶ Ensuite enregistrer le rapport log.txt.

Ensuite :

▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

▶ Cliquez sur parcourir, puis sur cliquez ici pour déposer le fichier

▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

chafouina

Bonjour Pimprenelle,

Merci de t'intéresser à mon problème.
C'est touchant d'avoir de l'aide d'inconnu serviable...
voici le lien du rapport d'analyse

http://www.cijoint.fr/cjlink.php?file=cj200910/cijS0INent.doc
j'espère avoir tout fait comme il fallait!
Chafouina

Réponse 2 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

tu es infecté par du vundo : O4 - HKLM\..\Run: [MSxmlHpr] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w

Et certainement une infection usb aussi.

• Télécharge et installe UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

chafouina

Bonjour Pimprenelle
Merci pour ton temps bravo pour tes connaissances.
Chafouina
Je me suis aperçu après coup, que j'avais ouvert mes cles USB pour l'analyse,
donc je te poste 2 rapports,
Le premier avec clés ouvertes, et le second avec clés fermés!
Je ne sais pas si cela est utile, mais bon...
Voici le rapport d'analyse
############################## | UsbFix V6.038 |

User : Véro (Administrateurs) # ORDI-VERO
Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:35:22 | 07/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

Le SECOND RAPPORT

############################## | UsbFix V6.038 |

User : Véro (Administrateurs) # ORDI-VERO
Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:59:25 | 07/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 78,12 Go (33,44 Go free) [System] # NTFS
D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,67 Go (7,51 Go free) [UDISK PRO] # FAT32
I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
J:\ -> Disque amovible # 495,01 Mo (428,03 Mo free) [INTUIX KEY] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\Véro\Application Data\U3\0E80AB50423158B9\LaunchPad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\Temp\nsrbgxod.bak
H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013
H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
I:\autorun.inf
J:\Recycled.exe

################## | Registre # Clés Run infectieuses |

[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{06d6902a-0fa6-11de-afa0-001d92538a09}
Shell\AutoRun\command =F:\StartVMCLite.exe

HKCU\..\..\Explorer\MountPoints2\{06d6902b-0fa6-11de-afa0-001d92538a09}
Shell\AutoRun\command =F:\StartVMCLite.exe

HKCU\..\..\Explorer\MountPoints2\{06d69030-0fa6-11de-afa0-001d92538a09}
Shell\AutoRun\command =F:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{2b33ff78-fe61-11dd-af70-001d92538a09}
Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
Shell\Menu1\command =H:\LiberKey\LiberKey.exe

HKCU\..\..\Explorer\MountPoints2\{30969aa6-a103-11de-b145-001d92538a09}
Shell\AutoRun\command =H:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{30969aaa-a103-11de-b145-001d92538a09}
Shell\AutoRun\command =H:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{30969aae-a103-11de-b145-001d92538a09}
Shell\AutoRun\command =H:\setup.exe AUTORUN=1

HKCU\..\..\Explorer\MountPoints2\{b55be404-6a2a-11de-b080-001d92538a09}
Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
Shell\Menu1\command =H:\LiberKey\LiberKey.exe

HKCU\..\..\Explorer\MountPoints2\{d5c29fe1-84be-11dd-ae52-a0b055ceee0d}
Shell\AutoRun\command =I:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{ea9d7a50-0d74-11de-af9a-0015af9a44d7}
Shell\AutoRun\command =F:\StartVMCLite.exe

HKCU\..\..\Explorer\MountPoints2\{ea9d7a51-0d74-11de-af9a-0015af9a44d7}
Shell\AutoRun\command =F:\StartVMCLite.exe

################## | ! Fin du rapport # UsbFix V6.038 ! |

A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (0 Mo free) # FAT
C:\ -> Disque fixe local # 78,12 Go (33,44 Go free) [System] # NTFS
D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,67 Go (7,51 Go free) [UDISK PRO] # FAT32
I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
J:\ -> Disque amovible # 495,01 Mo (428,03 Mo free) [INTUIX KEY] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Véro\Application Data\U3\0E80AB50423158B9\LaunchPad.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\Temp\nsrbgxod.bak
H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013
H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
I:\autorun.inf
J:\Recycled.exe

################## | Registre # Clés Run infectieuses |

[HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{06d6902a-0fa6-11de-afa0-001d92538a09}
Shell\AutoRun\command =F:\StartVMCLite.exe

HKCU\..\..\Explorer\MountPoints2\{06d6902b-0fa6-11de-afa0-001d92538a09}
Shell\AutoRun\command =F:\StartVMCLite.exe

HKCU\..\..\Explorer\MountPoints2\{06d69030-0fa6-11de-afa0-001d92538a09}
Shell\AutoRun\command =F:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{2b33ff78-fe61-11dd-af70-001d92538a09}
Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
Shell\Menu1\command =H:\LiberKey\LiberKey.exe

HKCU\..\..\Explorer\MountPoints2\{30969aa6-a103-11de-b145-001d92538a09}
Shell\AutoRun\command =H:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{30969aaa-a103-11de-b145-001d92538a09}
Shell\AutoRun\command =H:\AutoRun.exe

