Infection : log hijackThis

Fermé
Mite002 - 9 nov. 2009 à 15:53
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 - 10 nov. 2009 à 19:56
Bonjour,
je pense être infecté par des virus, quelqu'un peut-il m'aider? Merci d'avance
Voici un log HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49, on 2009-11-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\pdfforge Toolbar\SearchSettings.exe
C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\mite\local settings\application data\ytfatfal.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: {fba2f39c-769c-f46b-d314-43d4243e1718} - {8171e342-4d34-413d-b64f-c967c93f2abf} - C:\WINDOWS\system32\oeimkwaf.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\pdfforgeToolbarIE.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe
O4 - HKLM\..\Run: [UUSEE] "C:\Program Files\uusee\UUSeePlayer.exe" -b
O4 - HKLM\..\Run: [Google Pinyin 2 Autoupdater] "C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Mite\LOCALS~1\Temp\herss.exe
O4 - HKCU\..\Run: [ytfatfal] "c:\documents and settings\mite\local settings\application data\ytfatfal.exe" ytfatfal
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: tuvVOGvs - tuvVOGvs.dll (file missing)
O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe

22 réponses

neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 15:55
salut

ton pc est sur infecté !!

on va utiliser plusieurs logiciels pour le remmetre en bon etat ^^

* Telecharge UsbFix (de C_XX & Chiquitine29) sur ton bureau
* tutoriel recherche
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
* Choisi l'option 1 (recherche)
* Laisse travailler l'outil
* Ensuite post le rapport UsbFix.txt qui apparaîtra
* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

ENSUITE



* Télécharge et enregistre le fichier d installation sur ton bureau : https://www.androidworld.fr/
* Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
* Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
* Au menu principal choisi l'option "L" et tape sur [entrée] .
* Laisse travailler l'outil et ne touche à rien ...
* Poste le rapport qui apparait à la fin.


( le rapport est sauvegardé aussi sous C:\Ad-report.log )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Tout d'abord merci pour ces explications.
Voici déjà le log UsbFix :


############################## | UsbFix V6.050 |

User : Mite (Administrateurs) # HERBIN
Update on 09/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 15:59:32 | 2009-11-09
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1335 [VPS 091108-1] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 87.89 Go (48.67 Go free) # NTFS
D:\ -> Disque fixe local # 102.02 Go (16.44 Go free) [Stockage] # NTFS
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM # 3.68 Mo (0 Mo free) [Ma cle USB] # CDFS
M:\ -> Disque amovible # 958.41 Mo (473.36 Mo free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 808
C:\WINDOWS\system32\csrss.exe 888
C:\WINDOWS\system32\winlogon.exe 916
C:\WINDOWS\system32\services.exe 960
C:\WINDOWS\system32\lsass.exe 972
C:\WINDOWS\system32\Ati2evxx.exe 1128
C:\WINDOWS\system32\svchost.exe 1144
C:\WINDOWS\system32\svchost.exe 1216
C:\WINDOWS\System32\svchost.exe 1360
C:\WINDOWS\system32\svchost.exe 1392
C:\WINDOWS\System32\svchost.exe 1568
C:\WINDOWS\System32\svchost.exe 1672
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1764
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1812
C:\WINDOWS\system32\spoolsv.exe 204
C:\Program Files\AskBarDis\bar\bin\AskService.exe 296
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe 316
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe 880
C:\Program Files\Java\jre6\bin\jqs.exe 1276
C:\WINDOWS\system32\PSIService.exe 1380
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe 1640
C:\WINDOWS\System32\svchost.exe 1684
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 440
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 536
C:\WINDOWS\System32\alg.exe 824
C:\WINDOWS\system32\wscntfy.exe 3120
C:\WINDOWS\system32\Ati2evxx.exe 3152
C:\WINDOWS\Explorer.EXE 3324
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe 3448
C:\WINDOWS\system32\Rundll32.exe 3456
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe 3552
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe 3748
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 3756
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe 3764
C:\Program Files\pdfforge Toolbar\SearchSettings.exe 3816
C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe 3876
C:\Program Files\Java\jre6\bin\jusched.exe 3884
C:\WINDOWS\system32\ctfmon.exe 3892
C:\documents and settings\mite\local settings\application data\ytfatfal.exe 3960
C:\Program Files\Sophos\AutoUpdate\ALMon.exe 3984
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 784
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe 1940
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe 2856
C:\Program Files\Mozilla Firefox\firefox.exe 3716
C:\WINDOWS\System32\wbem\wmiprvse.exe 624

