Sujet Précédent Sujet Suivant

AntivirusPro 2010

Fermé
Tchaeroo - 12 oct. 2009 à 15:39
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 - 20 oct. 2009 à 14:00
Bonjour,

j'ai deux ordinateurs branché en réseau. Tout deux sont infecté par AntivirusPro 2010.
suite à différentes lectures sur le net j'ai téléchargé antiMalware Byte (qulque chose comme ça). j'ai lancé le logiciel, il a détecté quelque virus mais n'a rien réparé. Avast détecte également beaucoup de choses mais ne règle rien.

Quelqu'un peu me donner un petit coup de mains?
Merci par avance
A voir également:

19 réponses

Réponse 1 / 19
Utilisateur anonyme
12 oct. 2009 à 15:47
Bonjour
Antivirus pro 2010 est un rogue, faux logiciel de sécurité
il faut éviter de cliquer sur les publicités et de télécharger par le P2P
fait ceci pour savoir où il est placé

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

- http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

- Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


- laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
1
Réponse 2 / 19
Cesel45 Messages postés 13152 Date d'inscription mardi 24 avril 2007 Statut Contributeur Dernière intervention 29 novembre 2023 2 809
12 oct. 2009 à 15:45
Bonjour

Fait le nettoyage en mode sans échec.
0
Réponse 3 / 19
Utilisateur anonyme
12 oct. 2009 à 15:50
bonjour,
Edit :
bonjour Nathandre :-)

Bonne chasse ;-)
0
Réponse 4 / 19
Tchaeroo
12 oct. 2009 à 15:59
C'est partit: le log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:36, on 02/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Cemea\haigaep.exe
C:\WINDOWS\TEMP\rufcketbme.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\TEMP\rufcketbme.exe
C:\WINDOWS\TEMP\rufcketbme.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
\Tours-1\Mes documents\malwarebytes-anti-malware_malwarebytes_anti-malware_1.41_francais_215092.exe
C:\DOCUME~1\Cemea\LOCALS~1\Temp\is-PTUKA.tmp\malwarebytes-anti-malware_malwarebytes_anti-malware_1.41_francais_215092.tmp
\Tours-1\Mes documents\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CardDetectorHUAWEI] C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] "C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [haigaep] C:\Documents and Settings\Cemea\haigaep.exe
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOCUME~1\Cemea\ntuser.dll,_IWMPEvents@0
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [svchost] C:\WINDOWS\system32\config\systemprofile\Application Data\svcst.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6BCF821-1549-4C88-886C-E572B1B8311D}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe LM Service AdobeAlerter (AdobeAlerter) - Unknown owner - C:\WINDOWS\TEMP\rufcketbme.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Utilisateur anonyme
12 oct. 2009 à 16:02
PC très infecté, ya du taf


Télécharge Smitfraudfix (de S!RI) sur ton bureau
http://siri.urz.free.fr/Fix/SmitfraudFix.php

Désactive l'anti-virus et l'anti-spyware.

Double-clique sur SmitfraudFix.exe pour le lancer

Sélectionne l’option 1, puis appuie sur la touche entrée

il va générer un rapport que tu dois poster

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, ect...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

une petites démo en vidéo :http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Tchaeroo
12 oct. 2009 à 16:01
et l'info:

15:57 12/10/2009e8fce969b9e\Setup.exe
Adobe After Effects CS3 Third Party Content-->MsiExec.exe /I{7ECEF10B-F1C2-4FD5-861F-A3FCB4653304}
Adobe After Effects CS3-->MsiExec.exe /I{EB0202F7-016A-410C-ADE4-40F848CCC661}
Adobe Anchor Service CS3-->MsiExec.exe /I{90176341-0A8B-4CCC-A78D-F862228A6B95}
Adobe Asset Services CS3-->MsiExec.exe /I{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}
Adobe Audition 2.0-->msiexec /I {01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}
Adobe Bridge 1.0-->MsiExec.exe /I{AE3D38A6-13B1-40B3-9423-D1FA9982FB6A}
Adobe Bridge CS3-->MsiExec.exe /I{9C9824D9-9000-4373-A6A5-D0E5D4831394}
Adobe Bridge Start Meeting-->MsiExec.exe /I{08B32819-6EEF-4057-AEDA-5AB681A36A23}
Adobe BridgeTalk Plugin CS3-->MsiExec.exe /I{B73CFB12-C814-4638-AFFD-7E3AAFAF0B4E}
Adobe Camera Raw 4.0-->MsiExec.exe /I{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}
Adobe CMaps-->MsiExec.exe /I{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}
Adobe Color - Photoshop Specific-->MsiExec.exe /I{A2D81E70-2A98-4A08-A628-94388B063C5E}
Adobe Color Common Settings-->C:\Program Files\Fichiers communs\Adobe\Installers\6c8e2cb4fd241c55406016127a6ab2e\Setup.exe
Adobe Color Common Settings-->MsiExec.exe /I{6D4AC5A4-4CF9-4F90-8111-B9B53CE257BF}
Adobe Color EU Recommended Settings-->MsiExec.exe /I{73B5D990-04EA-4751-B10F-5534770B91F2}
Adobe Color JA Extra Settings-->MsiExec.exe /I{DD7DB3C5-6FA3-4FA3-8A71-C2F2940EB029}
Adobe Color NA Extra Settings-->MsiExec.exe /I{FF29A7E2-FF40-4D07-B7E4-2093DE59E10A}
Adobe Common File Installer-->MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5102}
Adobe Creative Suite 3 Master Collection-->MsiExec.exe /I{5D2398DF-3022-4820-93BA-F1175FBEA9CA}
Adobe Default Language CS3-->MsiExec.exe /I{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}
Adobe Device Central CS3-->MsiExec.exe /I{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}
Adobe ExtendScript Toolkit 2-->C:\Program Files\Fichiers communs\Adobe\Installers\3e054d2218e7aa282c2369d939e58ff\Setup.exe
Adobe ExtendScript Toolkit 2-->MsiExec.exe /I{24D7346D-D4B4-45E8-98EA-75EC14B42DD8}
Adobe Extension Manager CS3-->MsiExec.exe /I{BE5F3842-8309-4754-92D5-83E02E6077A3}
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Flash Player 9 ActiveX-->MsiExec.exe /X{BC4F8E84-5E29-49EC-B4E7-E6F9CB50986C}
Adobe Fonts All-->MsiExec.exe /I{6ABE0BEE-D572-4FE8-B434-9E72A289431B}
Adobe Help Center 2.0-->MsiExec.exe /I{8FFC924C-ED06-44CB-8867-3CA778ECE903}
Adobe Help Viewer CS3-->MsiExec.exe /I{7ACFB90E-8FD0-4397-AD3A-5195412623A3}
Adobe InDesign CS3 Icon Handler-->MsiExec.exe /I{EA7B3CC4-366D-4CF6-8350-FD7A7034116E}
Adobe Linguistics CS3-->MsiExec.exe /I{54793AA1-5001-42F4-ABB6-C364617C6078}
Adobe MotionPicture Color Files-->MsiExec.exe /I{6B708481-748A-4EB4-97C1-CD386244FF77}
Adobe PDF Library Files-->MsiExec.exe /I{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}
Adobe Photoshop CS3-->MsiExec.exe /I{C1FA4B3B-1625-4922-9C9D-780E8FCE161A}
Adobe Premiere Pro CS3 Functional Content-->MsiExec.exe /I{50F102CA-4BE2-41A9-9810-5BB05EB91B9A}
Adobe Premiere Pro CS3 Third Party Content-->MsiExec.exe /I{485ACF57-F364-440A-8496-E1E81C8FA1AA}
Adobe Premiere Pro CS3-->MsiExec.exe /I{58DCEEE5-532E-44F4-B1D7-A146EF9E9FDA}
Adobe Reader 9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A90000000001}
Adobe Setup-->MsiExec.exe /I{004685F7-9FB6-4789-812F-59ABB34A55AF}
Adobe Setup-->MsiExec.exe /I{1628F6BD-5ED1-4FD1-B90F-C106AF4E00F0}
Adobe Setup-->MsiExec.exe /I{64C1FA9A-FA94-4B6E-B3E4-8573738E4AD1}
Adobe Setup-->MsiExec.exe /I{B3C02EC1-A7B0-4987-9A43-8789426AAA7D}
Adobe SING CS3-->MsiExec.exe /I{B671CBFD-4109-4D35-9252-3062D3CCB7B2}
Adobe Soundbooth CS3 Codecs-->MsiExec.exe /I{0327FA9D-975C-448C-A086-577D57BB25B8}
Adobe Soundbooth CS3-->MsiExec.exe /I{A6B23EFA-6590-482C-A11F-5ACE1B91F5B9}
Adobe Stock Photos CS3-->MsiExec.exe /I{29E5EA97-5F74-4A57-B8B2-D4F169117183}
Adobe Type Support-->MsiExec.exe /I{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}
Adobe Update Manager CS3-->MsiExec.exe /I{E69AE897-9E0B-485C-8552-7841F48D42D8}
Adobe Version Cue CS3 Client-->MsiExec.exe /I{D0DFF92A-492E-4C40-B862-A74A173C25C5}
Adobe Video Profiles-->MsiExec.exe /I{845A8DB9-8802-4FD3-9FE3-938A6C46A2EC}
Adobe WAS CS3-->MsiExec.exe /I{C5BD220A-EFE8-48A5-B70E-9503D535FACE}
Adobe WinSoft Linguistics Plugin-->MsiExec.exe /I{184CE391-7E0E-4C63-9935-D7A10EDFD3C6}
Adobe XMP DVA Panels CS3-->MsiExec.exe /I{0224CACC-994D-45F8-B973-D65056EA9C2F}
Adobe XMP Panels CS3-->MsiExec.exe /I{D5A31AB1-345D-47C7-A87B-036A669F6DF1}
AHV content for Acrobat and Flash-->MsiExec.exe /I{6BBAA81D-6A7E-43AD-8889-2F002DCAAFDD}
Ajouter ou supprimer Adobe Creative Suite 3 Master Collection-->C:\Program Files\Fichiers communs\Adobe\Installers\b5d5789539ea1f004a4defceea74312\Setup.exe
Antivirus Pro 2010-->C:\Program Files\AntivirusPro_2010\Uninstall.exe
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Call of Duty(R) - World at War(TM) 1.2 Patch-->C:\Program Files\InstallShield Installation Information\{2BF0AE92-C3BC-4112-9066-1546342B1FAE}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM) 1.4 Patch-->C:\Program Files\InstallShield Installation Information\{9F01A67B-7D67-482F-9D4F-D5980A440FD4}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM) 1.5 Patch-->C:\Program Files\InstallShield Installation Information\{C3DC2DF5-EFAC-4055-9010-31F7C545DD9E}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) - World at War(TM)-->C:\Program Files\InstallShield Installation Information\{D80A6A73-E58A-4673-AFF5-F12D7110661F}\setup.exe -runfromtemp -l0x040c
Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch-->C:\Program Files\InstallShield Installation Information\{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch-->C:\Program Files\InstallShield Installation Information\{931C37FC-594D-43A9-B10F-A2F2B1F03498}\setup.exe -runfromtemp -l0x0409
Call of Duty(R) 4 - Modern Warfare(TM)-->C:\Program Files\InstallShield Installation Information\{E48469CC-635E-4FD5-A122-1497C286D217}\setup.exe -runfromtemp -l0x040c
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