HKCU\..\..\Explorer\MountPoints2\{30969aae-a103-11de-b145-001d92538a09}
Shell\AutoRun\command =H:\setup.exe AUTORUN=1

HKCU\..\..\Explorer\MountPoints2\{b55be404-6a2a-11de-b080-001d92538a09}
Shell\AutoRun\command =H:\LiberKey\LiberKey.exe
Shell\Menu1\command =H:\LiberKey\LiberKey.exe

HKCU\..\..\Explorer\MountPoints2\{d5c29fe1-84be-11dd-ae52-a0b055ceee0d}
Shell\AutoRun\command =I:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{ea9d7a50-0d74-11de-af9a-0015af9a44d7}
Shell\AutoRun\command =F:\StartVMCLite.exe

HKCU\..\..\Explorer\MountPoints2\{ea9d7a51-0d74-11de-af9a-0015af9a44d7}
Shell\AutoRun\command =F:\StartVMCLite.exe

################## | ! Fin du rapport # UsbFix V6.038 ! |

Réponse 3 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Alors il va falloir faire 2 fois cette manip car les fichiers détecté sont pas les même en fonction des clefs et ensuite bien sur me poster les 2 rapports de suppression :

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

chafouina

Bonjour Pimprenelle,

alors voici mes 2 rapports.
j'ai effectué 2 fois la même manip, j'espère que c'était ça qu'il fallait faire!

Merci encore pour ton temps et tes connaissances.
chafouina
############################## | UsbFix V6.038 |

User : Véro (Administrateurs) # ORDI-VERO
Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 21:25:23 | 08/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (0 Mo free) # FAT
C:\ -> Disque fixe local # 78,12 Go (32,26 Go free) [System] # NTFS
D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,67 Go (7,57 Go free) [UDISK PRO] # FAT32
I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
J:\ -> Disque amovible # 495,01 Mo (428,03 Mo free) [INTUIX KEY] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\Temp\nsrbgxod.bak
Supprimé ! H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
Supprimé ! H:\Restore\S-1-5-21-1482476501-1644491937-682003330-1013
Non supprimé ! I:\autorun.inf
Supprimé ! J:\Recycled.exe

################## | Références de comparaison MD5 : |

File : J:\Recycled.exe
-> Crc32 : 38cb0806 | Md5 : 7e572fe7346d4b6743e999f873b57c77

################## | Autres suppression |

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKUS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "autochk"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{06d6902a-0fa6-11de-afa0-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{06d6902b-0fa6-11de-afa0-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{06d69030-0fa6-11de-afa0-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{2b33ff78-fe61-11dd-af70-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{30969aa6-a103-11de-b145-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{30969aaa-a103-11de-b145-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{30969aae-a103-11de-b145-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b55be404-6a2a-11de-b080-001d92538a09}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{d5c29fe1-84be-11dd-ae52-a0b055ceee0d}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ea9d7a50-0d74-11de-af9a-0015af9a44d7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{ea9d7a51-0d74-11de-af9a-0015af9a44d7}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[17/09/2008 15:30|--a------|0] C:\AUTOEXEC.BAT
[06/07/2009 14:21|---hs----|224] C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin
[17/09/2008 15:30|--a------|0] C:\CONFIG.SYS
[17/09/2008 15:30|-rahs----|0] C:\IO.SYS
[17/09/2008 15:30|-rahs----|0] C:\MSDOS.SYS
[17/09/2008 17:11|-rahs----|47564] C:\NTDETECT.COM
[02/10/2008 13:37|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[06/07/2009 14:33|--ahs----|11776] C:\Thumbs.db
[08/10/2009 23:32|--a------|4841] C:\UsbFix.txt
[07/10/2009 21:14|--a------|5209] C:\UsbFix1.txt
[07/10/2009 21:05|--a------|5209] C:\UsbFix2.txt
[12/03/2003 13:50|--ah-----|84] C:\WRX2546.bin
[07/09/2004 10:31|--a------|274425064] D:\WindowsXP-KB835935-SP2-FRA.exe
[19/08/2009 15:42|--a------|589473] H:\19-8-09-5doigts.pdf
[08/10/2009 12:56|--a------|479066] H:\PANNEAU MARSEILLE.jpg
[08/10/2009 15:45|--a------|3784542] H:\PANCARTE TRIBUNAL MARON1.jpg
[08/10/2009 18:01|--a------|103706896] H:\PANCARTE TRIBUNAL MARON paysage.psd
[04/03/2009 12:29|--ah-----|4096] H:\._.Trashes
[08/10/2009 13:10|--ah-----|12292] H:\.DS_Store
[04/03/2009 12:30|--ah-----|82] H:\._helene.tif
[04/03/2009 12:30|--ah-----|82] H:\._jeanne.tif
[04/03/2009 12:30|--ah-----|82] H:\._papa et maman.tif
[04/03/2009 12:30|--ah-----|82] H:\._tita.tif
[04/03/2009 12:33|--ah-----|82] H:\._edouard.tif
[08/09/2005 17:30|-r-------|145] I:\autorun.inf
[08/09/2005 17:38|-r-------|3258070] I:\LaunchPad.zip
[08/09/2005 17:30|-r-------|925696] I:\LaunchU3.exe
[08/09/2005 17:30|-ra------|925696] J:\LaunchU3.exe
[17/09/2008 09:54|--ah-----|4096] J:\._.Trashes
[28/03/2009 15:01|--a------|5195856] J:\la peste.psd
[28/03/2009 14:56|--a------|389519] J:\l'‚tranger.jpg
[28/03/2009 14:57|--a------|5254380] J:\l'‚tranger.psd
[28/03/2009 14:10|--a------|390681] J:\theatre.jpg
[28/03/2009 15:01|--a------|387072] J:\la peste copie.jpg
[28/03/2009 15:12|--a------|5310870] J:\le mythe de sisyphe.psd
[28/03/2009 15:12|--a------|398794] J:\le mythe de sisyphe copie.jpg
[28/03/2009 14:12|--a------|436702] J:\theatre 1.jpg