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\pskt.ini
C:\autorun.inf
C:\autorun.inf -> fichier appelé : "C:\wcgswa.exe" ( Absent ! )
C:\qbr2q.exe
D:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\wcgswa.exe" ( Absent ! )
D:\qbr2q.exe
K:\autorun.inf
K:\AppliCME.exe
M:\autorun.inf
M:\autorun.inf -> fichier appelé : "M:\wcgswa.exe" ( Absent ! )

################## | Registre # Clés Run infectieuses |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\K
Shell\AutoRun\command =K:\AppliCME.exe
Shell\start\command =K:\AppliCME.exe

HKCU\..\..\Explorer\MountPoints2\{4a106844-ae6c-11dc-9ec4-0003c9d8435d}
shell\verb1\command =desktop.exe

HKCU\..\..\Explorer\MountPoints2\{a7424afc-a3af-11de-a1dc-0011675c4240}
Shell\AutoRun\command =K:\AppliCME.exe
Shell\start\command =K:\AppliCME.exe

HKCU\..\..\Explorer\MountPoints2\{a7424afd-a3af-11de-a1dc-0011675c4240}
Shell\AutoRun\command =wcgswa.exe
Shell\open\Command =wcgswa.exe

HKCU\..\..\Explorer\MountPoints2\{a7660148-db2f-11dd-a0c4-0003c9d8435d}
Shell\AutoRun\command =K:\wcgswa.exe
Shell\open\Command =K:\wcgswa.exe

HKCU\..\..\Explorer\MountPoints2\{acd10bd7-96b1-11dc-9bee-806d6172696f}
Shell\AutoRun\command =wcgswa.exe
Shell\open\Command =wcgswa.exe

HKCU\..\..\Explorer\MountPoints2\{acd10bd8-96b1-11dc-9bee-806d6172696f}
Shell\AutoRun\command =wcgswa.exe
Shell\open\Command =wcgswa.exe

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Program Files\MagicISO Maker v5 4\crack\Magic.ISO.Maker.v5.4.b251_patch.exe"
2007-09-14 14:00 |Size 62464 |Crc32 de844863 |Md5 612d528e956adc06d7e2a477df3d87b3

"D:\Logiciels\Utilitaires\Magic iso 5.4\MagicISO ISO Image Maker v5 4 Build 0251 Incl Crack WinAll\Setup.exe"
2007-11-22 13:08 |Size 9918865 |Crc32 05e4c18d |Md5 fe78bb4f334e450debd8aa7c50214143

"D:\Logiciels\Utilitaires\Magic iso 5.4\MagicISO ISO Image Maker v5 4 Build 0251 Incl Crack WinAll\crack\Magic.ISO.Maker.v5.4.b251_patch.exe"
2007-11-19 16:36 |Size 62464 |Crc32 de844863 |Md5 612d528e956adc06d7e2a477df3d87b3


################## | ! Fin du rapport # UsbFix V6.050 ! |
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 16:11
de rien :)

si tu veux un conseil vires tes cracks :

A LIRE :

Le danger des cracks

Bagle/Beagle

Bagle en video et informations

j'attends ton rapport ADRemover


ENSUITE


* tutoriel nettoyage
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau
* choisi l'option 2 ( Suppression )
* Ton bureau disparaîtra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
* ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
* :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse :>>>ici<<<
* Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
* Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
* Merci d'avance pour ta contribution !!

0
Voici le rapport Ad
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_B | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 08.11.2009 à 14:49
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 16:07:07, 2009-11-09 | Mode Normal | Option: CLEAN
Exécuté de: "C:\Program Files\Ad-Remover\"
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: HERBIN | Utilisateur actuel: Mite
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: ASKService
Service: ASKUpgrade