Correctif pour Windows XP (KB970653-v3)-->"C:\WINDOWS\$NtUninstallKB970653-v3$\spuninst\spuninst.exe"
Désinstallation de Internet Everywhere-->C:\Program Files\Orange\IEWInternet\installation\core\Installgui.exe -u
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
HijackThis 2.0.2-->"\\Tours-1\Mes documents\HijackThis.exe" /uninstall
Huawei 3G+ modem-->C:\Program Files\CardDetector\HUAWEI\CardDetectorSetup.exe -u
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{7370DF47-B4F9-4279-BFC3-3F09919F720D}
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Compression Client Pack 1.0 for Windows XP-->"C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office Access MUI (French) 2007-->MsiExec.exe /X{90120000-0015-040C-0000-0000000FF1CE}
Microsoft Office Excel MUI (French) 2007-->MsiExec.exe /X{90120000-0016-040C-0000-0000000FF1CE}
Microsoft Office InfoPath MUI (French) 2007-->MsiExec.exe /X{90120000-0044-040C-0000-0000000FF1CE}
Microsoft Office Outlook MUI (French) 2007-->MsiExec.exe /X{90120000-001A-040C-0000-0000000FF1CE}
Microsoft Office PowerPoint MUI (French) 2007-->MsiExec.exe /X{90120000-0018-040C-0000-0000000FF1CE}
Microsoft Office Professional Plus 2007-->"C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\Office Setup Controller\setup.exe" /uninstall PROPLUS /dll OSETUP.DLL
Microsoft Office Professional Plus 2007-->MsiExec.exe /X{90120000-0011-0000-0000-0000000FF1CE}
Microsoft Office Proof (Arabic) 2007-->MsiExec.exe /X{90120000-001F-0401-0000-0000000FF1CE}
Microsoft Office Proof (Dutch) 2007-->MsiExec.exe /X{90120000-001F-0413-0000-0000000FF1CE}
Microsoft Office Proof (English) 2007-->MsiExec.exe /X{90120000-001F-0409-0000-0000000FF1CE}
Microsoft Office Proof (French) 2007-->MsiExec.exe /X{90120000-001F-040C-0000-0000000FF1CE}
Microsoft Office Proof (German) 2007-->MsiExec.exe /X{90120000-001F-0407-0000-0000000FF1CE}
Microsoft Office Proof (Spanish) 2007-->MsiExec.exe /X{90120000-001F-0C0A-0000-0000000FF1CE}
Microsoft Office Proofing (French) 2007-->MsiExec.exe /X{90120000-002C-040C-0000-0000000FF1CE}
Microsoft Office Publisher MUI (French) 2007-->MsiExec.exe /X{90120000-0019-040C-0000-0000000FF1CE}
Microsoft Office Shared MUI (French) 2007-->MsiExec.exe /X{90120000-006E-040C-0000-0000000FF1CE}
Microsoft Office Word MUI (French) 2007-->MsiExec.exe /X{90120000-001B-040C-0000-0000000FF1CE}
Microsoft User-Mode Driver Framework Feature Pack 1.0-->"C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB968816)-->"C:\WINDOWS\$NtUninstallKB968816_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Lecteur Windows Media (KB973540)-->"C:\WINDOWS\$NtUninstallKB973540_WM9$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB969897)-->"C:\WINDOWS\ie8updates\KB969897-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB971961)-->"C:\WINDOWS\ie8updates\KB971961-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 8 (KB972260)-->"C:\WINDOWS\ie8updates\KB972260-IE8\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB923789)-->C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Mise à jour de sécurité pour Windows XP (KB956744)-->"C:\WINDOWS\$NtUninstallKB956744$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956844)-->"C:\WINDOWS\$NtUninstallKB956844$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB960859)-->"C:\WINDOWS\$NtUninstallKB960859$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB961371-v2)-->"C:\WINDOWS\$NtUninstallKB961371-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971557)-->"C:\WINDOWS\$NtUninstallKB971557$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971633)-->"C:\WINDOWS\$NtUninstallKB971633$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB971657)-->"C:\WINDOWS\$NtUninstallKB971657$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973346)-->"C:\WINDOWS\$NtUninstallKB973346$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973354)-->"C:\WINDOWS\$NtUninstallKB973354$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973507)-->"C:\WINDOWS\$NtUninstallKB973507$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB973869)-->"C:\WINDOWS\$NtUninstallKB973869$\spuninst\spuninst.exe"
Mise à jour pour Windows Internet Explorer 8 (KB969497)-->"C:\WINDOWS\ie8updates\KB969497-IE8\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB968389)-->"C:\WINDOWS\$NtUninstallKB968389$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB973815)-->"C:\WINDOWS\$NtUninstallKB973815$\spuninst\spuninst.exe"
Mozilla Firefox (3.5.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
Nero 8-->MsiExec.exe /X{D6C9AF27-9414-46C8-B9D8-D878BA041036}
neroxml-->MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
NVIDIA Drivers-->C:\WINDOWS\system32\nvuninst.exe UninstallGUI
NVIDIA PhysX v8.09.04-->MsiExec.exe /X{A7E07C2B-2220-4415-87E3-784D5814BC93}
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PDF Settings-->MsiExec.exe /I{AC5B0C19-D851-42F4-BDA0-410ECF7F70A5}
PunkBuster Services-->C:\WINDOWS\system32\pbsvc.exe -u
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c -removeonly
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Update for 2007 Microsoft Office System (KB967642)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {C444285D-5E4F-48A4-91DD-47AAAA68E92D}
Update for Outlook 2007 Junk Email Filter (kb973514)-->msiexec /package {90120000-0011-0000-0000-0000000FF1CE} /uninstall {03B11C77-336F-43B4-9B43-79890BA84504}
VCRedistSetup-->MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VirtualCloneDrive-->"C:\Program Files\Elaborate Bytes\VirtualCloneDrive\vcd-uninst.exe" /D="C:\Program Files\Elaborate Bytes\VirtualCloneDrive"
VLC media player 0.9.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Internet Explorer 8-->"C:\WINDOWS\ie8\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Messenger-->MsiExec.exe /X{059C042E-796A-4ACC-A81A-ECC2010BB78C}
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll
Windows Media Format 11 runtime-->"C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Player 11-->"C:\WINDOWS\$NtUninstallwmp11$\spuninst\spuninst.exe"
Windows Search 4.0-->"C:\WINDOWS\$NtUninstallKB940157$\spuninst\spuninst.exe"