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# H:\autorun.inf -> Folder created by UsbFix.
# J:\autorun.inf -> Folder created by UsbFix.

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\VRO~1\Bureau\UsbFix_Upload_Me_ORDI-VERO.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.038 ! |

2eme rapport

############################## | UsbFix V6.038 |

User : Véro (Administrateurs) # ORDI-VERO
Update on 06/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 23:47:21 | 08/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

AMD Athlon(tm) 64 X2 Dual-Core Processor TK-55
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | (!) Outdated ]

A:\ -> Lecteur de disquettes 3 ½ pouces # 1,39 Mo (0 Mo free) # FAT
C:\ -> Disque fixe local # 78,12 Go (33,9 Go free) [System] # NTFS
D:\ -> Disque fixe local # 65,07 Go (64,58 Go free) [Données] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque amovible # 7,67 Go (7,57 Go free) [UDISK PRO] # FAT32
I:\ -> Disque CD-ROM # 4,04 Mo (0 Mo free) [U3 System] # CDFS
J:\ -> Disque amovible # 495,01 Mo (429,2 Mo free) [INTUIX KEY] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\autorun.inf
Supprimé ! D:\autorun.inf
Supprimé ! H:\autorun.inf
Non supprimé ! I:\autorun.inf
Supprimé ! J:\autorun.inf

################## | Registre # Clés Run infectieuses |

################## | Registre # Mountpoints2 |

################## | Listing des fichiers présent |

[17/09/2008 15:30|--a------|0] C:\AUTOEXEC.BAT
[06/07/2009 14:21|---hs----|224] C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin
[17/09/2008 15:30|--a------|0] C:\CONFIG.SYS
[17/09/2008 15:30|-rahs----|0] C:\IO.SYS
[17/09/2008 15:30|-rahs----|0] C:\MSDOS.SYS
[17/09/2008 17:11|-rahs----|47564] C:\NTDETECT.COM
[02/10/2008 13:37|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[06/07/2009 14:33|--ahs----|11776] C:\Thumbs.db
[08/10/2009 23:59|--a------|3278] C:\UsbFix.txt
[07/10/2009 21:14|--a------|5209] C:\UsbFix1.txt
[12/03/2003 13:50|--ah-----|84] C:\WRX2546.bin
[07/09/2004 10:31|--a------|274425064] D:\WindowsXP-KB835935-SP2-FRA.exe
[19/08/2009 15:42|--a------|589473] H:\19-8-09-5doigts.pdf
[08/10/2009 12:56|--a------|479066] H:\PANNEAU MARSEILLE.jpg
[08/10/2009 15:45|--a------|3784542] H:\PANCARTE TRIBUNAL MARON1.jpg
[08/10/2009 18:01|--a------|103706896] H:\PANCARTE TRIBUNAL MARON paysage.psd
[04/03/2009 12:29|--ah-----|4096] H:\._.Trashes
[08/10/2009 13:10|--ah-----|12292] H:\.DS_Store
[04/03/2009 12:30|--ah-----|82] H:\._helene.tif
[04/03/2009 12:30|--ah-----|82] H:\._jeanne.tif
[04/03/2009 12:30|--ah-----|82] H:\._papa et maman.tif
[04/03/2009 12:30|--ah-----|82] H:\._tita.tif
[04/03/2009 12:33|--ah-----|82] H:\._edouard.tif
[08/09/2005 17:30|-r-------|145] I:\autorun.inf
[08/09/2005 17:38|-r-------|3258070] I:\LaunchPad.zip
[08/09/2005 17:30|-r-------|925696] I:\LaunchU3.exe
[08/09/2005 17:30|-ra------|925696] J:\LaunchU3.exe
[17/09/2008 09:54|--ah-----|4096] J:\._.Trashes
[28/03/2009 15:01|--a------|5195856] J:\la peste.psd
[28/03/2009 14:56|--a------|389519] J:\l'‚tranger.jpg
[28/03/2009 14:57|--a------|5254380] J:\l'‚tranger.psd
[28/03/2009 14:10|--a------|390681] J:\theatre.jpg
[28/03/2009 15:01|--a------|387072] J:\la peste copie.jpg
[28/03/2009 15:12|--a------|5310870] J:\le mythe de sisyphe.psd
[28/03/2009 15:12|--a------|398794] J:\le mythe de sisyphe copie.jpg
[28/03/2009 14:12|--a------|436702] J:\theatre 1.jpg

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
# H:\autorun.inf -> Folder created by UsbFix.
# J:\autorun.inf -> Folder created by UsbFix.

