Infections Trojan
spinaltap -
Mon PC est infecté par au moins deux Trojan, détectés par Avira Antivir : TR/Vundo.exe et TR/Downloader.exe
Pouvez-vous m'indiquer svp la procédure à suivre pour les "nettoyer" ?
Merci pour votre aide.
Configuration: Windows XP Firefox 3.5.5
47 réponses
- 1
- 2
- 3
Des infections Trojan détectées par Avira Antivir sur Windows XP et Firefox 3.5.5 soulèvent la nécessité d’une procédure de nettoyage complète et sécurisée pour éliminer les menaces TR/Vundo.exe et TR/Downloader.exe. Plusieurs réponses préconisent d’abord mettre à jour et exécuter des analyses avec des outils tels que ESET et Malwarebytes, puis d’examiner les résultats et de supprimer ou mettre en quarantaine les fichiers. D’autres étapes recommandent de désactiver temporairement la restauration système et d’effectuer un nettoyage approfondi, puis de relancer un scan et de vérifier les rapports pour confirmer l’absence de traces.
-
Salut,
Télécharge sur le bureau RSIT: http://images.malwareremoval.com/random/RSIT.exe
* Double-clic dessus
* Laisser « 1 month »
* Cliquer sur « Continue »
* À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt »
* Copier/coller le rapport « log.txt » dans la réponse, fermer l'autre
** Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt » -
Voici le rapport log.txt :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Antoine at 2009-12-04 18:32:54
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 928 MB (8%) free of 12 GB
Total RAM: 1023 MB (61% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:33:05, on 04/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Antoine\Bureau\RSIT.exe
C:\Program Files\trend micro\Antoine.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [BVRPLiveUpdate] C:\Program Files\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c9ed9e5ec99b3a) (gupdate1c9ed9e5ec99b3a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
-
Met a jour Malwares Bytes, ferme tout tes programmes en cours d'execution
* Une fois la mise à jour terminée, rendez-vous dans l'onglet Recherche.
* Sélectionnez Exécuter un examen complet.
* Cliquez sur Rechercher. L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
* Cliquez sur OK pour poursuivre. Si MBAM n'a rien trouvé, il vous le dira aussi.
* Fermez vos navigateurs.
Si des malwares ont été détectés, cliquez sur Afficher les résultats.
* Sélectionnez tout (ou laissez coché) et cliquez sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse, sauvegardez-le puis postez le ici -
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3295
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
04/12/2009 22:11:58
mbam-log-2009-12-04 (22-11-58).txt
Type de recherche: Examen complet (C:\|E:\|F:\|G:\|)
Eléments examinés: 330602
Temps écoulé: 1 hour(s), 55 minute(s), 31 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 31
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP252\A0048571.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP253\A0048625.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP253\A0048629.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049617.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049621.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049635.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049636.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049638.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049639.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049640.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049712.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049713.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049714.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049722.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049776.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP254\A0049777.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP256\A0049949.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP256\A0049950.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0049951.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050003.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050014.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050015.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050027.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050028.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050004.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050542.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP257\A0050543.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050628.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050641.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050642.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
G:\Nettoyage PC\Outils Desinfection et Nettoyage registre 2.0.5.3.exe (Rogue.Installer) -> Quarantined and deleted successfully. -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
Avira AntiVir Personal
Date de création du fichier de rapport : samedi 5 décembre 2009 09:49
La recherche porte sur 1417505 souches de virus.
Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 2) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : TOMAR-W1ZR6BVFA
Informations de version :
BUILD.DAT : 9.0.0.72 21606 Bytes 08/11/2009 10:58:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 17:16:30
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 17:16:30
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:42:39
VBASE002.VDF : 7.10.1.1 2048 Bytes 19/11/2009 17:42:39
VBASE003.VDF : 7.10.1.2 2048 Bytes 19/11/2009 17:42:40
VBASE004.VDF : 7.10.1.3 2048 Bytes 19/11/2009 17:42:40
VBASE005.VDF : 7.10.1.4 2048 Bytes 19/11/2009 17:42:40
VBASE006.VDF : 7.10.1.5 2048 Bytes 19/11/2009 17:42:40
VBASE007.VDF : 7.10.1.6 2048 Bytes 19/11/2009 17:42:40
VBASE008.VDF : 7.10.1.7 2048 Bytes 19/11/2009 17:42:40
VBASE009.VDF : 7.10.1.8 2048 Bytes 19/11/2009 17:42:40
VBASE010.VDF : 7.10.1.9 2048 Bytes 19/11/2009 17:42:40
VBASE011.VDF : 7.10.1.10 2048 Bytes 19/11/2009 17:42:40
VBASE012.VDF : 7.10.1.11 2048 Bytes 19/11/2009 17:42:40
VBASE013.VDF : 7.10.1.79 209920 Bytes 25/11/2009 19:57:38
VBASE014.VDF : 7.10.1.128 197632 Bytes 30/11/2009 19:18:33
VBASE015.VDF : 7.10.1.129 2048 Bytes 30/11/2009 19:18:33
VBASE016.VDF : 7.10.1.130 2048 Bytes 30/11/2009 19:18:34
VBASE017.VDF : 7.10.1.131 2048 Bytes 30/11/2009 19:18:34
VBASE018.VDF : 7.10.1.132 2048 Bytes 30/11/2009 19:18:34
VBASE019.VDF : 7.10.1.133 2048 Bytes 30/11/2009 19:18:34
VBASE020.VDF : 7.10.1.134 2048 Bytes 30/11/2009 19:18:34
VBASE021.VDF : 7.10.1.135 2048 Bytes 30/11/2009 19:18:34
VBASE022.VDF : 7.10.1.136 2048 Bytes 30/11/2009 19:18:34
VBASE023.VDF : 7.10.1.137 2048 Bytes 30/11/2009 19:18:34
VBASE024.VDF : 7.10.1.138 2048 Bytes 30/11/2009 19:18:34
VBASE025.VDF : 7.10.1.139 2048 Bytes 30/11/2009 19:18:34
VBASE026.VDF : 7.10.1.140 2048 Bytes 30/11/2009 19:18:34
VBASE027.VDF : 7.10.1.141 2048 Bytes 30/11/2009 19:18:34
VBASE028.VDF : 7.10.1.142 2048 Bytes 30/11/2009 19:18:34
VBASE029.VDF : 7.10.1.143 2048 Bytes 30/11/2009 19:18:34
VBASE030.VDF : 7.10.1.144 2048 Bytes 30/11/2009 19:18:35
VBASE031.VDF : 7.10.1.169 148992 Bytes 04/12/2009 17:32:26
Version du moteur : 8.2.1.92
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 15:58:02
AESCRIPT.DLL : 8.1.2.45 586108 Bytes 18/11/2009 10:13:07
AESCN.DLL : 8.1.2.5 127346 Bytes 03/09/2009 15:24:42
AESBX.DLL : 8.1.1.1 246132 Bytes 19/11/2009 17:16:30
AERDL.DLL : 8.1.3.4 479605 Bytes 02/12/2009 19:18:38
AEPACK.DLL : 8.2.0.3 422261 Bytes 05/11/2009 14:21:24
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 14:32:46
AEHEUR.DLL : 8.1.0.184 2146681 Bytes 02/12/2009 19:18:37
AEHELP.DLL : 8.1.7.5 237942 Bytes 25/11/2009 19:57:41
AEGEN.DLL : 8.1.1.78 364917 Bytes 25/11/2009 19:57:40
AEEMU.DLL : 8.1.1.0 393587 Bytes 02/10/2009 22:15:48
AECORE.DLL : 8.1.8.5 180598 Bytes 02/12/2009 19:18:35
AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 10:49:34
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 14/11/2009 08:26:25
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 14:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/11/2009 08:26:24
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 17:16:29
Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, E:, F:, G:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Début de la recherche : samedi 5 décembre 2009 09:49
La recherche d'objets cachés commence.
'59694' objets ont été contrôlés, '0' objets cachés ont été trouvés.
