TR/Crypt.ZPACK.gen

Question

Bonjour,

Je sais qu'il y a déjà eu plusieurs post sur ce sujet, mais il semblent clos et je n'ai pas trrouvé de solution claire en définitive car chaque cas à l'air différent...
Voià mon problème : j'ai 2 ordinateurs en réseau et depuis deux semaines, Avira me signale (sur les 2 PC) la présence de TR/Crypt.ZPACK.gen dans plusieurs fichiers. J'ai tenté de les supprimer en passant en mode diagnostique, mais certains ne semble pas exister (c:/windows/system32/x) et les autres reviennent peu de temps après suppression... Avira et Malwarebytes semlent également impuissants pour les supprimer...
D'autres symptomes sont également apparus, une ou deux fois par jour le pc principale gèle complétement, seule solution : reboot. Et régulièrement la catre son INTÉGRÉE "disparait" comme par magie donnant droit à un message d'erreur indiquant "Périfirique audio non instalé".
Voilà, à part ça, tout va bien :)

Merci d'avance pour votre aide.

Utilisateur anonyme · Answer

Bonjour

• Télécharge : http://images.malwareremoval.com/random/RSIT.exe
/!\ Important (Sous Vista) /!\
Vous devez exécuter RSIT avec les droits d'administrateur, pour cela Clique droit sur RSIT et "Lancer en tant qu'administrateur"
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur 'Continue' à l'écran Disclaimer.
• Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.
( C:\RSIT\log.txt et C:\RSIT\info.txt )
• CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

Daxilane · Answer

Merci de ta réponse.
Alors voilà pour le log.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-10-24 15:08:00
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 43 GB (64%) free of 68 GB
Total RAM: 503 MB (48% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:13, on 24/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=217.19.195.242:8082;http=217.19.195.242:80;https=217.19.195.242:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 217.19.195.242;152.50.*;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [SDMSSplash] "C:\Program Files\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Program Files\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} (Google Gadget Control) - http://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF0287-9531-4196-89DE-095FCCABAB58}: NameServer = 217.19.192.128,217.19.192.137
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O24 - Desktop Component 0: (no name) - http://i266.photobucket.com/...

Utilisateur anonyme · Answer

C'est une infection par support amovible.

• Télécharge et install:  UsbFix.exe par Chiquitine29
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
• Laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 
• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 
• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Daxilane · Answer

Le problème c'est que je n'ai pas sous la main tous les supports USB qui ont été utilisés sur mes PC depuis l'infection... Voilà ce que j'optiens avec les miens :


############################## | UsbFix V6.045 |

User : Administrateur () # RECAMIENS
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:46:48 | 24/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) D CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 66,51 Go (42,24 Go free) # NTFS
D:\ -> Disque fixe local # 8,01 Go (6,27 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible # 3,76 Go (2,57 Go free) [CLEF_2_JS] # FAT32
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible # 3,84 Go (3,51 Go free) [STORE N GO] # FAT32
L:\ -> Disque amovible # 7,82 Go (7,74 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\Documents and Settings\Administrateur\RavMonLog 
D:\autorun.inf  
G:\RavMonLog   
K:\autorun.inf  
K:\adober.exe  
K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx   
K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665  
L:\autorun.inf  
L:\adober.exe  
L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx   
L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665  

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\D
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

HKCU\..\..\Explorer\MountPoints2\{16aca3e5-d23d-11db-a710-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{1bdb9d49-c8a8-11db-a708-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{5a74c780-c816-11db-a707-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{6359ea64-7717-11dc-a7b2-0019bb587234}
Shell\Auto\command =J:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{927b280e-8b76-11dc-a7d8-0019bb587234}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{99991d3f-c781-11db-a705-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

HKCU\..\..\Explorer\MountPoints2\{b0c9d66a-7e45-11dd-a8b5-0019bb587234}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{b28b199a-21ef-11dd-a85a-0019bb587234}
Shell\AutoRun\command =J:\launcher.exe 

HKCU\..\..\Explorer\MountPoints2\{dcd3549d-8924-11dc-a7cf-0019bb587234}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{ec5fbeba-07da-11de-a941-0019bb587234}
Shell\Auto\command =F:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{efcb89e6-3ad4-11dc-a774-0019bb587234}
Shell\AutoRun\command =F:\ReadMe.exe 

HKCU\..\..\Explorer\MountPoints2\{efcb89e7-3ad4-11dc-a774-0019bb587234}
Shell\Auto\command =M:\AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\..\..\Explorer\MountPoints2\{fecdc0a8-6d4d-11de-a99f-0019bb587234}
Shell\AutoRun\command =F:\EmDesk.exe 
Shell\EmDesk\command =F:\EmDesk.exe 