################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\VRO~1\Bureau\UsbFix_Upload_Me_ORDI-VERO.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.038 ! |

Réponse 4 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

tu peux m'analyser ces 2 fichiers avec virus total : C:\WINDOWS\system32\drivers\kztilx.sys , C:\WINDOWS\system32\drivers\aweyro.sys

Ce service se trouve ici :
==> https://www.virustotal.com/gui/

1) La fenêtre principale comporte plusieurs points qu'il faut comprendre :

# La Charge du service est l'élément qui détermine si le site VirusTotal est peu ou fortement sollicité, vert le site est peu utilisé, rouge vous allez devoir attendre.

# Parcourir, permettra de rechercher le fichier à analyser. Envoyer, commencera l'analyse du fichier que vous avez au préalable recherché voir cette cette image

2) Cliquez sur " Parcourir " afin de rechercher le fichier à tester qui peut se trouver sur votre bureau, vos documents, un dossier de Windows, etc. :
Une fois sélectionné , cliquez sur " Ouvrir " voir cette cette image

3) La page principale revient mais vous voyez maintenant précisément l'emplacement de ce fichier .
Cliquez sur " Envoyer " voir cette image

4) L'envoi du fichier est en cours, patientez pendant quelques secondes. Le temps d'attente peut être plus ou moins long selon la charge du service VirusTotal et de la taille du fichier à analyser voir cette cette image

5) Cependant si le site VirusTotal est trop sollicité , cette fenêtre apparaitra et donc vous aurez pour choix, soit d'attendre tranquillement, soit de revenir à un autre moment de la journée quand le site sera moins utilisé.

6) Votre fichier a été envoyé avec succès donc l'analyse va débuter dans quelques secondes et durer quelques minutes.
Les 32 anti-virus vont analyser chacun à leur tour le fichier envoyé.

7) Une fois le fichier totalement analysé vous verrez apparaitre dans le haut de la fenêtre le statut de l'analyse.
Le chiffre en rouge est le nombre d'anti-virus considérant le fichier comme infecté.
Cliquez sur " Formaté " afin d'avoir un rapport détaillé .

Il ne vous reste qu'à faire un copier-coller du résultat ou de recopier l'url présente sur la barre d'adresse et de l'envoyer à la personne qui vous a demandé de faire cette analyse.

chafouina

Bonjour pimprenelle,

Je ne trouve pas les 2 fichiers a analyser!!!
bêtement... je suis aller voir dans windows system32 dans le dossier drivers.
je vais continuer a chercher dans C windows.
j'ai aussi lancé une recherche de fichiers ,mais rien.
Y a t'il quelque chose que je n'ai pas fait correctement?
faut-il que je cherche dans chaque dossiers???

MERCIIIIII.
Amicalement.
bon dimanche à toi.

Chafouina

Réponse 5 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Fait ceci et ensuite réessaye de chercher :

Démarches à faire pour afficher les fichiers et dossiers cachés :

* Double cliquez sur l'Icône Poste de travail qui se trouve sur votre bureau
* Votre Poste de travail s'affichera alors comme sur cette image
* Ensuite dans la barre des menus en haut,vous cliquez sur "Outils"
* Puis vous cliquez sur "Options des dossiers" comme sur cette image
* Une fois l'option "Options des dossiers" sélectionnée vous verrez apparaître une fenêtre intitulée Options des dossiers
* Cliquez donc sur l'onglet Affichage et vous obtiendrez cette fenêtre ci
* Dans les options qui vous sont proposées, sélectionnez " Afficher les dossiers et fichiers cachés" comme sur cette image
* Masquer les extensions des fichiers dont le type est connu
* Masquer les fichiers protégés du système d'exploitation
* Voir comme sur cette image
* Cliquez ensuite sur "Appliquer" et validez par "Ok"

chafouina

Bonjour Pimprenelle,

Ils sont trés trés futés ces vilains virus!!!
Je ne les trouves pas !
cela fait des heures que je cherche, bon il faut bien avouer que je suis une bille en informatique!!!
J'ai fais comme tu m'a dis...Je ne sais pas quoi faire d'autre!!!
j'ai mal a la tête a force de faire défiler les fichiers!
J'ai aussi lancé plusieurs recherches avec l'explorateur...en vain.
Tu as une idée?
Il sont peut être trop coriaces!