HKCU\Software\AppDataLow\AskBarDis
HKCU\Software\AppDataLow\Software\Dealio
HKCU\Software\AppDataLow\Software\pdfforge
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Search Settings
HKLM\Software\Classes\CLSID\{201F27D4-3704-41D6-89C1-AA35E39143ED}
HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
HKLM\Software\Dealio
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{94C3BB3A-56A1-43DE-A242-8B41F46E97EF}
HKLM\Software\pdfforge
HKLM\Software\Search Settings
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\SearchSettings
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\36BD92009DFD87846B2333BBBEA6DD1C
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\377026901A2D8744A8423A983B50E0D1
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\76DA9915C36F3D742951F63351CF5C97
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9B0B0584E80456A4FB98DA3973B1EB3F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A89F1E0FE544529429C8BF82FE74CE39
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B278DBFACA5AB424DA79915F3A109F9A
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B3B348F18694F1949B4D6BD9507F2886
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\C9667115F6A9CE340B31B63B680FF26F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E48E3A6D380B2EC4ABCEB3BA048D767F
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EFB70E89C3D6D354596520DE424F89D6
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F49A213B5069AC348994D03F81B56C19
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\F715D253BF28D554C9C0F60ABA8585CF
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A6EB8FE4C9986914497E92C7F5A702E3
HKLM\software\classes\installer\Products\A6EB8FE4C9986914497E92C7F5A702E3
.
C:\DOCUME~1\Mite\APPLIC~1\Dealio
C:\DOCUME~1\Mite\APPLIC~1\Mozilla\Firefox\Profiles\fwuii25f.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
C:\DOCUME~1\Mite\APPLIC~1\Mozilla\Firefox\Profiles\fwuii25f.default\searchplugins\ask.xml
C:\DOCUME~1\Mite\APPLIC~1\Search Settings ... [b]ERREUR SUPPRESSION !!/b
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Everest Poker
C:\Program Files\AskBarDis
C:\Program Files\Dealio Toolbar
C:\Program Files\Everest Poker
C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\Mozilla Firefox\extensions\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
C:\Program Files\Mozilla Firefox\extensions\{B922D405-6D13-4A2B-AE89-08A030DA4402}
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
C:\Program Files\pdfforge Toolbar
C:\Program Files\Search Settings
C:\log_lobby.txt
C:\log_lobby_dumper.txt
C:\Windows\Installer\17ff83.msi
C:\Windows\Installer\17ff8a.msi
C:\Windows\Installer\1cc3df.msi
C:\DOCUME~1\Mite\LOCALS~1\TEMPOR~1\Content.IE5\OY126JGI\pdfforgeToolbar[1].msi
C:\DOCUME~1\Mite\Bureau\rac\Everest Poker.lnk
C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-03414D9F.pf
C:\DOCUME~1\Mite\Cookies\mite@ask[1].txt

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.15 [fr] *
.
Nom du profil: fwuii25f.default (Mite)
.
(Mite, prefs.js) Browser.download.lastDir, C:\Documents and Settings\Mite\Bureau
(Mite, prefs.js) Browser.search.defaultenginename, Yahoo
(Mite, prefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
(Mite, prefs.js) Browser.search.selectedEngine, Yahoo
(Mite, prefs.js) Browser.startup.homepage, hxxp://www.google.com/
.
(Mite, prefs.js) EFFAC+ - Extensions.snipit.chromeURL, hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&gc=1&q={searchTerms}&crm=1
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\Mite\Application Data\Azureus\torrents\AVG Anti-Spyware Pro V7.5.1.43 Crack -ICU [mininova].torrent
C:\Documents and Settings\Mite\Application Data\Azureus\torrents\AVG Professional Internet Security Suite v7.5.448fa972 Plus Serial [mininova].torrent
C:\Documents and Settings\Mite\Application Data\Azureus\torrents\Corel_Paint_Shop_Pro_Photo_X2_v12.0_(Full_Version_with_Keygen) [mininova].torrent
C:\Documents and Settings\Mite\Application Data\Azureus\torrents\MagicISO..ISO.Image.Maker.v5.4.Build.0251.Incl.Crack.WinAll [myBittorrent.com].torrent
C:\Documents and Settings\Mite\Application Data\Azureus\torrents\MagicISO.Maker.v5.4.Build.0251.Incl.Keygen.rar [myBittorrent.com].torrent
C:\Documents and Settings\Mite\Application Data\Azureus\torrents\Patch + Voix en Fr Rugby 08.zip mininova.org .torrent
.
===================================
.
8192 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
199 Fichier(s) - C:\DOCUME~1\Mite\LOCALS~1\Temp
142 Fichier(s) - C:\WINDOWS\Temp
.
19 Fichier(s) - "C:\Program Files\Ad-Remover\BACKUP"
363 Fichier(s) - "C:\Program Files\Ad-Remover\QUARANTINE"
.
Fin à: 16:18:52 | 2009-11-09 - CLEAN[1]
.
============== E.O.F ==============
.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 16:30
impressionant^^

je t'ai donné la suite ici :
https://forums.commentcamarche.net/forum/affich-15125877-infection-log-hijackthis#3

usbfix option 2
0
voici le log usb fix après option 2

############################## | UsbFix V6.050 |

User : Mite (Administrateurs) # HERBIN
Update on 09/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 16:26:38 | 2009-11-09
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 Processor 3000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1335 [VPS 091109-0] 4.8.1335 [ Enabled | Updated ]