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.045 ! |

Utilisateur anonyme · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau
• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Daxilane · Answer

############################## | UsbFix V6.045 |

User : Administrateur (Administrateurs) # RECAMIENS
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 21:07:07 | 24/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) D CPU 3.00GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local # 66,51 Go (42,25 Go free) # NTFS
D:\ -> Disque fixe local # 8,01 Go (6,27 Go free) [HP_RECOVERY] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible
G:\ -> Disque amovible # 3,76 Go (2,57 Go free) [CLEF_2_JS] # FAT32
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque amovible # 3,84 Go (3,51 Go free) [STORE N GO] # FAT32
L:\ -> Disque amovible # 7,82 Go (7,74 Go free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Documents and Settings\Administrateur\RavMonLog 
Supprimé ! D:\autorun.inf 
Supprimé ! G:\RavMonLog  
Supprimé ! K:\adober.exe 
Supprimé ! K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx  
Supprimé ! K:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665 
Supprimé ! L:\adober.exe 
Supprimé ! L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx  
Supprimé ! L:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665 

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\D\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{16aca3e5-d23d-11db-a710-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{1bdb9d49-c8a8-11db-a708-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{5a74c780-c816-11db-a707-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{6359ea64-7717-11dc-a7b2-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{927b280e-8b76-11dc-a7d8-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b0c9d66a-7e45-11dd-a8b5-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b28b199a-21ef-11dd-a85a-0019bb587234}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{dcd3549d-8924-11dc-a7cf-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{ec5fbeba-07da-11de-a941-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{efcb89e6-3ad4-11dc-a774-0019bb587234}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{efcb89e7-3ad4-11dc-a774-0019bb587234}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{fecdc0a8-6d4d-11de-a99f-0019bb587234}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[15/07/2002 12:19|--a------|82] C:\Blacksoft.url 
[16/10/2009 21:11|-rahs----|212] C:\boot.ini 
[02/03/2006 04:00|-rahs----|4952] C:\Bootfont.bin 
[02/10/2007 09:26|--a------|74] C:\CMLoader.log 
[26/01/2003 11:39|--a------|32768] C:\control.dll 
[26/01/2003 11:40|--a------|20480] C:\Express.exe 
[26/01/2003 11:39|--a------|86016] C:\FileDlg.ocx 
[01/01/2003 20:34|--a------|16764] C:\help.chm 
[?|?|?] C:\hiberfil.sys 
[26/01/2003 11:40|--a------|98304] C:\ichaos.dll 
[26/01/2003 11:38|--a------|36864] C:\init.dll 
[23/04/2008 16:59|-rahs----|0] C:\IO.SYS 
[22/02/2003 12:26|--a------|28672] C:\language.dll 
[22/02/2003 11:40|--a------|12] C:\mkf.dat 
[23/04/2008 16:59|-rahs----|0] C:\MSDOS.SYS 
[02/03/2006 04:00|--ahs----|47564] C:\ntdetect.com 
[02/03/2006 04:00|--ahs----|251712] C:\ntldr 
[?|?|?] C:\pagefile.sys 
[24/10/2009 21:09|--a------|4780] C:\UsbFix.txt 
[26/01/2003 11:38|--a------|225280] C:\utilites.dll 
[17/06/2008 00:04|--a------|96449884] D:\2358_MissKetty06[1].mp3 
[01/07/2005 16:16|--ahs----|102] D:\Desktop.ini 
[22/11/2004 20:28|--ahs----|8130] D:\Folder.htt 
[03/11/2005 12:29|--ahs----|0] D:\HP_RECOVERY 
[30/11/2004 16:01|--ahs----|73728] D:\Info.exe 
[13/02/2007 13:59|--ahs----|1202] D:\MASTER.LOG 
[29/08/2002 08:00|--ahs----|47580] D:\NTDETECT.COM 
[12/05/2006 17:07|--ahs----|0] D:\NTFS 
[29/08/2002 08:00|--ahs----|245920] D:\NTLDR 