Merci de t'occuper de mon problème.
Chafouina

Réponse 6 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

pas grave on verra à la fin s'il sont encore là :

▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

chafouina

Bonjour Pimprenelle

Alors voici le rapport de Malware
Merci encore!

Amicalement
Chafouina

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2943
Windows 5.1.2600 Service Pack 3

11/10/2009 19:38:20
mbam-log-2009-10-11 (19-38-20).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 196375
Temps écoulé: 30 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 12
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
\\?\globalroot\systemroot\system32\hjgruiskilxyid.dll (Rootkit.TDSS) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{40196867-19f8-7157-c097-ecaff653c9ad} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\msncache (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mms (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSxmlHpr (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\12458124 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
\\?\globalroot\systemroot\system32\hjgruiskilxyid.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
D:\Téléchargements\Logiciels\AUDIO\Convertisseur\Tous formats\dBpowerAMP Music Converter v.11\2-Crack\Crack.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\a99k.bin (Trojan.Goldun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.

Réponse 7 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* /!\Désactive temporairement toute protection résidente /!\ (Antivirus , Antispywares..)
* Double clique sur ComboFix.exe.(Sous Vista , il faut cliquer droit sur Combofix.exe et choisir Exécuter en tant qu'administrateur).
* Accepte la licence en cliquant sur Oui.
* Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne.Je vous conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
* Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse.
* Le rapport ce trouve ici : %SystemDrive%ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)
* Aide :Comment utiliser ComboFix.

chafouina

Bonsoir Pimprenelle,

un nouveau rapport d'annalyse...
peut etre que cette fois nous en viendrons à bout de ces méchants virus!!!
Merci
Amicalement
Chafouina

ComboFix 09-10-11.03 - Véro 12/10/2009 22:00.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1919.1335 [GMT 2:00]
Lancé depuis: c:\documents and settings\Véro\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Install.txt
c:\windows\Installer\16ecd1.msp
c:\windows\system32\drivers\hjgruiuhbawufb.sys
c:\windows\system32\hjgruiothxvrgk.dll
c:\windows\system32\hjgruivfppkhlx.dat
c:\windows\system32\hjgruiwrujngft.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_hjgruiyiqrdlyp
-------\Legacy_MSNCACHE
-------\Service_hjgruiyiqrdlyp

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-12 au 2009-10-12 ))))))))))))))))))))))))))))))))))))
.

2009-10-11 16:56 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-11 16:55 . 2009-10-11 17:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-11 16:55 . 2009-10-11 16:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-11 16:55 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-10 18:48 . 2009-10-10 18:48 -------- d-sh--w- c:\documents and settings\LocalService\IECompatCache
2009-10-07 18:34 . 2009-10-08 21:59 -------- d-----w- C:\UsbFix
2009-10-06 19:47 . 2009-10-06 19:48 -------- d-----w- c:\program files\trend micro
2009-10-06 19:47 . 2009-10-06 19:48 -------- d-----w- C:\rsit
2009-10-05 19:55 . 2009-10-08 12:25 -------- d-----r- c:\documents and settings\LocalService\Mes documents
2009-10-02 07:12 . 2009-10-02 07:12 -------- d-----w- c:\windows\system32\Nouveau dossier
2009-09-30 20:48 . 2009-10-01 06:35 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-09-30 20:48 . 2009-09-30 20:48 -------- d-----w- c:\program files\NOS
2009-09-29 20:03 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-09-29 20:03 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-09-29 20:03 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-09-29 20:03 . 2009-09-29 20:03 -------- d-----w- c:\program files\Fichiers communs\PC Tools
2009-09-29 20:03 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-09-29 20:02 . 2009-10-09 18:02 -------- d-----w- c:\program files\Spyware Doctor
2009-09-29 20:02 . 2009-09-29 20:02 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools
2009-09-29 20:02 . 2009-10-12 20:09 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-09-29 19:59 . 2009-09-29 19:59 -------- d-----w- c:\windows\system32\IOSUBSYS
2009-09-29 19:57 . 2009-09-29 20:17 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2009-09-29 19:35 . 2009-09-29 19:35 -------- d-----w- c:\windows\SxsCaPendDel
2009-09-27 09:50 . 2009-10-10 18:48 -------- d-----r- c:\documents and settings\LocalService\Favoris
2009-09-27 09:50 . 2009-09-27 09:50 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-09-27 09:42 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-27 09:42 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-27 09:42 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-27 09:42 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-27 09:42 . 2009-09-27 09:42 -------- d-----w- c:\program files\Avira
2009-09-27 09:42 . 2009-09-27 09:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-14 11:21 . 2009-09-14 11:21 -------- d-----w- c:\program files\Bouygues
2009-09-14 07:50 . 2009-09-14 11:38 -------- d-----w- c:\program files\Kit Internet Mobile Bouygues Telecom