=====HijackThis Backups=====

O4 - HKLM\..\Run: [Antivirus Pro 2010] "C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.exe" /hide [2009-09-30]

======Security center information======

AV: avast! antivirus 4.8.1335 [VPS 091011-0]

======System event log======

Computer Name: TOURS-2
Event Code: 7036
Message: Le service PnkBstrB est entré dans l'état : arrêté.

Record Number: 5523
Source Name: Service Control Manager
Time Written: 20090608211143.000000+120
Event Type: Informations
User:

Computer Name: TOURS-2
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service PnkBstrB.

Record Number: 5522
Source Name: Service Control Manager
Time Written: 20090608211123.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: TOURS-2
Event Code: 7036
Message: Le service PnkBstrB est entré dans l'état : en cours d'exécution.

Record Number: 5521
Source Name: Service Control Manager
Time Written: 20090608211123.000000+120
Event Type: Informations
User:

Computer Name: TOURS-2
Event Code: 7035
Message: Un contrôle Arrêter a correctement été envoyé au service PnkBstrB.

Record Number: 5520
Source Name: Service Control Manager
Time Written: 20090608211120.000000+120
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: TOURS-2
Event Code: 7036
Message: Le service PnkBstrB est entré dans l'état : arrêté.

Record Number: 5519
Source Name: Service Control Manager
Time Written: 20090608211120.000000+120
Event Type: Informations
User:

=====Application event log=====

Computer Name: TOURS-2
Event Code: 1003
Message: Le service Windows Search a été démarré.


Record Number: 886
Source Name: Windows Search Service
Time Written: 20090414091821.000000+120
Event Type: Informations
User:

Computer Name: TOURS-2
Event Code: 102
Message: Windows (2040) Windows: Le moteur de base de données a démarré une nouvelle instance (0).

Record Number: 885
Source Name: ESENT
Time Written: 20090414091818.000000+120
Event Type: Informations
User:

Computer Name: TOURS-2
Event Code: 100
Message: SearchIndexer (2040) Le moteur de base de données 5.01.2600.5512 est démarré.

Record Number: 884
Source Name: ESENT
Time Written: 20090414091818.000000+120
Event Type: Informations
User:

Computer Name: TOURS-2
Event Code: 1800
Message: Le service Centre de sécurité Windows a démarré.

Record Number: 883
Source Name: SecurityCenter
Time Written: 20090414091818.000000+120
Event Type: Informations
User:

Computer Name: TOURS-2
Event Code: 1
Message:
Record Number: 882
Source Name: Bonjour Service
Time Written: 20090414091817.000000+120
Event Type: Informations
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\Fichiers communs\Adobe\AGL
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 23 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=1706
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP

-----------------EOF-----------------
0
Réponse 6 / 19
Tchaeroo
12 oct. 2009 à 16:24
Voici le rapport de Smitfraudfix:

SmitFraudFix v2.424

Rapport fait à 16:23:03,89, 12/10/2009
Executé à partir de C:\Documents and Settings\Cemea\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Documents and Settings\Cemea\Bureau\SmitfraudFix\Policies.exe
C:\Documents and Settings\Cemea\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cemea


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Cemea\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Cemea\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Cemea\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.2
DNS Server Search Order: 80.10.246.129

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B6BCF821-1549-4C88-886C-E572B1B8311D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B6BCF821-1549-4C88-886C-E572B1B8311D}: NameServer=80.10.246.2,80.10.246.129
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B6BCF821-1549-4C88-886C-E572B1B8311D}: NameServer=80.10.246.2,80.10.246.129


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Utilisateur anonyme
12 oct. 2009 à 16:37
Smitfraudfix n'a pas trouvé le rogue

on verra après pour le rogue
traitons l'infection par supports amovibles


Télécharge et installe USBFix de Chiquitine29 , C_XX et Chimay8 sur ton bureau

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Sélectionne l'option 1 ( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Je dois partir, on continuera ce soir si c'est possible
0
Tchaeroo > Utilisateur anonyme
12 oct. 2009 à 16:47
voici le rapport de UsbFix:


############################## | UsbFix V6.041 |

User : Cemea (Administrateurs) # TOURS-2
Update on 12/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:40:55 | 12/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 091011-0] 4.8.1335 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 298,08 Go (247,96 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 149,01 Go (91,02 Go free) [PHEUKS] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\alg.exe
C:\Documents and Settings\Cemea\Bureau\SmitfraudFix\Policies.exe
C:\Documents and Settings\Cemea\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\Temp\nsrbgxod.bak
C:\WINDOWS\system32\calc.dll

################## | Registre # Clés Run infectieuses |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "calc"
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "calc"
[HKU\S-1-5-21-515967899-413027322-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "calc"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =D:\setup.exe

HKCU\..\..\Explorer\MountPoints2\{0a28f685-9456-11dd-a76b-002185129ae7}
Shell\AutoRun\command =I:\LaunchU3.exe

HKCU\..\..\Explorer\MountPoints2\{0b075b6e-51ca-11de-a7ec-002185129ae7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

HKCU\..\..\Explorer\MountPoints2\{6cfeedd2-a5bd-11dd-a77c-002185129ae7}
Shell\AutoRun\command =I:\AutoRun.exe InFocusDisplayLinkManagerSetup.exe

HKCU\..\..\Explorer\MountPoints2\{70567516-9c54-11de-a810-002185129ae7}
Shell\AutoRun\command =I:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{70567517-9c54-11de-a810-002185129ae7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL ViUOqU.Exe

HKCU\..\..\Explorer\MountPoints2\{78eeccc2-e23d-11dd-a792-002185129ae7}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{79c06d29-80f7-11de-a7fb-002185129ae7}
Shell\AutoRun\command =I:\AutoRunCardDetector.exe

HKCU\..\..\Explorer\MountPoints2\{9e7cf7d2-408d-11de-a7da-002185129ae7}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL XoauSuf.eXE

HKCU\..\..\Explorer\MountPoints2\{abdc6fed-24e4-11de-a7bf-002185129ae7}
Shell\AutoRun\command =ceb6eu98.bat
Shell\explore\Command =ceb6eu98.bat
Shell\open\Command =ceb6eu98.bat

HKCU\..\..\Explorer\MountPoints2\{b2dad84a-3e24-11de-a7d6-002185129ae7}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{b4886a7e-f9b5-11dd-a79f-002185129ae7}
Shell\Auto\command =cmd /C launch.bat
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL cmd /C launch.bat

HKCU\..\..\Explorer\MountPoints2\{e0f55793-3ec8-11de-a7d7-002185129ae7}
Shell\AutoRun\command =gy.exe
Shell\open\Command =gy.exe

HKCU\..\..\Explorer\MountPoints2\{e7605b90-c545-11dd-a784-002185129ae7}
Shell\AutoRun\command =I:\2u.com
Shell\explore\Command =I:\2u.com
Shell\open\Command =I:\2u.com

################## | ! Fin du rapport # UsbFix V6.041 ! |
0
Utilisateur anonyme > Tchaeroo
12 oct. 2009 à 21:10
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# Sélectionne l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
Tchaeroo > Utilisateur anonyme
14 oct. 2009 à 19:02
déolé pour le temps de réponse. Voici le rapport usbfix


############################## | UsbFix V6.041 |

User : Cemea (Administrateurs) # TOURS-2
Update on 12/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:40:03 | 14/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 091013-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 298,08 Go (247,87 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque fixe local # 149,01 Go (91,02 Go free) [PHEUKS] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\Temp\nsrbgxod.bak
Supprimé ! C:\WINDOWS\system32\calc.dll