[10/09/2002 14:58|--ahs----|181616] D:\protect.ed 
[29/08/2002 08:00|--ahs----|245920] D:\STLDR 
[08/02/2002 20:44|--ahs----|88038] D:\Warning.bmp 
[25/03/2005 17:00|--ahs----|10] D:\WIN51 
[22/01/2001 22:00|--ahs----|11] D:\WIN51.B2 
[25/07/2001 22:00|--ahs----|11] D:\WIN51.RC1 
[26/07/2001 03:47|--ahs----|11] D:\WIN51.RC2 
[25/03/2005 17:00|--ahs----|10] D:\WIN51IA 
[25/03/2005 17:00|--ahs----|10] D:\WIN51IA.SP1 
[18/08/2001 22:00|--ahs----|10] D:\WIN51IC 
[20/03/2001 22:00|--ahs----|11] D:\WIN51IC.B2 
[25/07/2001 22:00|--ahs----|11] D:\WIN51IC.RC1 
[25/07/2001 22:00|--ahs----|11] D:\WIN51IC.RC2 
[17/08/2001 22:00|--ahs----|10] D:\WIN51IP 
[22/01/2001 22:00|--ahs----|11] D:\WIN51IP.B2 
[26/07/2001 03:47|--ahs----|11] D:\WIN51IP.RC2 
[17/08/2001 22:00|--ahs----|10] D:\WIN51IP.SP1 
[17/08/2001 22:00|--ahs----|10] D:\WIN51IP2 
[25/03/2005 17:00|--ahs----|167] D:\WINBOM.INI 
[12/05/2006 17:07|--ahs----|0] D:\XGA 
[24/10/2009 20:43|--a------|817760] G:\UsbFix.exe 
[24/12/2008 21:24|--ah-----|512] G:\NIKON001.DSC 
[03/05/2009 15:37|---hs----|348160] G:\msvcr71.dll 
[05/05/2009 16:54|--a------|207] G:\Toute l'information des terminaux mobiles.url 
[05/05/2009 16:57|--a------|139539] G:\Radar_Fr.zip 
[09/05/2009 17:45|--a------|194] G:\[HTC Touch HD] Astuces + logiciels en tout genre pour votre HD.url 
[29/01/2009 18:38|--a------|3968] G:\j0424748.wmf 
[29/01/2009 18:38|--a------|7098] G:\j0432618.png 
[29/01/2009 18:38|--a------|13052] G:\j0432666.png 
[29/01/2009 18:38|--a------|12806] G:\j0432667.png 
[29/01/2009 18:38|--a------|19960] G:\j0432676.png 
[29/01/2009 18:38|--a------|19920] G:\j0432677.png 
[29/01/2009 18:38|--a------|27878] G:\j0432678.png 
[29/01/2009 18:38|--a------|28088] G:\j0432679.png 
[11/09/2009 10:16|--a------|21504] G:\Cinema_REC.doc 
[11/09/2009 10:30|--a------|63488] G:\SORTAIS_Jerome.doc 
[25/08/2009 20:22|--a------|3921920] K:\P 09.xls 
[25/08/2009 18:47|--a------|87040] K:\COMPTEUR annualisation.xls 
[14/06/2009 22:03|--a------|3985408] K:\P 08.xls 
[22/08/2009 15:55|--a------|419328] K:\P REC 08 09.xls 
[02/02/2008 18:25|---hs----|348160] K:\msvcr71.dll 
[12/03/2009 13:32|--a------|26624] K:\REC 2011.xls 
[02/02/2008 18:36|---hs----|6144] K:\Thumbs.db 
[16/10/2009 17:59|--a------|133120] K:\CONF REC2009.xls 
[31/12/2008 20:37|--a------|222720] K:\CONF REC2008.xls 
[23/09/2008 15:44|--a------|3609088] K:\P 07.xls 
[27/12/2008 17:35|--a------|166400] K:\P REC 2008.xls 
[17/05/2009 15:33|--a------|498176] K:\Cabine 2009.XLS 
[23/12/2005 16:33|--a------|3234816] K:\P05.xls 
[16/10/2009 18:00|--a------|1542656] K:\AMIENS feuille conf NOUVEAU PAIE NOV 06 marie-luce.xls 
[20/02/2009 15:39|--a------|37376] K:\CDD 25 H.doc 
[28/05/2009 18:08|--a------|2755072] K:\Perso3_2009 multiplexe.xls 
[13/01/2009 19:49|--a------|23552] K:\Emargement Paye.xls 
[19/05/2009 14:57|--a------|13645] K:\20042009_bbp.txt 
[25/08/2005 21:40|--a------|1633280] K:\PLANNING HALL 2004.BACK-up.XLS 
[02/09/2009 19:49|--a------|24064] K:\Stat CP 0.xls 
[05/12/2004 18:40|--a------|3137536] K:\PLANNING HALL 2003.XLS 
[22/10/2009 15:48|--a------|17408] K:\SSIAP 2009.xls 
[23/10/2009 19:29|--a------|466944] L:\P REC 08 09.xls 
[24/10/2009 20:50|--a------|4198400] L:\P 09.xls 
[31/08/2009 17:31|--a------|95232] L:\COMMANDE MONNAIE&VERST LOOMIS.xls 
[31/08/2009 17:32|--a------|36199424] L:\matrice nouveau CLOTURE.xls 
[31/08/2009 17:27|--a------|45568] L:\SUIVI EXO.xls 
[18/09/2009 17:17|--a------|23552] L:\Forfait REC 09.xls 
[30/09/2009 21:45|--a------|313856] L:\P REC trois.xls 
[20/10/2009 09:18|---hs----|348160] L:\msvcr71.dll 
[24/10/2009 20:43|--a------|817760] L:\UsbFix.exe 
[05/09/2009 21:44|--a------|36206592] L:\NEO CLOTURE.xls 
[18/09/2009 15:56|--a------|23040] L:\Forfait REC 08.xls 
[18/09/2009 16:01|--a------|16384] L:\CHQ NOEL 2009.xls 