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-29 20:18 . 2008-10-02 18:23 -------- d-----w- c:\program files\Google
2009-09-29 19:34 . 2009-09-10 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\STOPzilla!
2009-09-10 16:49 . 2009-09-10 16:06 -------- d-----w- c:\documents and settings\All Users\Application Data\SITEguard
2009-09-10 16:05 . 2009-09-10 16:05 -------- d-----w- c:\program files\Fichiers communs\iS3
2009-09-03 11:40 . 2009-09-03 11:03 16 ----a-w- c:\windows\pxydb.dat
2009-08-21 11:11 . 2002-08-30 12:00 80946 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-21 11:11 . 2002-08-30 12:00 501138 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-21 11:08 . 2009-08-21 11:08 -------- d-----w- c:\program files\MSBuild
2009-08-21 11:08 . 2009-08-21 11:08 -------- d-----w- c:\program files\Reference Assemblies
2009-08-06 17:24 . 2008-09-17 15:14 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 17:24 . 2008-09-17 15:14 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 17:24 . 2008-09-17 15:14 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 17:24 . 2007-07-30 17:19 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 17:24 . 2008-09-17 13:26 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 17:24 . 2002-08-30 12:00 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 17:23 . 2008-09-17 15:14 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 17:23 . 2008-09-17 13:26 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 09:00 . 2002-08-30 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-17 19:03 . 2002-08-30 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gestionnaire Antidote.exe"="c:\progra~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe" [2003-09-20 368640]
"VeohPlugin"="c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe" [2008-10-09 3502840]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-12-03 39408]
"ISUSPM"="c:\documents and settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe" [2007-03-29 222128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-14 136600]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-03-29 198160]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-04-02 342312]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2008-12-08 1173384]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-08-20 16384512]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2006-06-29 89541]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Acc‚l‚rateur de d‚marrage AutoCAD.lnk - c:\program files\Fichiers communs\Autodesk Shared\acstart17.exe [2006-3-5 11000]
Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-18 110592]
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-9-18 110592]
GlobeTrotter Connect.lnk - c:\program files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe [2008-3-11 880640]
L-Express.lnk - c:\program files\Softissimo\Lexibase Collins FE\exe\l-express.exe [2008-9-18 49152]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"=

R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [18/09/2008 18:13 39680]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [18/09/2008 18:13 35712]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [29/09/2009 22:03 130936]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/09/2009 11:42 108289]
R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [29/09/2009 22:02 348752]
S2 iwwff;iwwff;\??\c:\windows\system32\drivers\aweyro.sys --> c:\windows\system32\drivers\aweyro.sys [?]
S2 onkwaxpfecg;onkwaxpfecg;\??\c:\windows\system32\drivers\kztilx.sys --> c:\windows\system32\drivers\kztilx.sys [?]
S3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe -k getPlusHelper [30/08/2002 14:00 14336]
S3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [18/02/2008 16:14 106624]
S3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [08/02/2008 12:00 59648]
S3 GTPTSER;GT PT SER;c:\windows\system32\drivers\gtptser.sys [30/03/2007 12:38 8064]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - mchInjDrv

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Contenu du dossier 'Tâches planifiées'

2009-09-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-10-12 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-10-02 19:57]

2009-10-12 c:\windows\Tasks\User_Feed_Synchronization-{5E7C1849-CFA0-45B0-A879-DFC687B82B66}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Véro\Application Data\Mozilla\Firefox\Profiles\lhscg564.default\
FF - plugin: c:\program files\Google\Google Updater\2.4.1698.5652\npCIDetect13.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-SITEguard - (no file)
Toolbar-Locked - (no file)
HKLM-Run-ASuite - h:\liberkey\Apps\Asuite\LKrun.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-12 22:08
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(836)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(816)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\drivers\CDANTSRV.EXE
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\O2Micro Oz128 Driver\o2flash.exe
c:\program files\Spyware Doctor\pctsSvc.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-10-12 22:14 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-12 20:14

Avant-CF: 35 975 200 768 octets libres
Après-CF: 36 069 060 608 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn /usepmtimer

212 --- E O F --- 2009-09-10 22:35

Réponse 8 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

tu vas pouvoir vider la quarantaine de malware et me faire un nouveau RSIT.

chafouina

bonsoir, Pimprenelle,

Voici le dernier Rapport...

merci de l'attention que tu portes a mon probléme...
Amicalement
Chafouina

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2943
Windows 5.1.2600 Service Pack 3

13/10/2009 20:59:58
mbam-log-2009-10-13 (20-59-58).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 197436
Temps écoulé: 40 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\WINDOWS\system32\hjgruiothxvrgk.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\hjgruiwrujngft.dll.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\hjgruiuhbawufb.sys.vir (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP245\A0044411.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP246\A0044468.sys (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP246\A0044469.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{9214BB48-1754-4C8B-A3D0-A03133A956A9}\RP246\A0044470.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

Réponse 9 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Tu as refait un autre Scan malware. vide la quarantaine et ensuite poste moi un noveau rapport RSIt

chafouina

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2943
Windows 5.1.2600 Service Pack 3

16/10/2009 21:54:22
mbam-log-2009-10-16 (21-54-22).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 193226
Temps écoulé: 56 minute(s), 50 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Bonjour Pimprenelle,

cette fois, j'ai l'impression que nous en sommes a bout!!!
Voici un nouveau rapport malware...