C:\ -> Disque fixe local # 87.89 Go (48.8 Go free) # NTFS
D:\ -> Disque fixe local # 102.02 Go (16.44 Go free) [Stockage] # NTFS
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM
J:\ -> Disque CD-ROM
K:\ -> Disque CD-ROM # 3.68 Mo (0 Mo free) [Ma cle USB] # CDFS
M:\ -> Disque amovible # 958.41 Mo (473.36 Mo free) # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 808
C:\WINDOWS\system32\csrss.exe 888
C:\WINDOWS\system32\winlogon.exe 916
C:\WINDOWS\system32\services.exe 960
C:\WINDOWS\system32\lsass.exe 972
C:\WINDOWS\system32\Ati2evxx.exe 1128
C:\WINDOWS\system32\svchost.exe 1144
C:\WINDOWS\system32\svchost.exe 1216
C:\WINDOWS\System32\svchost.exe 1360
C:\WINDOWS\system32\svchost.exe 1392
C:\WINDOWS\System32\svchost.exe 1568
C:\WINDOWS\System32\svchost.exe 1672
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1764
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1812
C:\WINDOWS\system32\spoolsv.exe 204
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe 880
C:\Program Files\Java\jre6\bin\jqs.exe 1276
C:\WINDOWS\system32\PSIService.exe 1380
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe 1640
C:\WINDOWS\System32\svchost.exe 1684
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 440
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 536
C:\WINDOWS\System32\alg.exe 824
C:\WINDOWS\system32\wscntfy.exe 3120
C:\WINDOWS\system32\Ati2evxx.exe 3152
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe 3448
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe 3552
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe 3748
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 3756
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe 3764
C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe 3876
C:\Program Files\Java\jre6\bin\jusched.exe 3884
C:\WINDOWS\system32\ctfmon.exe 3892
C:\documents and settings\mite\local settings\application data\ytfatfal.exe 3960
C:\Program Files\Sophos\AutoUpdate\ALMon.exe 3984
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe 784
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe 1940
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe 2856
C:\WINDOWS\explorer.exe 468
C:\Program Files\Mozilla Firefox\firefox.exe 2732
C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe 1060
C:\WINDOWS\System32\wbem\wmiprvse.exe 3360

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\pskt.ini
C:\autorun.inf -> fichier appelé : "C:\wcgswa.exe" ( Absent ! )
Supprimé ! C:\autorun.inf
Supprimé ! C:\qbr2q.exe
D:\autorun.inf -> fichier appelé : "D:\wcgswa.exe" ( Absent ! )
Supprimé ! D:\autorun.inf
Supprimé ! D:\qbr2q.exe
K:\autorun.inf -> fichier appelé : "K:\AppliCME.exe" ( Présent ! )
Non supprimé ! K:\AppliCME.exe
Non supprimé ! K:\autorun.inf
Non supprimé ! K:\AppliCME.exe
M:\autorun.inf -> fichier appelé : "M:\wcgswa.exe" ( Absent ! )
Supprimé ! M:\autorun.inf

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\K\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{4a106844-ae6c-11dc-9ec4-0003c9d8435d}\Shell\verb1\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{a7660148-db2f-11dd-a0c4-0003c9d8435d}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[2009-11-09 16:18|--a------|8528] C:\Ad-Report-CLEAN[1].log
[2007-11-19 18:41|--a------|0] C:\AUTOEXEC.BAT
[2008-01-06 19:58|--a------|216] C:\Boot.bak
[2009-01-09 14:59|-rahs----|286] C:\boot.ini
[2001-08-28 13:00|-rahs----|4952] C:\Bootfont.bin
[2009-01-23 14:29|--a------|2619] C:\cleannavi.txt
[2004-08-03 23:00|--a------|263488] C:\cmldr
[2007-11-19 18:41|--a------|0] C:\CONFIG.SYS
[2008-05-03 13:55|--a------|86] C:\desktop.ini
[2009-01-23 14:26|--a------|2897] C:\fixnavi.txt
[2007-11-19 18:41|-rahs----|0] C:\IO.SYS
[2007-11-19 18:41|-rahs----|0] C:\MSDOS.SYS
[2007-11-20 08:00|-rahs----|47564] C:\NTDETECT.COM
[2008-11-07 21:03|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[2009-11-09 16:30|--a------|4896] C:\UsbFix.txt
[2009-10-05 15:54|--a------|79426] D:\08_3_Socle-GrilleEvaluation-CycleCentral.pdf
[2007-12-22 13:26|--a------|84] D:\desktop.ini
[2008-07-03 09:28|-r-------|3502385] K:\AppliCME.exe
[2008-07-03 10:59|-r-------|151] K:\autorun.inf
[2007-09-25 11:40|-r-------|298606] K:\cleCME.ico
[2009-11-04 07:55|--a------|177240] M:\activescan2_en.exe
[2009-10-19 12:29|--a------|296] M:\WMPInfo.xml