La recherche sur les processus démarrés commence :
Processus de recherche 'WINWORD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SupServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wscntfy.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'OpWareSE4.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BJMYPRT.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'28' processus ont été contrôlés avec '28' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'E:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'F:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'G:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence :
C:\WINDOWS\system32\xxop81.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
Le registre a été contrôlé ( '40' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050671.dll
[RESULTAT] Contient le cheval de Troie TR/BHOLamp.grz
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051248.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051249.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051250.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051251.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051252.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP274\A0052461.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
C:\WINDOWS\system32\xxop81.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
C:\WINDOWS\Temp\bdqu.tmp
[RESULTAT] Contient le cheval de Troie TR/Downloader.Gen
Recherche débutant dans 'E:\'
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050629.exe
[RESULTAT] Contient le cheval de Troie TR/Killav.299260
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050630.exe
[RESULTAT] Contient le cheval de Troie TR/Killav.299260
Recherche débutant dans 'F:\'
F:\Programmes installation\CrayonPhysicsDeluxe.1.0r5\Crayon Physics Deluxe v1.0r5\Crayon Physics Deluxe.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
Recherche débutant dans 'G:\'
Début de la désinfection :
C:\WINDOWS\system32\xxop81.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé.
Code d'erreur : 26003
[AVERTISSEMENT] Impossible de supprimer le fichier !
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4fd3eadb.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050671.dll
[RESULTAT] Contient le cheval de Troie TR/BHOLamp.grz
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a5663.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051248.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a5664.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051249.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8757b5.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051250.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8a1dc5.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051251.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a845ffd.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP264\A0051252.exe
[RESULTAT] Contient le cheval de Troie TR/Trash.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9a4f4d.qua' !
C:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP274\A0052461.dll
[RESULTAT] Contient le cheval de Troie TR/Vundo.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a9b7695.qua' !
C:\WINDOWS\system32\xxop81.dll
[RESULTAT] Contient le cheval de Troie TR/Spy.Gen
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé.
Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
C:\WINDOWS\Temp\bdqu.tmp
[RESULTAT] Contient le cheval de Troie TR/Downloader.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b8b56c3.qua' !
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050629.exe
[RESULTAT] Contient le cheval de Troie TR/Killav.299260
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b4a568f.qua' !
E:\System Volume Information\_restore{E06E564F-EB1F-497D-9B0D-B7944AD19B56}\RP258\A0050630.exe
[RESULTAT] Contient le cheval de Troie TR/Killav.299260
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a80a4d0.qua' !
F:\Programmes installation\CrayonPhysicsDeluxe.1.0r5\Crayon Physics Deluxe v1.0r5\Crayon Physics Deluxe.exe
[RESULTAT] Contient le cheval de Troie TR/Dropper.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b7b56d1.qua' !
Fin de la recherche : samedi 5 décembre 2009 13:47
Temps nécessaire: 1:29:52 Heure(s)
La recherche a été effectuée intégralement
11871 Les répertoires ont été contrôlés
441175 Des fichiers ont été contrôlés
13 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
12 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
441160 Fichiers non infectés
3524 Les archives ont été contrôlées
4 Avertissements
15 Consignes
59694 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés -
-
Logfile of random's system information tool 1.06 (written by random/random)
Run by Antoine at 2009-12-05 14:21:14
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 917 MB (8%) free of 12 GB
Total RAM: 1023 MB (52% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:22, on 05/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Antoine\Bureau\RSIT.exe
C:\Program Files\trend micro\Antoine.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: xxop81 - xxop81.dll (file missing)
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate1c9ed9e5ec99b3a) (gupdate1c9ed9e5ec99b3a) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
-
Télécharger OTMoveIt (de Old_Timer) sur ton Bureau.
ftp://zebulon.fr/OTM.exe
Double-cliquer sur OTMoveIt.exe pour le lancer.
-copier/coller
:files
C:\WINDOWS\system32\xxop81.dll
dans le cadre de gauche de OTMoveIt : " Paste List of Files/Folders to be moved ".
clique sur MoveIt! pour lancer la suppression.
-le résultat apparaitra dans le cadre "Results".
-clique sur Exit pour fermer.
-un rapport est situé dans C:\_OTMoveIt\MovedFiles.