Avec toute ma gratitude

Chafouina

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Réponse 10 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Et le nouveau rapport RSIT?

chafouina

Alors le voila...
Je ne me rappelais plus que j'avais ce programme!

Amicalement
Chafouina

Logfile of random's system information tool 1.06 (written by random/random)
Run by Véro at 2009-10-17 07:16:26
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 35 GB (43%) free of 80 GB
Total RAM: 1919 MB (73% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:16:29, on 17/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Véro\Mes documents\Téléchargements\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\Véro.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GlobeTrotter Connect.lnk = C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
O4 - Global Startup: L-Express.lnk = C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

Réponse 11 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Pourrais tu aller supprimer ce fichier là c.exe dans : c:\documents and settings\vro~1\locals~1\temp\c.exe

chafouina

ben je le trouve pas...
y a t'il une méthode pour le débusquer?

A +++

Chafouina

Réponse 12 / 16

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Bonjour,

tu ne le trouveras pas, pour la même raison que tu n'as pas trouvé :

C:\WINDOWS\system32\drivers\aweyro.sys et

C:\WINDOWS\system32\drivers\kztilx.sys

===

Par contre il faut que pimptenelle te "débarrasse" de :

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cognac]

S2 iwwff;iwwff; \??\C:\WINDOWS\system32\drivers\aweyro.sys []

S2 onkwaxpfecg;onkwaxpfecg; \??\C:\WINDOWS\system32\drivers\kztilx.sys []

chafouina

Bonjour le lyonnais

C'est quoi les raisons ?
si c'est une reponse super technique c'est pas la peine!!!
je suis une bille en informatique alors je risque de ne pas comprendre grand chose!
Merci
Chafouina

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537 > chafouina

Re,

la raison est simple : ces fichiers ont déjà été supprimés.

Réponse 13 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Et ba pas de bol parce que je les avais trouvé dommage.

chafouina

Bonjour pimprenelle,

Est ce que tu peux encore m'aider a résoudre mon problème?
Apparemment, j'ai encore des fichiers a éliminer...
Amicalement
Chafouina

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502 > chafouina

▶ Télécharge OTM (de Old_Timer) sur ton Bureau

▶ Double-clique sur OTM.exe pour le lancer.

▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------
:services
iwwff
onkwaxpfecg

:reg
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cognac]

:Commands
[purity]
[emptytemp]
[Reboot]

-----------------------------------------------------------------------------

▶ clique sur MoveIt! pour lancer la suppression.

▶ Le résultat apparaitra dans le cadre "Results".

▶ Clique sur Exit pour fermer.

▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

chafouina > pimprenelle27 Messages postés 22182 Statut Contributeur sécurité

Bonjour Pimprenelle;

voici le rapport OTM,
merci
amicalement
Chafouina
All processes killed
========== SERVICES/DRIVERS ==========

Service\Driver iwwff deleted successfully.

Service\Driver onkwaxpfecg deleted successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cognac\ deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 344236 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 534395 bytes

User: Véro
->Temp folder emptied: 4141964 bytes
->Temporary Internet Files folder emptied: 5711333 bytes
->Java cache emptied: 390965 bytes
->FireFox cache emptied: 49795941 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1139202 bytes
%systemroot%\System32 .tmp files removed: 2833408 bytes
Windows Temp folder emptied: 1209344 bytes
RecycleBin emptied: 178809415 bytes

Total Files Cleaned = 233,60 mb

OTM by OldTimer - Version 3.0.0.6 log created on 10222009_210730

Files moved on Reboot...

Registry entries deleted on Reboot...

Réponse 14 / 16

Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537

Re,

post 8 Je ne trouve pas les 2 fichiers a analyser!!!

post 10 Je ne les trouves pas !

Réponse 15 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

Un dernier RSIT à jour.

chafouina

Bonjour Pimprenelle

J'ai l'impression que nous en venons a bout !!!
Merci de m'avoir aidé pendant tout ce temps.
Amicalement
Chafouina

Logfile of random's system information tool 1.06 (written by random/random)
Run by Véro at 2009-10-23 05:46:51
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 35 GB (44%) free of 80 GB
Total RAM: 1919 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:46:56, on 23/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\QuickTime\QTTask.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Véro\Mes documents\Téléchargements\RSIT.exe
C:\Program Files\trend micro\Véro.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Gestionnaire Antidote.exe] C:\PROGRA~1\Druide\Antidote\Antidote\Gestionnaire Antidote.exe
O4 - HKCU\..\Run: [VeohPlugin] "C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\isuspm.exe" -scheduler
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Fichiers communs\Autodesk Shared\acstart17.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: GlobeTrotter Connect.lnk = C:\Program Files\Bouygues\GlobeTrotter Connect\GlobeTrotter Connect.exe
O4 - Global Startup: L-Express.lnk = C:\Program Files\Softissimo\Lexibase Collins FE\exe\l-express.exe
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