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "calc"
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "calc"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0a28f685-9456-11dd-a76b-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{0b075b6e-51ca-11de-a7ec-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{6cfeedd2-a5bd-11dd-a77c-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{70567516-9c54-11de-a810-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{70567517-9c54-11de-a810-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{78eeccc2-e23d-11dd-a792-002185129ae7}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{79c06d29-80f7-11de-a7fb-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{9e7cf7d2-408d-11de-a7da-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{abdc6fed-24e4-11de-a7bf-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b2dad84a-3e24-11de-a7d6-002185129ae7}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b4886a7e-f9b5-11dd-a79f-002185129ae7}\Shell\Auto\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e0f55793-3ec8-11de-a7d7-002185129ae7}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e7605b90-c545-11dd-a784-002185129ae7}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[07/10/2008 11:02|--a------|0] C:\AUTOEXEC.BAT
[07/10/2008 10:58|---hs----|212] C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin
[07/10/2008 11:02|--a------|0] C:\CONFIG.SYS
[07/10/2008 11:02|-rahs----|0] C:\IO.SYS
[07/10/2008 11:02|-rahs----|0] C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] C:\ntldr
[29/02/2004 17:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[12/10/2009 16:23|--a------|4516] C:\rapport.txt
[14/10/2009 18:46|--a------|4559] C:\UsbFix.txt
[28/06/2008 14:35|--a------|8025] I:\kill_amvo_virus_usb_en.vbs
[14/09/2009 15:31|--a------|768054] I:\Sans titre Blum.bmp
[14/09/2009 18:51|--a------|875574] I:\Quentin.bmp
[27/09/2009 18:52|-r-hs----|16110] I:\haigaep.exe
[14/09/2009 18:58|--a------|64500] I:\I fuck.jpg
[02/09/2009 09:38|--a------|45711] I:\Quentin my dear lover.JPG
[14/09/2009 18:52|--a------|768054] I:\Sans titre.bmp
[14/09/2009 15:21|--a------|64530] I:\Sans titre copie.jpg
[12/10/2009 15:48|--a------|781909] I:\RSIT.exe
[12/10/2009 16:36|--a------|1245464] I:\UsbFix.exe
[12/10/2009 16:45|--a------|5044] I:\UsbFix.txt
[31/12/2001 23:28|--ahs----|14848] I:\Thumbs.db

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# I:\autorun.inf -> Folder created by UsbFix.

################## | ! Fin du rapport # UsbFix V6.041 ! |
0
Réponse 7 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 oct. 2009 à 12:05
bonjour,

Pour avancer nathandre


Tu peux mettre à jour malwarebyte's et faire un scan complet. Merci.
0
Tchaeroo
15 oct. 2009 à 12:27
Voici le rapport Malwarebytes:


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2967
Windows 5.1.2600 Service Pack 3

15/10/2009 12:25:03
mbam-log-2009-10-15 (12-25-01).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Eléments examinés: 178541
Temps écoulé: 13 minute(s), 48 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mserv (Trojan.FakeAlert) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\data (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT (Rogue.AntiVirusPro2010) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\config\systemprofile\Application Data\seres.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Application Data\svcst.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Cemea\ntuser.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\LocalService\ntuser.dll (Trojan.Agent) -> No action taken.
C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.cfg (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\AVEngn.dll (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\htmlayout.dll (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\pthreadVC2.dll (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\data\daily.cvd (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntiVirusPro2010) -> No action taken.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntiVirusPro2010) -> No action taken.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\scandisk.lnk (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\raidmg.dll (Trojan.Agent) -> No action taken.
0
Réponse 8 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 oct. 2009 à 12:31
il y a marqué no action taken il faut que tu fasse afficher rapport puis supprimer et me poster le rapport qui va venir après.
0
Réponse 9 / 19
Tchaeroo
15 oct. 2009 à 13:53
après suppression des dossiers:

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2967
Windows 5.1.2600 Service Pack 3

15/10/2009 13:51:58
mbam-log-2009-10-15 (13-51-58).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Eléments examinés: 178503
Temps écoulé: 13 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 15

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mserv (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\AntivirusPro_2010 (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\data (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\config\systemprofile\Application Data\seres.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Application Data\svcst.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Cemea\ntuser.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\ntuser.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\AntivirusPro_2010.cfg (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\AVEngn.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\htmlayout.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\pthreadVC2.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\data\daily.cvd (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Program Files\AntivirusPro_2010\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntiVirusPro2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\raidmg.dll (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 10 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 oct. 2009 à 13:56
Parfais tu va pouvoir vider la quarantaine, ensuite faire ceci pour avancer nathandre, ensuite elle devrait revenir :

▶ Télécharge Combofix de sUBs


▶ et enregistre le sur le Bureau.


▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


Je te conseille d'installer la console de récupération !!

ensuite envois le rapport stp
0
Utilisateur anonyme
15 oct. 2009 à 14:20
Bonjour
Merci Pimprenelle, je vais suivre
0
Tchaeroo > Utilisateur anonyme
15 oct. 2009 à 14:21
le rapport combofix

ComboFix 09-10-14.09 - Cemea 15/10/2009 14:14.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1642 [GMT 2:00]
Lancé depuis: c:\documents and settings\Cemea\Mes documents\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 091014-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\aquleleb.ban
c:\documents and settings\All Users\Application Data\atyr.com
c:\documents and settings\All Users\Application Data\pota.bin
c:\documents and settings\All Users\Application Data\pypozuf.exe
c:\documents and settings\All Users\Application Data\wowalol.exe
c:\documents and settings\All Users\Application Data\xyxo.exe
c:\documents and settings\All Users\Documents\lemana.bat
c:\documents and settings\All Users\Documents\myvol.com
c:\documents and settings\All Users\Documents\olonu._sy
c:\documents and settings\All Users\Documents\uqofilady.pif
c:\documents and settings\NetworkService\ntuser.dll
c:\program files\Fichiers communs\acas.bin
c:\program files\Fichiers communs\anudago.bat
c:\program files\Fichiers communs\otidek.inf
c:\program files\Fichiers communs\uzenakomyf.dll
c:\windows\ipel.exe
c:\windows\system32\api.dat
c:\windows\system32\config\systemprofile\Application Data\ifas.lib
c:\windows\system32\config\systemprofile\Application Data\ucoxixadan.pif
c:\windows\system32\drivers\gasfkywnsrsksb.sys
c:\windows\system32\gasfkyaqbotxjl.dll
c:\windows\system32\gasfkyfasxrrid.dll
c:\windows\system32\gasfkyitethwwk.dll
c:\windows\system32\gasfkyrwbcrmpf.dat
c:\windows\system32\gasfkyujomurqh.dat
c:\windows\system32\gasfkyxmwuxyvb.dll
c:\windows\system32\hylezywuco.bin
c:\windows\system32\qubiqyd.exe
c:\windows\system32\risex._sy
c:\windows\system32\tmp.reg

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_gasfkydyiwqrxo
-------\Service_gasfkydyiwqrxo


((((((((((((((((((((((((((((( Fichiers créés du 2009-09-15 au 2009-10-15 ))))))))))))))))))))))))))))))))))))
.