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.  
# D:\autorun.inf -> Folder created by UsbFix.  
# G:\autorun.inf -> Folder created by UsbFix.  
# K:\autorun.inf -> Folder created by UsbFix.  
# L:\autorun.inf -> Folder created by UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_RECAMIENS.zip : https://www.androidworld.fr/ 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.045 ! |

Utilisateur anonyme · Answer

Veuillez envoyer le fichier : C:\DOCUME~1\ADMINI~1\Bureau\UsbFix_Upload_Me_RECAMIENS.zip : https://www.androidworld.fr/
Merci pour votre contribution . 

********************************************************************************

•	Bonjour 

•	Télécharge et installe : Malwarebyte’s Anti-Malware
•	(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
•	A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
•	Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
•	Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
•	Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
•	A la fin du scan, clique sur Afficher les résultats
•	Coche tous les éléments détectés puis clique sur Supprimer la sélection
•	Enregistre le rapport
•	S'il t'est demandé de redémarrer, clique sur Yes
•	Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
•	Si tu as besoin d’aide regarde ce tutorial 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Daxilane · Answer

Bonjour,
voici le rapport de Malware, peut-être la fin de ce dur combat??? ;)

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3029
Windows 5.1.2600 Service Pack 2

25/10/2009 11:35:40
mbam-log-2009-10-25 (11-35-40).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 140530
Temps écoulé: 20 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l’ extension de sécurité suivantes : adblock plus
pour bloquer les publicités ; 

•	WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp  
-------------------------------------------------------------------------------------------------------------------------

&#61656;	Je conseille de mettre a jour internet explorer  même  si vous ne l’utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
•	Télécharger  IE8 : ici

• Si Java n'est pas à jour, c'est une faille de sécurité. 
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les. 
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/ 

• Si Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html 

• Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour 
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant. 

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles. 

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour. 

* Un conseil : n'installe pas les BETA 
                               ====================================================
Pour éliminer les programmes de desinfections.

• Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens) 
http://pc-system.fr/ 
https://www.commentcamarche.net/telecharger/ 34055291 toolscleaner 
• Clique sur Recherche et laisse le scan se terminer. 
• Clique, sur Suppression pour finaliser. 
• Tu peux, si tu le souhaites, te servir des Options facultatives. 
• Clique sur Quitter, pour que le rapport puisse se créer. 
• Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
-----------------------------------------------------------------------------------------------------------------------------------
Désactive et réactive la Restauration du système sous windows xp.
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les 
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire : 
[1]   Dans la barre des tâches de Windows, clique sur Démarrer. 
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
[4 ]  Clique sur Appliquer. 
[5 ]  Ensuite décoche "Désactiver la restauration du systeme" 
[6 ]  clique sur appliquer puis ok 
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides. 
[8]Pensé  a vider la corbeille.
------------------------------------------------------------------------------------------------------------------------------

Tu peux mettre ton problème résolu !!Comment mettre résolu ??

Daxilane · Answer

Super! Merci beaucoup!
Je vais suivre tous tes conseils de mise à jour et de sécurité.
Je suppose que pour mon deuxième PC, qui présente les même symptômes, je n'ai qu'à refaire la même procédure??
En tout cas, un grand merci!

Utilisateur anonyme · Answer

attention les procédures ne s'appliquent que pour le pc désinfecté au dessus.Mémé symptômes ne veut pas dire infections similaires.

Daxilane · Answer

Bonjour,
Je reviens vers toi, car le problème reste entier!