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# M:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

"C:\Program Files\MagicISO Maker v5 4\crack\Magic.ISO.Maker.v5.4.b251_patch.exe"
2007-09-14 14:00 |Size 62464 |Crc32 de844863 |Md5 612d528e956adc06d7e2a477df3d87b3

"D:\Logiciels\Utilitaires\Magic iso 5.4\MagicISO ISO Image Maker v5 4 Build 0251 Incl Crack WinAll\Setup.exe"
2007-11-22 13:08 |Size 9918865 |Crc32 05e4c18d |Md5 fe78bb4f334e450debd8aa7c50214143

"D:\Logiciels\Utilitaires\Magic iso 5.4\MagicISO ISO Image Maker v5 4 Build 0251 Incl Crack WinAll\crack\Magic.ISO.Maker.v5.4.b251_patch.exe"
2007-11-19 16:36 |Size 62464 |Crc32 de844863 |Md5 612d528e956adc06d7e2a477df3d87b3
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 16:43
tu t'es deja fais aidé sur ce forum ou un autre ? il ya un outil que je vais te faire passer mais que tu as déja passé auparavant....

il y a une infection MagicControl/navipromo, qui s'installe via des programmes dits "gratuits", dont ceux-ci :
Funky Emoticons
Games Attack
go-astro
GoRecord
HotTVPlayer / HotTVPlayer & Paris Hilton
Live-Player
MailSkinner
Messenger Skinner
Original-solitaire
Instant Access
InternetGameBox
Officiale Emule (Version d'Emule modifiée)
Sudoplanet
Webmediaplayer


Pour la supprimer, merci de suivre exactement cette procédure :



• Télécharge Navilog1 (créé par IL-MAFIOSO) sur ton Bureau.
• Lance Navilog depuis le raccourci présent sur le Bureau
• Au menu principal, fais le choix 1 (Recherche / Désinfection automatique)
• Si des éléments indésirables sont trouvés, navilog fera redémarrer l'ordinateur. Patiente alors jusqu'au message «Scan terminé le...»
• A la fin, le rapport (C:\cleannavi.txt) va s'ouvrir dans le bloc-notes, poste le dans ta prochaine réponse stp.




0
effectivement je me suis déjà fait aider il y a quelque temps, et cela c'était révélé très utile! (comme aujourd'hui d'ailleurs)
Voici le rapport :

Fix Navipromo version 4.0.4 commencé le 2009-11-09 16:46:12.62

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files\navilog1

Mise à jour le 02.11.2009 à 22h00 par IL-MAFIOSO

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
BIOS : 08.00.09 Rev. 1.01.1711
USER : Mite ( Administrator )
BOOT : Normal boot

Antivirus : avast! antivirus 4.8.1335 [VPS 091109-0] 4.8.1335 (Activated)


C:\ (Local Disk) - NTFS - Total:87 Go (Free:48 Go)
D:\ (Local Disk) - NTFS - Total:102 Go (Free:16 Go)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (CD or DVD)
J:\ (CD or DVD)
K:\ (USB) - FAT - Total:62 Mo (Free:0 Go)
L:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
M:\ (USB) - FAT32 - Total:958 Mo (Free:0 Go)


Recherche executée en mode normal

Nettoyage exécuté au redémarrage de l'ordinateur


C:\Program Files\Live-Player supprimé !
C:\Documents and Settings\All Users\menudm~1\progra~1\Live-Player supprimé !
C:\Documents and Settings\Mite\applic~1\Live-Player supprimé !
c:\docume~1\alluse~1\bureau\Live-Player.lnk supprimé !
C:\WINDOWS\prefetch\LIVE-PLAYER.EXE-21A6817A.pf supprimé !
C:\WINDOWS\prefetch\ytfatfal*.pf supprimé !
c:\docume~1\mite\locals~1\applic~1\ytfatfal.exe supprimé !
c:\docume~1\mite\locals~1\applic~1\ytfatfal.dat supprimé !
c:\docume~1\mite\locals~1\applic~1\ytfatfal_nav.dat supprimé !
c:\docume~1\mite\locals~1\applic~1\ytfatfal_navps.dat supprimé !


Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\Mite\locals~1\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 2009-11-09 16:51:36.78 ***
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 17:41
et tu as donc refais la même erreur !!

tres bien, on avance, le plus gros est fait ^^

Pour analyser ton pc plus en profondeur: télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
Certainement, mais je ne sais pas qu'est-ce que c'est que cette erreur justement!
Voici les 2 fichiers :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Mite at 2009-11-09 17:51:18
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 50 GB (56%) free of 90 GB
Total RAM: 511 MB (18% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51, on 2009-11-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Mite\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Mite.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: {fba2f39c-769c-f46b-d314-43d4243e1718} - {8171e342-4d34-413d-b64f-c967c93f2abf} - C:\WINDOWS\system32\oeimkwaf.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [UUSEE] "C:\Program Files\uusee\UUSeePlayer.exe" -b
O4 - HKLM\..\Run: [Google Pinyin 2 Autoupdater] "C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: tuvVOGvs - tuvVOGvs.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 17:54
l'erreur, je viens de te l'expliquer :
.......qui s'installe via des programmes dits "gratuits", dont ceux-ci :
Funky Emoticons
Games Attack
go-astro
GoRecord
HotTVPlayer / HotTVPlayer & Paris Hilton
Live-Player
MailSkinner
Messenger Skinner
Original-solitaire
Instant Access
InternetGameBox
Officiale Emule (Version d'Emule modifiée)
Sudoplanet
Webmediaplayer


je regarde ton rapport et je reviens
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 17:58
Imprime ces instructions ou sauvegarde les sur ton Bureau car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

Télécharge Malwarebytes’ Anti-Malware

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX)



- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware
- Enregistres le sur le bureau
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation
- Mets le a jour /!\
- Double-cliques sur l’icône de malwarebytes pour le relancer
- Dans l’onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet et Rechercher
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés.
- Cliques sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Colle le rapport ici, il se trouve dans l’onglet rapport/log

Si tu as besoin d’aide regarde ce tutorial

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
ps: s'il te demande de redemarrer : fais le !
0
Je suis désolé c'est un peu long.....mais apparemment il y a déjà 6 fichiers infectés.... A toute à l'heure lorsque j'aurai terminé
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 19:03
Je suis désolé c'est un peu long

c'est normal et le temps varie en fonction des pc ;)

même si on finit demain, c'est pas une course, vaut mieux faire tot bien que tout vite et qu'il t'en reste :)
0
Ca y est c'est enfin fini , je poste le rapport :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3133
Windows 5.1.2600 Service Pack 3

2009-11-09 20:11:46
mbam-log-2009-11-09 (20-11-46).txt

Type de recherche: Examen complet (C:\|D:\|L:\|M:\|)
Eléments examinés: 292282
Temps écoulé: 1 hour(s), 34 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8171e342-4d34-413d-b64f-c967c93f2abf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8171e342-4d34-413d-b64f-c967c93f2abf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c3f37eca-a8d9-4633-92c6-fe24c7d16aba} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UUSEE (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\oeimkwaf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\Navilog1\gnc.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{64AE4DB4-9C21-42B5-9FBA-E70BF4798918}\RP371\A0314041.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\qbr2q.exe.UsbFix (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{64AE4DB4-9C21-42B5-9FBA-E70BF4798918}\RP371\A0314043.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\BM3316eebd.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM3316eebd.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Program Files\uusee\UUSeePlayer.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 20:27
relances un rapport RSIT stp comme ici
https://forums.commentcamarche.net/forum/affich-15125877-infection-log-hijackthis#9
tu n'auras qu'un rapport , c'est normal
0
voila le rapport :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Mite at 2009-11-09 20:54:34
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 50 GB (55%) free of 90 GB
Total RAM: 511 MB (5% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54, on 2009-11-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Azureus\Azureus.exe
C:\WINDOWS\system32\msiexec.exe
C:\Documents and Settings\Mite\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Mite.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Google Pinyin 2 Autoupdater] "C:\Program Files\Google\Google Pinyin 2\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: tuvVOGvs - tuvVOGvs.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
9 nov. 2009 à 21:24
ca se complique:

/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\

Ce logiciel est très puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus...
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )


Tuto ici pour installer la Console de récupération (important en cas de problème) : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)
0
Voici :
ComboFix 09-11-08.03 - Mite 2009-11-09 21:29.1.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.511.284 [GMT 1:00]
Lancé depuis: c:\documents and settings\Mite\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 091109-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\desktop.ini
c:\windows\struct~.ini
c:\windows\system32\dwotpqil.ini
c:\windows\system32\eogfyolu.ini
c:\windows\system32\eokkppol.ini
c:\windows\system32\gmcyrifv.ini
c:\windows\system32\hmmwibdy.ini
c:\windows\system32\nclodoyd.ini
c:\windows\system32\utkmlifv.ini
c:\windows\system32\uyhidwwh.ini
c:\windows\system32\wfwfsidw.ini
c:\windows\system32\xyynudrm.ini
c:\windows\system32\yjschyqi.ini

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-09 au 2009-11-09 ))))))))))))))))))))))))))))))))))))
.