Réponse 16 / 16

pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 502

On peut passer au nettoyage et mise à jour de l’ordinateur :

Lance Hijackthis , (= C:\Program Files\trend micro\Véro.exe) , ensuite clique sur do a system scan only puis tu sélectionne les lignes suivante ,

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" => Apple®Itunes Helper

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE => Realtek Semiconductor®HD Audio Sound Effect Manager
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe => Ahead®Nero Burning Rom
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime => Apple®Quick Time
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot => Real Networks®Real Player
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" => Google®Toolbar
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe => Microsoft®Windows NT
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') => Microsoft®Windows NT
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') => Microsoft®Windows NT
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe => Adobe®Creative Studio
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe => Adobe®Creative Studio
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer®Bonjour for Windows

Tu cliques en bas sur le bouton FIX CHECKED et valides .

Redémarres l'ordi . ( important pour que certaines modifs faites avec hijakthis soient prises en compte )

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

▶ Télécharge Toolscleaner sur ton Bureau

▶ Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter, pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse

Pour mettre à jour les logiciels sur ton PC :

Les Mises A Jour sont très importantes pour votre PC, afin d'éviter certaines failles de sécurité

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

▶ Télécharge Update Checker

▶ Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

▶ Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

▶ Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

▶ Un conseil : n'installe pas les BETA qui sont listées en dessous.

▶ Tu installes les mises à jour que tu désires, les plus importantes sont :

● Java

● Adobe Reader

● Adobe Flash Player

● Navigateur Internet

(attention certain logiciels mis en lien pour les mises à jour peuvent être en anglais, rechercher celui en français)

Voici un tuto

Enfin un petit nettoyage de l'ordi :

Télécharge Ccleaner

Tutoriel pour l'installer et l'utiliser correctement CCleaner

Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.

Enfin Purge de la restauration système :

Désactivation de la restauration :

▶ Cliquez droit sur poste de travail
▶ Ensuite aller sur propriétés
▶ Puis restauration système
▶ Et cochez la case désactiver la restauration
▶ Cliquez ensuite sur appliquez, puis OK
▶ Et redémarrez votre PC

Réactivation de la restauration :

▶ Cliquez droit sur poste de travail
▶ Ensuite aller sur propriétés
▶ Puis restauration système
▶ Et décochez la case désactiver la restauration
▶ Cliquez ensuite sur appliquez, puis OK
▶ Et redémarrez votre PC

Et ensuite création d'un nouveau point de restauration comme ce qui suit :

▶ Allez dans le Menu Démarrer
▶ Puis dans Programmes
▶ Ensuite dans Accessoires
▶ Et enfin dans Outils système
▶ Choisir Restauration du système
▶ Sélectionnez créer un point de restauration
▶ Cliquez sur Suivant
▶ Entrez un nom pour le point de restauration
▶ Cliquez sur créer et le point de restauration se créé automatiquement.

Enfin vous devez garder les logiciels suivant qui ont été téléchargés pour la désinfection et le nettoyage::

▶ Ccleaner à garder absolument et faire le nettoyage souvent

▶ Malware à garder absolument (faire scan de temps en temps)

▶ Update checker à garder absolument et faire un scan pour vérifier les mises à jour disponible

Les autres sont à supprimer, dans ajout et suppression de programmes pour certains et pour d'autres manuellement

Pour finir, penser à faire après tout ça, une défragmentation du PC afin de regrouper les fragments de fichiers éparpillés sur le disque pour optimiser les temps d'accès du disque dur lors de la lecture de fichiers de taille importante.

Voici la procédure :

Méthode 1 :

Ainsi pour défragmenter de manière optimale, il est fortement recommandé de démarrer Windows en mode sans échec, puis de lancer la défragmentation !

Pour lancer la défragmentation :

▶ Pour Windows XP et pour les autres versions, la procédure est quasiment la même

▶ Double-cliquez sur Poste de Travail, clic droit sur le disque à défragmenter puis sur Propriétés.

▶ Choisissez l'onglet Outils puis cliquez sur Défragmenter maintenant

Méthode 2 :

Aussi pour défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows).

Télacharge MyDefrag

Voir le tuto pour bien l'installer et l'utiliser

Si vous ne trouvé pas Hijackthis, téléchargez le fichier d'installation d'HijackThis.

Tutoriaux Hijackthis

chafouina

Salut Pimprenelle,

J'ai suivie tes instructions presqu'a la lettre !!!
J'ai oublier de réactiver la restauration system et le nouveau point de restauration aprés l'avoir desactivé,
je l'ai fais après la défragmentation...
j'espère que c'est pas grave!!!
Merci pour ta persévérance et pour le partage de tes connaissances.
Amicalement
Chafouina

Cheval de troie rebelle

16 réponses

Votre réponse

Discussions similaires

Newsletters