Suite aux manipulations que tu m'as indiqué, le PC était "propre", mais 2h plus tard, le problème recommençait.
Alerte de Avira, même virus, mêmes emplacements.
Depuis le pc bloque aux bout de quelque minute en me disant qu'une instruction ne peut pas être "read" ce qui entraine la désactivation du son et le PC n'est plus accessible sur le réseau, certains fichiers excel (les plus lourds) ne veulent plus s'ouvrir, je ne peux même plus utiliser UsbFix et le PC rame à mort alors que l'utilisation de l'UC reste très basse...

HELP!!!!!

Utilisateur anonyme · Answer

post un nouveau rapport rsit

Daxilane · Answer

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-11-01 14:42:46
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 43 GB (62%) free of 68 GB
Total RAM: 503 MB (17% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:42:55, on 01/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files	rend micro\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www8.hp.com/fr/fr/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=217.19.195.242:8082;http=217.19.195.242:80;https=217.19.195.242:8081
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 217.19.195.242;152.50.*;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM\..\Run: [SDMSSplash] "C:\Program Files\HP_SDMS\SDMSSplash\launcher.exe" "launchdir=C:\Program Files\HP_SDMS\SDMSSplash"
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [FileHippo.com] "C:\Program Files\FileHippo.com\UpdateChecker.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} (Google Gadget Control) - http://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} (get_atlcom Class) - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9AF0287-9531-4196-89DE-095FCCABAB58}: NameServer = 217.19.192.128,217.19.192.137
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files\WOT\WOT.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Desktop Manager 5.8.809.23506 (GoogleDesktopManager-092308-165331) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe
O24 - Desktop Component 0: (no name) - http://i266.photobucket.com/...

Daxilane · Answer

Le fait que les PCs soient en raiseau n'est il pas la cause d'une réinfection constante???

Utilisateur anonyme · Answer

Téléchargez : AVPTool sur votre Bureau. 

#  Lancez l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
# Répondez Oui à la question Do you want to continue installation ?.
# Cliquez sur Next pour les deux fenêtres suivantes : AVPTool s'installe sur votre Bureau dans un dossier nommé Kaspersky Lab Tool.
# L'outil se lance tout seul : cochez toutes les cases dans l'onglet Automatic Scan.
# Cliquez maintenant sur Scan. Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
# A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up : cochez alors Apply to all et cliquez sur Disinfect ou sur Delete selon ce que propose la fenêtre.
# Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés : ils apparaissent en rouge dans la liste : cliquez alors sur le bouton Neutralize all de la fenêtre de progression du scan : si une pop-up indique qu'il faut redémarrer, acceptez en cliquant sur OK.
# Rendez-vous maintenant dans l'onglet Events de la fenêtre de progression du scan et décochez Show all events.
# Cliquez enfin sur Reports puis Save to file et enregistrez le rapport sur votre Bureau sous le nom Rapport AVPTool.
# Fermez les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel : choisissez Yes.
# Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, répondez Oui et laissez votre ordinateur redémarrer en Mode normal.
# Postez le rapport dans votre prochaine réponse si vous avez créé un sujet sur le forum Virus/Sécurité.

Daxilane · Answer

Désolé, ton lien est mort, mais je me suis débrouillé pour le télécharger.
En ce qui concerne le scan : ça fait 2h qu'il tourne et ça n'avance pas! Il est trop lourd pour l'état actuel de mon système...
Je bloque à 41%

Utilisateur anonyme · Answer

Le scan peux durer 12h.
Sinon fait celui ci.
•  Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau. 
•  Double-clique sur drweb-cureit.exe et clique sur Commencer le scan. 
•  Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
•  Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration. 
•  Choisis l'onglet Scanner, et décoche Analyse heuristique. 
•  De retour à la fenêtre principale : choisis Analyse complète. 
•  Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la. 
•  Clique Oui pour Tout si un fichier est détecté. 
•  A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis surDésinfecter. 
•  Si la désinfection est impossible, clique sur Quarantaine.
•  Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. 
•  Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
•  Ferme Dr.Web CureIt! 
•  /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage. 
•  Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse

Daxilane · Answer

Bon, le scan avec DrWeb est en train de se faire. Le premier avec AVPTool a planté et pas moyen de recommancer...

Pendant ce temps, j'ai 2 questions à te poser :
 -puis-je faire ces mêmes scan en branchant en esclave le HD de ce PC sur un autre PC "stable" et non infecté? Ca irait beaucoup plus vite et moins de risque de plantage
 -penses-tu que le virus se cache dans mes documents? Car si je peux sauvegarder mes doc sur un HD externe, ça ne me pose pas de problème de formater.