2009-11-09 17:13 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-09 17:13 . 2009-11-09 17:13 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-09 17:13 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-09 16:51 . 2009-11-09 16:51 -------- d-----w- C:\rsit
2009-11-09 15:07 . 2009-11-09 15:18 -------- d-----w- c:\program files\Ad-Remover
2009-11-09 14:59 . 2009-11-09 15:30 -------- d-----w- C:\UsbFix
2009-11-09 13:22 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-11-04 06:55 . 2009-11-04 06:55 -------- d-----w- c:\program files\Panda Security
2009-11-04 06:52 . 2009-11-04 06:52 152576 ----a-w- c:\documents and settings\Mite\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-03 20:43 . 2009-11-03 20:43 -------- d-----w- c:\program files\Google

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-09 20:27 . 2007-11-20 11:15 -------- d-----w- c:\documents and settings\Mite\Application Data\Azureus
2009-11-09 20:15 . 2007-12-20 11:02 -------- d-----w- c:\program files\Sophos
2009-11-09 15:54 . 2009-01-18 21:21 -------- d-----w- c:\program files\Navilog1
2009-11-09 14:09 . 2007-11-29 17:28 -------- d-----w- c:\documents and settings\Mite\Application Data\OpenOffice.org2
2009-11-04 06:57 . 2007-11-20 11:11 -------- d-----w- c:\program files\Java
2009-11-04 06:46 . 2001-08-28 12:00 458230 ----a-w- c:\windows\system32\perfh00C.dat
2009-11-04 06:46 . 2001-08-28 12:00 71248 ----a-w- c:\windows\system32\perfc00C.dat
2009-10-19 12:53 . 2008-01-13 20:43 -------- d-----w- c:\documents and settings\Mite\Application Data\dvdcss
2009-10-14 17:25 . 2008-04-16 13:36 -------- d-----w- c:\program files\eMule
2009-10-14 14:21 . 2007-11-20 16:12 -------- d-----w- c:\documents and settings\Mite\Application Data\foobar2000
2009-10-14 09:02 . 2008-01-15 11:12 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
2009-10-11 03:17 . 2008-12-03 16:40 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-10-06 15:27 . 2009-10-06 15:27 -------- d-----w- c:\documents and settings\Mite\Application Data\pdfforge
2009-10-06 14:33 . 2009-10-06 14:32 -------- d-----w- c:\program files\PDFCreator
2009-10-01 16:32 . 2009-10-01 16:16 -------- d-----w- c:\program files\Free Audio Pack
2009-10-01 16:32 . 2009-10-01 16:32 -------- d-----w- c:\documents and settings\Mite\Application Data\Search Settings
2009-09-30 09:57 . 2009-09-30 09:55 -------- d--h--w- c:\program files\Zero G Registry
2009-09-30 09:57 . 2009-09-30 09:55 -------- d-----w- c:\program files\GeoGebra
2009-09-22 12:14 . 2007-11-20 09:15 76000 ----a-w- c:\documents and settings\Mite\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-22 12:10 . 2009-09-22 12:10 -------- d-----w- c:\documents and settings\Mite\Application Data\GTCO CalComp
2009-09-22 12:00 . 2009-09-22 12:00 397 ----a-w- c:\program files\Fichiers communs\eInstruction.ini
2009-09-22 11:54 . 2009-09-22 11:54 -------- d-----w- c:\program files\eInstruction
2009-09-21 18:43 . 2009-09-21 17:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-09-21 18:06 . 2009-09-21 18:00 -------- d-----w- c:\program files\Microsoft Works
2009-09-21 17:59 . 2009-09-21 17:59 -------- d-----w- c:\program files\MSBuild
2009-09-21 17:57 . 2009-09-21 17:57 -------- d-----w- c:\program files\Microsoft.NET
2009-09-21 17:52 . 2009-09-21 17:52 -------- d-----w- c:\program files\Microsoft Visual Studio 8
2009-09-21 16:37 . 2007-11-20 09:37 -------- d-----w- c:\program files\Fichiers communs\Adobe
2009-09-21 14:43 . 2007-11-20 11:14 -------- d-----w- c:\program files\Azureus
2009-09-21 13:46 . 2009-09-21 13:46 152576 ----a-w- c:\documents and settings\Mite\Application Data\Sun\Java\jre1.6.0_15\lzma.dll
2008-04-03 07:51 . 2008-03-25 17:23 8 --sh--w- c:\program files\.data211204.dat
2008-04-03 07:51 . 2008-03-25 17:23 8 --sh--w- c:\program files\.data211004.dat
2008-04-03 07:51 . 2008-03-25 17:23 8 --sh--w- c:\program files\.data110704.dat
2008-03-25 17:23 . 2008-03-25 17:23 8 --sh--w- c:\program files\.drv120405.dat
2008-03-25 17:23 . 2008-03-25 17:23 8 --sh--w- c:\program files\.dat000002.dat
2008-03-25 17:23 . 2008-03-25 17:23 8 --sh--w- c:\program files\.dat000001.dat
2004-03-11 12:27 . 2007-12-28 10:27 40960 ----a-w- c:\program files\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTSysVol"="c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 623992]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Google Pinyin 2 Autoupdater"="c:\program files\Google\Google Pinyin 2\GooglePinyinDaemon.exe" [2009-11-03 1009648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"P17Helper"="P17.dll" - c:\windows\system32\P17.dll [2005-05-03 64512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
AutoUpdate Monitor.lnk - c:\program files\Sophos\AutoUpdate\ALMon.exe [2009-7-21 245760]
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-7-16 626176]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"SerialNumber"="A109A-K13-3ZXD-BAP5-TE"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Outils d'administration\\Recycle Bin\\kdja.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-11-09 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-14 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-11-14 20560]
S1 tvtool;tvtool;\??\c:\program files\TVTool 8\tvtool.sys --> c:\program files\TVTool 8\tvtool.sys [?]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\drivers\usb8023.sys [2001-08-28 12800]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F8B9E5C0-4DCC-CFCF-ABA5-00401D608516}]
c:\documents and settings\All Users\Menu Démarrer\Programmes\Outils d'administration\Recycle Bin\kdja.exe
.
.
------- Examen supplémentaire -------
.
IE: Ajouter au fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xport to Microsoft Excel - c:\progra~1\MI1933~1\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Mite\Application Data\Mozilla\Firefox\Profiles\fwuii25f.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - c:\program files\Dealio Toolbar\DealioToolbarIE.dll
HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
HKCU-Run-PowerBar - (no file)
HKLM-Run-NBKeyScan - c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
HKLM-Run-ISUSPM Startup - c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe
Notify-tuvVOGvs - tuvVOGvs.dll
AddRemove-Ask Toolbar_is1 - c:\program files\AskBarDis\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-09 21:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ????????????l?@?l?@?D??????w???????????????wl?@?l?@????? ??????????????w???w???????w?m?wx????????m?w???????? ??????????????|x???0???????????? jt???w?????????????????d??????#???????l?@?l?@????????w????t?@?????l?@?8?@?l?@?3??s????????????????????8?@?_??s8?@?8?@