2009-10-12 14:40 . 2009-10-14 16:46 -------- d-----w- C:\UsbFix
2009-10-12 13:54 . 2009-10-12 13:55 -------- d-----w- C:\rsit
2009-10-02 14:08 . 2009-10-02 14:08 -------- d-----w- c:\documents and settings\Cemea\Application Data\Malwarebytes
2009-10-02 14:08 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-02 14:08 . 2009-10-02 14:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-02 14:08 . 2009-10-02 14:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-02 14:08 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-23 14:42 . 2009-09-23 14:42 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-09-22 12:41 . 2001-08-23 15:47 5632 ----a-w- c:\windows\system32\ptpusb.dll
2009-09-22 12:41 . 2008-04-13 17:33 159232 ----a-w- c:\windows\system32\ptpusd.dll
2009-09-22 12:41 . 2008-04-13 09:45 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys
2009-09-22 12:41 . 2008-04-13 09:45 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-12 12:35 . 2008-10-26 13:39 138920 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-10-12 12:35 . 2008-10-26 13:39 189072 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-09-10 01:00 . 2008-10-07 10:41 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-05 09:00 . 2008-04-14 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 13:20 . 2008-04-14 12:00 58616 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-04 13:20 . 2008-04-14 12:00 393336 ----a-w- c:\windows\system32\perfh00C.dat
2009-07-31 22:59 . 2008-10-26 13:39 22328 ----a-w- c:\documents and settings\Cemea\Application Data\PnkBstrK.sys
2009-07-31 22:59 . 2009-03-12 16:29 682280 ----a-w- c:\windows\system32\pbsvc.exe
2009-07-29 04:35 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:35 . 2008-04-14 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:03 . 2008-04-14 12:00 58880 ----a-w- c:\windows\system32\atl.dll
.

------- Sigcheck -------

[-] 2008-09-12 . 33578A738C564B4F84D906EFD91025E5 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"CardDetectorHUAWEI"="c:\program files\CardDetector\HUAWEI\CardDetector.exe" [2008-12-01 274432]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2008-12-01 131824]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Run VNC Server.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Run VNC Server.lnk
backup=c:\windows\pss\Run VNC Server.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\RealVNC\\WinVNC\\winvnc.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Jeux\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Jeux\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\Jeux\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Program Files\\Orange\\IEWInternet\\Connectivity\\ConnectivityManager.exe"=
"c:\\Jeux\\Steam\\SteamApps\\alaykin\\team fortress 2\\hl2.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [07/10/2008 12:13 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [07/10/2008 12:13 20560]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [04/08/2009 15:19 99840]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: {B6BCF821-1549-4C88-886C-E572B1B8311D} = 80.10.246.2,80.10.246.129
FF - ProfilePath - c:\documents and settings\Cemea\Application Data\Mozilla\Firefox\Profiles\l0f8iegl.default\
FF - prefs.js: browser.startup.homepage - hxxp://cemeacentre.free.fr/|https://www.google.fr/?gws_rd=ssl
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-haigaep - c:\documents and settings\Cemea\haigaep.exe
HKU-Default-Run-calc - c:\docume~1\LOCALS~1\ntuser.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-15 14:17
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]
"5E7CEC10DF0760D4F8DAFB12FDC06CCD"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{01CEC7E5-70FD-4D06-8FAD-BF21DF0CC6DC}\\Registered"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(788)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\progra~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\windows\system32\searchindexer.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\searchprotocolhost.exe
c:\windows\system32\searchfilterhost.exe
c:\windows\system32\searchprotocolhost.exe
.
**************************************************************************
.
Heure de fin: 2009-10-15 14:19 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-10-15 12:19

Avant-CF: 266 189 545 472 octets libres
Après-CF: 266 074 988 544 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

181 --- E O F --- 2009-09-10 01:01
0
Réponse 11 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 oct. 2009 à 14:26
Parfais, refais moi un RSIT pour savoir s'il reste encore des choses à supprimer.
0
Tchaeroo
15 oct. 2009 à 14:40
Logfile of random's system information tool 1.06 (written by random/random)
Run by Cemea at 2009-10-15 14:39:33
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 254 GB (83%) free of 305 GB
Total RAM: 2047 MB (78% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:51, on 15/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Cemea\Bureau\RSIT.exe
C:\Program Files\trend micro\Cemea.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CardDetectorHUAWEI] C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] "C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6BCF821-1549-4C88-886C-E572B1B8311D}: NameServer = 80.10.246.2,80.10.246.129
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Réponse 12 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 oct. 2009 à 15:05
Maintenant, pour vérifier qu'il n'y est pas de spyware, adware, trojans, vers, keylogger, hijacker, dialer et toutes autres menaces destinées au vol d'informations confidentielles


Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning (Fermer Navigateur avant le scan)

Scan for tracking cookies (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.
0
Tchaeroo
15 oct. 2009 à 16:12
SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 10/15/2009 at 04:03 PM

Application Version : 4.29.1004

Core Rules Database Version : 4167
Trace Rules Database Version: 2089

Scan type : Complete Scan
Total Scan Time : 00:12:58

Memory items scanned : 443
Memory threats detected : 0
Registry items scanned : 5044
Registry threats detected : 2
File items scanned : 14226
File threats detected : 1

Rogue.XP AntiSpyware 2009
HKU\.DEFAULT\Control Panel\don't load#wscui.cpl [ No ]
HKU\S-1-5-18\Control Panel\don't load#wscui.cpl [ No ]

Rootkit.Agent/Gen-Rustock
C:\SYSTEM VOLUME INFORMATION\_RESTORE{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029918.SYS
0
Réponse 13 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
15 oct. 2009 à 16:18
parfais supprime ce qu'il à trouvé et vide la quarantaine, ensuite tu me feras ceci :


Faire un scan en ligne un scan en ligne avec Bitdefender Scan Online afin de vérifier s'il reste encore des virus.