Daxilane · Answer

Pas de virus avec DrWeb en analyse rapide...

Utilisateur anonyme · Answer

tu dois faire l'analyse rapide et l'analyse compléte.

Daxilane · Answer

L'analyse complète vient de planter!!!!!

Si je le branche en esclave sur un autre PC ça marche???

Utilisateur anonyme · Answer

On va agir différemment et le killer .

/!\ A l'attention de ceux qui passent sur ce sujet /!\ 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé. 

/!\ Désactive tous tes logiciels de protection /!\ 

• Télécharge combofix(de sUBs) sur ton Bureau. 
• Double-clique sur ComboFix.exe afin de le lancer. 
• Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
• Ne touche à rien pendant le scan. 
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse. 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

Daxilane · Answer

Bonjour, bon, voici les dernières nouvelles du front :

J'ai monté le HD du PC sur un autre en esclave.
J'ai ainsi réussi à le scanner avec AVPTool : "RIEN"
J'en ai profité pour défragmanter le disque...

Après réinstalation du disque dans le bon PC, voici le rapport de ComboFix :

ComboFix 09-11-01.04 - Administrateur 02/11/2009 16:50.1.2 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.503.185 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Internet Explorer\iekey.dll
c:\windows\Downloaded Program Files\Install.inf

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-10-02 au 2009-11-02  ))))))))))))))))))))))))))))))))))))
.