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sptd.sys >>UNKNOWN [0x82D8A8AC]<<
kernel: MBR read successfully
user & kernel MBR OK
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

atapi.sys @ 0x0 0x0 bytes

\Driver\atapi [ IRP_MJ_CREATE ] 0xA6F2 != 0xF83F5B40 atapi.sys
\Driver\atapi [ IRP_MJ_CLOSE ] 0xA6F2 != 0xF83F5B40 atapi.sys
\Driver\atapi [ IRP_MJ_DEVICE_CONTROL ] 0xA712 != 0xF83F5B40 atapi.sys
\Driver\atapi [ IRP_MJ_INTERNAL_DEVICE_CONTROL ] 0x6852 != 0xF83F5B40 atapi.sys
\Driver\atapi [ IRP_MJ_POWER ] 0xA73C != 0xF83F5B40 atapi.sys
\Driver\atapi [ IRP_MJ_SYSTEM_CONTROL ] 0x11336 != 0xF83F5B40 atapi.sys
\Driver\atapi IRP hooks detected !

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2009-11-09 21:41
ComboFix-quarantined-files.txt 2009-11-09 20:41

Avant-CF: 52,317,401,088 octets libres
Après-CF: 52,292,608,000 octets libres

- - End Of File - - 91DE436B2B138D6E6DE548AB377DA3F1
0
neo*** Messages postés 3115 Date d'inscription samedi 14 février 2009 Statut Contributeur sécurité Dernière intervention 9 août 2021 194
10 nov. 2009 à 11:41
il rest eplusieurs choses a verifier :

• Télécharge SF (de C_XX) sur ton Bureau
• Lance 'SF.exe' en faisant un double clic sur le fichier
• Saisis la valeur recherchée : atapi.sys
• Appuie sur la touche Entrée et patiente pendant la recherche.
• Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé, fais en un copier/coller ici stp

ENSUITE

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :
c:\documents and settings\All Users\Menu Démarrer\Programmes\Outils d'administration\Recycle Bin\kdja.exe
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
0