Veuillez vous rendre à cette adresse avec Internet Explorer :



Si vous êtes sous Vista (si vous avez XP ou 2000, passez à la suite), l’UAC doit être désactivée lors du scan.
Vous pouvez vous aider de ce lien pour désactiver l'UAC : http://www.bibou0007.com/tutos-f45/tutorial-desactiver-l-uac-sur-vista-t132.htm




1°) "Acceptez" l'accord de license :





2) Une nouvelle fenêtre apparait et affiche un message concernant un contrôle activeX :

# Sur cette page, une barre jaune apparait, faites un clic droit sur cette barre puis cliquez sur "Installer le contrôle activeX"

Voir cette image




3°) Une page d'avertissement s'ouvre, cliquez sur "Installer" :




4°) Ensuite la procédure de scan va pouvoir commencer. Cliquez sur "Démarrer l'analyse " Bitdefender va alors se mettre à jour et commencer (si cela se solde par un échec, veuillez alors recommencer car cela peut arriver) :






Soyez patient durant le scan, le temps indiqué n'est qu'une estimation.




5°) Le scan terminé, cliquez sur "Cliquer ici pour exporter le rapport" :




6°) Une page d'explorateur windows va alors s'ouvrir, nommez le rapport "Rapport Bitdefender " et enregistrez-le au format "HTML " sur le bureau :




7°) Ensuite, ouvrez le rapport de Bitdefender, rapport Bitdefender 2 maintenant présent sur votre bureau et faites un copier/coller sur votre forum.

0
tchaeroo
15 oct. 2009 à 18:21
entre deux coups de fils, voici le rapport bit defender

itDefender Online Scanner







Rapport d'analyse généré à: Thu, Oct 15, 2009 - 18:12:30









Voie d'analyse: C:\;D:\;E:\;F:\;G:\;H:\;















Statistiques

Temps


00:13:40

Fichiers


119257

Directoires


7010

Secteurs de boot


0

Archives


815

Paquets programmes


20502







Résultats

Virus identifiés


3

Fichiers infectés


3

Fichiers suspects


0

Avertissements


0

Désinfectés


0

Fichiers effacés


3







Info sur les moteurs

Définition virus


4349968

Version des moteurs


AVCORE v2.1 Windows/i386 11.0.0.26 (Aug 27 2009)

Analyse des plugins


17

Archive des plugins


44

Unpack des plugins


8

E-mail plugins


6

Système plugins


4







Paramètres d'analyse

Première action


Désinfecté

Seconde Action


Supprimé

Heuristique


Oui

Acceptez les avertissements


Oui

Extensions analysées


exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions




Analyse d'emails


Oui

Analyse des Archives


Oui

Analyser paquets programmes


Oui

Analyse des fichiers


Oui

Analyse de boot


Oui








Fichier analysé


Statut

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029919.dll


Infecté par: Trojan.Generic.2470910

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029919.dll


Echec de la désinfection

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029919.dll


Supprimé

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029921.dll


Infecté par: Trojan.Generic.2490755

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029921.dll


Echec de la désinfection

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029921.dll


Supprimé

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029922.dll


Infecté par: Trojan.Generic.IS.611273

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029922.dll


Echec de la désinfection

C:\System Volume Information\_restore{D2B8B45C-CC65-4553-93A6-74C19C4E261A}\RP111\A0029922.dll


Supprimé
0
Réponse 14 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
16 oct. 2009 à 00:15
ok maintenant une dernière vérif :

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

▶ Choisis la langue souhaitée et valide par "entrée".

▶ Au second menu choisis l'option 1 : Mode Recherche

▶ Laisse travailler l'outil.

▶ Une fois le scan Terminé ,un rapport s'ouvre .

Ensuite héberger le rapport :

▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

▶ Cliquez sur parcourir, chercher le rapport .txt puis cliquez sur ici pour déposer le fichier

▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
0
Réponse 15 / 19
tchaeroo
16 oct. 2009 à 10:06
l'adresse du fichier joint:


http://www.cijoint.fr/cjlink.php?file=cj200910/cijJCe8SIj.txt
0
Réponse 16 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
16 oct. 2009 à 11:36
Nettoyage :


! Déconnecte toi ferme toutes tes applications en cours !

* Redémarrer ton PC en mode sans échec manuellement
* Tapez sur la touche F8 avant de voir apparaître la barre de progression, avant l'écran de logo Windows
* Sélectionnez alors le mode sans échec sans prise en charge réseau et appuyez sur la touche entrée de votre clavier.



▶ Double-clic sur l'icône présente sur le bureau pour lancer List&Kill'em (sous vista : clic droit > "Exécuter en tant qu'administrateur").

▶ Choisis la langue souhaitée et valide par "entrée".

▶ Choisis cette fois ci l'option 2 : Mode Destruction

▶ Laisse travailler l'outil.

▶ Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt
0
Réponse 17 / 19
tchaeroo
16 oct. 2009 à 12:04
Kill'em by g3n-h@ckm@n 1.0.4.2

updated on 09.10.2009 ::::: 14.30

Windows_NT

Microsoft Windows XP [version 5.1.2600]


16/10/2009 11:52:43,76

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
C:\WINDOWS\System32\SET8C.tmp
C:\WINDOWS\System32\SET91.tmp
C:\Documents and Settings\Cemea\LOCAL Settings\Temp\SSUPDATE.EXE


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
SET8C.tmp.Kill'em
SET91.tmp.Kill'em
SSUPDATE.EXE.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :


===============
Path : C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\Fichiers communs\Adobe\AGL
===============
¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

Layout.ini
NTOSBOOT-B00DFAAD.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 18 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
16 oct. 2009 à 12:06
Parfais une dernier RSIT.
0
Tchaeroo
20 oct. 2009 à 11:09
Voici le rapport de RSIT:


Logfile of random's system information tool 1.06 (written by random/random)
Run by Cemea at 2009-10-20 11:08:14
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 253 GB (83%) free of 305 GB
Total RAM: 2047 MB (74% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:17, on 20/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Cemea\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Cemea.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CardDetectorHUAWEI] C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
O4 - HKLM\..\Run: [BEWINTERNET-FR-DMGP-V2SessionManager] "C:\Program Files\Orange\IEWInternet\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6BCF821-1549-4C88-886C-E572B1B8311D}: NameServer = 80.10.246.2,80.10.246.129
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
0
Utilisateur anonyme > Tchaeroo
20 oct. 2009 à 11:33
bonjour
le rapport est propre
0
Tchaeroo > Utilisateur anonyme
20 oct. 2009 à 11:36
Oki doki, ça veut dire que l'ordinateur est nettoyé?
est-ce que je peux du coup supprimer les logiciels qui sont installés (malwarebytes etc...)

merci

du coup j'ai l'autre ordinateur (qui est en réseau) qui est aussi infecté, j'ai beau suivre la meme démarche les problèmes persistes, du coup je vais créer un nouveau post.

merci à vous
0
Utilisateur anonyme > Tchaeroo
20 oct. 2009 à 11:39
il faut garder Malwarebytes c'est scanner une fois de temps en temps le PC, il faudra le mettre à jour avant chaque scan
pour supprimer les outils
* Télécharge ToolsCleaner2 sur ton Bureau
https://www.commentcamarche.net/telecharger/
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

supprime toolscleaner2 manuellement
0
Réponse 19 / 19
pimprenelle27 Messages postés 20857 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
20 oct. 2009 à 14:00
Bonjour à vous 2 :


On peut passer au nettoyage et mise à jour de l’ordinateur :


Lance Hijackthis , (= C:\Program Files\Trend Micro\HijackThis\Cemea.exe) , ensuite clique sur do a system scan only puis tu sélectionne les lignes suivante ,

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe => Microsoft®Windows NT
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') => Microsoft®Windows NT
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') => Microsoft®Windows NT
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe => Apple Computer®Bonjour for Windows


Tu cliques en bas sur le bouton FIX CHECKED et valides .



Redémarres l'ordi . ( important pour que certaines modifs faites avec hijakthis soient prises en compte )

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

▶ Télécharge Toolscleaner sur ton Bureau

Sous XP : Double-clique sur ToolsCleaner2.exe
▶ Clique sur Recherche et laisse le scan se terminer.
▶ Clique sur Suppression pour finaliser.
▶ Tu peux, si tu le souhaites, te servir des Options facultatives.
▶ Clique sur Quitter, pour que le rapport puisse se créer.
▶ Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse


Pour mettre à jour les logiciels sur ton PC :

Les Mises A Jour sont très importantes pour votre PC, afin d'éviter certaines failles de sécurité

Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC :

▶ Télécharge Update Checker

▶ Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

▶ Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

▶ Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

Un conseil : n'installe pas les BETA qui sont listées en dessous.

▶ Tu installes les mises à jour que tu désires, les plus importantes sont :

● Java

● Adobe Reader

● Adobe Flash Player

● Navigateur Internet

(attention certain logiciels mis en lien pour les mises à jour peuvent être en anglais, rechercher celui en français)


Voici un tuto


Enfin un petit nettoyage de l'ordi :


Télécharge Ccleaner

Tutoriel pour l'installer et l'utiliser correctement CCleaner

Fais le nettoyage et recherche les erreurs du registre comme expliqué en bas du tutoriel.


Enfin Purge de la restauration système :

Désactivation de la restauration :


▶ Cliquez droit sur poste de travail
▶ Ensuite aller sur propriétés
▶ Puis restauration système
▶ Et cochez la case désactiver la restauration
▶ Cliquez ensuite sur appliquez, puis OK
▶ Et redémarrez votre PC



Réactivation de la restauration :


▶ Cliquez droit sur poste de travail
▶ Ensuite aller sur propriétés
▶ Puis restauration système
▶ Et décochez la case désactiver la restauration
▶ Cliquez ensuite sur appliquez, puis OK
▶ Et redémarrez votre PC


Et ensuite création d'un nouveau point de restauration comme ce qui suit :


▶ Allez dans le Menu Démarrer
▶ Puis dans Programmes
▶ Ensuite dans Accessoires
▶ Et enfin dans Outils système
▶ Choisir Restauration du système
▶ Sélectionnez créer un point de restauration
▶ Cliquez sur Suivant
▶ Entrez un nom pour le point de restauration
▶ Cliquez sur créer et le point de restauration se créé automatiquement.


Enfin vous devez garder les logiciels suivant qui ont été téléchargés pour la désinfection et le nettoyage::


▶ Ccleaner à garder absolument et faire le nettoyage souvent

▶ Malware à garder absolument (faire scan de temps en temps)

▶ Update checker à garder absolument et faire un scan pour vérifier les mises à jour disponible

Les autres sont à supprimer, dans ajout et suppression de programmes pour certains et pour d'autres manuellement


Pour finir, penser à faire après tout ça, une défragmentation du PC afin de regrouper les fragments de fichiers éparpillés sur le disque pour optimiser les temps d'accès du disque dur lors de la lecture de fichiers de taille importante.

Voici la procédure :

Méthode 1 :

Ainsi pour défragmenter de manière optimale, il est fortement recommandé de démarrer Windows en mode sans échec, puis de lancer la défragmentation !

Pour lancer la défragmentation :

▶ Pour Windows XP et pour les autres versions, la procédure est quasiment la même

▶ Double-cliquez sur Poste de Travail, clic droit sur le disque à défragmenter puis sur Propriétés.

▶ Choisissez l'onglet Outils puis cliquez sur Défragmenter maintenant


Méthode 2 :

Aussi pour défragmenter le disque dur (plus efficace que l'utilitaire de défragmentation de Windows).

Télacharge MyDefrag

Voir le tuto pour bien l'installer et l'utiliser



Si vous ne trouvé pas Hijackthis, téléchargez le fichier d'installation d'HijackThis.

Tutoriaux Hijackthis
0

Discussions similaires

lien pour le film fracture (Samy seghir)
InesNanouuuuuuuuuuuu -
YasO -

5 réponses
telecharger la version complete de pes 2010
niasse -
younes -

3 réponses
Activer office 2010 avec mini KMS activator
maradona974 -
kaneagle -

2 réponses
est-ce possible de télécharger outlook 2010 gratuitement ???
nonce -
nonce2 -

14 réponses
Autodesk.Products.2010.Keygen-XFORCE-32-64bit
jadeilona -
irongege -

2 réponses