2009-11-01 20:13 . 2009-11-01 20:34	--------	d-----w-	c:\documents and settings\Administrateur\DoctorWeb
2009-11-01 15:52 . 2009-11-02 15:43	2236448	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2009-10-27 17:05 . 2001-08-17 20:47	12928	----a-w-	c:\windows\system32\drivers\Dot4Prt.sys
2009-10-27 17:05 . 2001-08-17 20:47	12928	----a-w-	c:\windows\system32\dllcache\dot4prt.sys
2009-10-27 17:05 . 2001-08-23 16:11	24064	----a-w-	c:\windows\system32\drivers\Dot4usb.sys
2009-10-27 17:05 . 2001-08-23 16:11	24064	----a-w-	c:\windows\system32\dllcache\dot4usb.sys
2009-10-27 17:05 . 2004-08-03 21:58	207360	----a-w-	c:\windows\system32\drivers\Dot4.sys
2009-10-27 17:05 . 2004-08-03 21:58	207360	----a-w-	c:\windows\system32\dllcache\dot4.sys
2009-10-25 17:32 . 2009-10-25 17:32	--------	d-sh--w-	c:\documents and settings\NetworkService\IETldCache
2009-10-25 17:28 . 2009-09-23 12:55	64288	----a-w-	c:\windows\system32\drivers\Lbd.sys
2009-10-25 17:19 . 2009-10-25 17:19	--------	dc-h--w-	c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-10-25 17:18 . 2009-10-25 17:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Lavasoft
2009-10-25 16:48 . 2009-10-25 16:48	--------	d-sh--w-	c:\documents and settings\Administrateur\IECompatCache
2009-10-25 16:47 . 2009-10-25 16:47	--------	d-sh--w-	c:\documents and settings\Administrateur\PrivacIE
2009-10-25 16:46 . 2009-10-25 16:46	--------	d-sh--w-	c:\documents and settings\Administrateur\IETldCache
2009-10-25 16:45 . 2009-10-25 16:45	--------	d--h--w-	c:\windows\msdownld.tmp
2009-10-25 16:43 . 2009-10-25 16:44	--------	dc-h--w-	c:\windows\ie8
2009-10-25 16:43 . 2009-10-25 16:44	--------	d-----w-	c:\windows\system32\fr-FR
2009-10-25 12:21 . 2009-10-25 12:21	--------	d-----w-	c:\program files\FileHippo.com
2009-10-25 12:12 . 2009-10-25 12:12	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2009-10-25 12:12 . 2009-10-25 12:12	--------	d-----w-	c:\program files\NOS
2009-10-25 12:05 . 2009-10-25 12:05	411368	----a-w-	c:\windows\system32\deploytk.dll
2009-10-25 12:05 . 2009-10-25 12:05	--------	d-----w-	c:\program files\Java
2009-10-25 12:02 . 2008-02-26 12:00	294912	------w-	c:\windows\system32\dllcache\msctf.dll
2009-10-25 11:56 . 2009-10-25 11:56	--------	d-----w-	c:\program files\WOT
2009-10-24 18:46 . 2009-11-01 13:40	--------	d-----w-	C:\UsbFix
2009-10-24 13:08 . 2009-10-24 13:08	--------	d-----w-	C:sit
2009-10-15 16:31 . 2009-10-15 16:31	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-10-15 16:31 . 2009-09-10 12:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-15 16:31 . 2009-10-15 16:31	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-15 16:31 . 2009-09-10 12:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-10-15 16:31 . 2009-10-15 16:31	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-02 15:50 . 2006-05-08 09:33	76384	----a-w-	c:\windows\system32\perfc00C.dat
2009-11-02 15:50 . 2006-05-08 09:33	471246	----a-w-	c:\windows\system32\perfh00C.dat
2009-11-02 15:43 . 2009-11-01 15:52	27284	--sha-w-	c:\windows\system32\drivers\fidbox.idx
2009-11-01 13:42 . 2007-10-10 10:13	--------	d-----w-	c:\program files\Trend Micro
2009-10-31 23:19 . 2009-05-20 16:09	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Winamp
2009-10-26 20:10 . 2008-05-04 22:18	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\vlc
2009-10-25 17:18 . 2009-02-27 13:00	--------	d-----w-	c:\program files\Lavasoft
2009-10-25 17:02 . 2009-05-20 16:09	--------	d-----w-	c:\program files\Winamp
2009-10-25 12:19 . 2007-03-01 07:06	--------	d-----w-	c:\program files\Fichiers communs\Adobe
2009-10-18 21:42 . 2008-07-12 11:53	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\dvdcss
2009-09-27 21:13 . 2008-04-23 14:59	--------	d-----w-	c:\program files\PIElectronique
2009-08-19 12:23 . 2009-08-03 10:13	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-19 1667584]
"FileHippo.com"="c:\program files\FileHippo.com\UpdateChecker.exe" [2009-09-28 155648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-07-01 37888]
"SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2003-11-20 525824]
"SDMSSplash"="c:\program files\HP_SDMS\SDMSSplash\launcher.exe" [2006-03-10 86016]
"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-04-24 888832]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856]
"Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-07-21 81920]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-07-21 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-07-21 86016]
"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-06-11 30192]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-25 149280]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-07-04 16250880]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\SMINST\Scheduler.exe"=
"c:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE"=
"c:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"15251:TCP"= 15251:TCP:NortonAV
"13175:TCP"= 13175:TCP:NortonAV
"12757:TCP"= 12757:TCP:NortonAV
"17956:TCP"= 17956:TCP:NortonAV
"12660:TCP"= 12660:TCP:NortonAV
"14840:TCP"= 14840:TCP:NortonAV
"13799:TCP"= 13799:TCP:NortonAV
"17802:TCP"= 17802:TCP:NortonAV
"14784:TCP"= 14784:TCP:NortonAV
"12960:TCP"= 12960:TCP:NortonAV
"12010:TCP"= 12010:TCP:NortonAV
"14752:TCP"= 14752:TCP:NortonAV
"15379:TCP"= 15379:TCP:NortonAV
"14979:TCP"= 14979:TCP:NortonAV
"18722:TCP"= 18722:TCP:NortonAV
"18239:TCP"= 18239:TCP:NortonAV
"18440:TCP"= 18440:TCP:NortonAV
"16021:TCP"= 16021:TCP:NortonAV
"17636:TCP"= 17636:TCP:NortonAV
"18444:TCP"= 18444:TCP:NortonAV
"14642:TCP"= 14642:TCP:NortonAV
"14654:TCP"= 14654:TCP:NortonAV
"18357:TCP"= 18357:TCP:NortonAV
"17677:TCP"= 17677:TCP:NortonAV
"13899:TCP"= 13899:TCP:NortonAV
"18387:TCP"= 18387:TCP:NortonAV
"13328:TCP"= 13328:TCP:NortonAV
"13320:TCP"= 13320:TCP:NortonAV
"5170:TCP"= 5170:TCP:qwwmp

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [25/10/2009 18:28 64288]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [03/08/2009 11:13 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 12:17 1169232]
R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [02/03/2007 12:12 6016]
S2 hebvn;Task Update;c:\windows\system32\svchost.exe -k netsvcs [02/03/2006 03:00 14336]
S2 movjweg;Monitor Config;c:\windows\system32\svchost.exe -k netsvcs [02/03/2006 03:00 14336]
S2 qdxwzw;Helper Driver;c:\windows\system32\svchost.exe -k netsvcs [02/03/2006 03:00 14336]
S3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe -k getPlusHelper [02/03/2006 03:00 14336]
S3 GoogleDesktopManager-092308-165331;Google Desktop Manager 5.8.809.23506;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [11/06/2009 19:42 30192]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*Deregistered* - mbr

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
movjweg
hebvn
qdxwzw
.
Contenu du dossier 'Tâches planifiées'

2009-11-02 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 13:06]

2009-10-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-11-02 c:\windows\Tasks\User_Feed_Synchronization-{3354AC77-BF99-4DB9-9EBC-93FD95794CAD}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
uInternet Settings,ProxyServer = ftp=217.19.195.242:8082;http=217.19.195.242:80;https=217.19.195.242:8081
uInternet Settings,ProxyOverride = 217.19.195.242;152.50.*;*.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {C9AF0287-9531-4196-89DE-095FCCABAB58} = 217.19.192.128,217.19.192.137
DPF: {5D80A6D1-B500-47DA-82B8-EB9875F85B4D} - hxxp://dl.google.com/dl/desktop/nv/GoogleGadgetPluginIEWin.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-NavLogon - (no file)
AddRemove-iasuw - c:\documents and settings\administrateur\local settings\application data\iasuw.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-02 16:57
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hebvn]
"ServiceDll"="c:\windows\system32\pxotq.dll"

Utilisateur anonyme · Answer

Télécharger Avenger :  iciet décompressez sur votre bureau. 
Ouvrir Avenger. Assurez-vous que la case "Scan for rootkits" et "Automatically disable any  rootkits found"soit cochée.Répondez Oui pour exécuter un scan antirootkit :La première étape étant finie, The Avenger a désormais besoin de redémarrer votre PC pour finir
Cliquez sur Oui

Votre ordinateur redémarrera alors automatiquement 
Au redémarrage, le rapport de The Avenger s'ouvrira automatiquement
Post ce rapport.

Daxilane · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Completed script processing.

*******************

Finished!  Terminate.

Utilisateur anonyme · Answer

je ne vois aucune infection.

Daxilane · Answer

Curieusement, depuis cette après-midi, je n'ai plus eu d'alerte AVIRA.

Par contre le PC rame toujour autant malgré la défragmentation.
Et au bout de quelque minutes d'utilisation, j'ai un message d'erreur :


svchost.exe - Erreur d'application

L'instruction à "0x011cf496" emploie l'adresse mémoire "0x011cf496". La mémoire ne peut pas pas être "Written".

Cliquez sur OK pour terminer le programme.
Cliquez sur Annuler pour débloque le programme



Si je clique sur OK, ça me bloque tout le PC. Et si je clique sur Annuler, ça ralentit le PC, le déconnecte du réseau et désactive le son.

Utilisateur anonyme · Answer

Ce problème est lié à la gestion des adresses mémoire par mémoire.

Les causes de ce problème peuvent être les suivantes :

    * 1. Problème matériel (défaillance d'une ou plusieurs barrettes mémoire)
    * 2. Problème lié à la mauvaise utilisation d'une ressource logicielle par une application ou par plusieurs applications lancées simultanément.
    * 3. Insuffisance de la mémoire vive (mémoire en quantité insuffisante et disque dur saturé empêchant la création d'un fichier swap (mémoire virtuelle).

Vérifier le fonctionnement des barrettes mémoire

Tester ses barrettes de RAM : https://www.commentcamarche.net/informatique/composants/1437-tester-la-memoire-vive-ram-d-un-ordinateur-avec-memtest86/

Vérifier la configuration de Windows

Si le problème survient lors de l'ouverture d'un dossier contenant de nombreux fichiers multimédias, le problème peut être lié à l'extraction par Windows des informations contenues dans les fichiers, ce qui provoque un fort ralentissement. Pour y remédier, il suffit de suivre la procédure suivante :
Processeur utilisé à 100%: https://www.commentcamarche.net/faq/896-windows-xp-explorer-exe-utilise-le-cpu-a-99-ou-100

Si le problème survient lors de l'exécution d'une application spécifique, essayez de la désinstaller et de la réinstaller.
Nettoyer le disque dur

Supprimer au maximum les fichiers inutiles du disque dur (notamment le dossier "Temporary Internet Files") et libérez la mémoire en arrêtant les processus (applications fonctionnant en arrière-plan) non nécessaires.
Vider le cache Internet; https://www.commentcamarche.net/faq/3037-vider-le-cache-du-navigateur-chrome-firefox-safari-et-ie

TR/Crypt.ZPACK.gen

29 réponses

Votre réponse

Discussions similaires

Newsletters