Poste-le ,
( Il te sera peut-être demander de redémarrer le pc pour achever la suppression; si c'est le cas accepte par Yes. )
Telecharge et installe ccleaner
https://www.ccleaner.com/ccleaner/download
Pendant l'installation, décoche la case "Ajouter l'option ... " Contrôler les mises à jour "
Clique sur Options -> Avancé et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
Ne touche pas aux autres réglages.
Il n'y a pas de rapport à poster pour cet outil.
Lance CCleaner
Clique sur le bouton "Analyse"; une fois le scan terminé, clique sur "Lancer le nettoyage"
Sois patient ! Le scan peut durer la 1ère fois. -
En attendant la fin du nettoyage de ccleaner, voici le log de OTMoveIt :
========== FILES ==========
File/Folder C:\WINDOWS\system32\xxop81.dll not found.
OTM by OldTimer - Version 3.0.0.6 log created on 12052009_145932 -
Analyse et nettoyage par CCleaner effectués.
-
Clic droit sur poste de travail/propriétés:
Onglet Restauration du systeme: Coche "desactiver la restauration du systeme sur tous les lecteurs".
Redemarre ton pc.
refais la manip mais decoche cette fois , sans redemarrer apres.
Enfin, fais un scan avec ESET manip ici: https://forum.pcastuces.com/default.asp -
Déjà 2h de scan ESET. Est-ce normal que ce soit si long ?
2 menaces trouvées pour le moment : Win32/Packed.Autoit.Gen application et Win32/Bagle.BR worm -
-
Partitions C et E déjà scannées. Actuellement, c'est la F (30 Go). Reste ensuite la G (80 Go) qui ne contient pas de données "système".
-
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=cbd04668d49d974aaa64e6980dd5056f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-12-05 06:36:58
# local_time=2009-12-05 07:36:58 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=512 16777215 100 0 7391 7391 0 0
# compatibility_mode=1797 16775125 100 100 197532 56083376 71496 0
# compatibility_mode=8192 67108863 100 0 3743 3743 0 0
# scanned=198092
# found=3
# cleaned=0
# scan_time=15160
C:\Documents and Settings\Antoine\Local Settings\Application Data\Identities\{7ACD8644-0F74-4F7C-87F5-39CAF8C5C840}\Microsoft\Outlook Express\Réception.dbx Win32/Bagle.BR worm 00000000000000000000000000000000 I
C:\Program Files\ESET\ESET Smart Security\nodlogin.exe Win32/Packed.Autoit.Gen application 00000000000000000000000000000000 I
E:\Programmes\NOD32.ESET.Smart.Security.v3.0.672.FR.Incl-Crack\NodLogin_9.7_32Bits\setup.exe Win32/Packed.Autoit.Gen application 00000000000000000000000000000000 I -
Supprime manuellement les fichiers en gras:
E:\Programmes\NOD32.ESET.Smart.Security.v3.0.672.FR.Incl-Crack\NodLogin_9.7_32Bits\setup.exe
C:\Program Files\ESET\ESET Smart Security\nodlogin.exe
Puis:
Téléchargez FindyKill (de Chiquitine29 & C_XX) sur votre Bureau. http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe
* Double-cliquez sur le programme FindyKill présent sur votre Bureau.
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil.
* Ensuite postez le rapport FindyKill.txt qui apparaîtra.
* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque. (C:\FindyKill.txt)
-
############################## | FindyKill V5.020 |
# User : Antoine (Administrateurs) # TOMAR-W1ZR6BVFA
# Update on 26/11/2009 by Chiquitine29
# Start at: 22:15:40 | 05/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 1800+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 11,72 Go (2,28 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 25,54 Go (1,7 Go free) # NTFS
# F:\ # Disque fixe local # 29,29 Go (2,13 Go free) # NTFS
# G:\ # Disque fixe local # 82,49 Go (7,21 Go free) # NTFS
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
################## | C: |
################## | C:\WINDOWS |
################## | C:\WINDOWS\system32 |
################## | C:\WINDOWS\system32\drivers |
################## | C:\Documents and Settings\Antoine\Application Data |
################## | Autres detections ... |
################## | Temporary Internet Files |
################## | Registre / Clés infectieuses |
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
"C:\Program Files\MP3 CD Ripper\Keygen.exe"
29/08/2009 01:00 |Size 151552 |Crc32 ee9a7f09 |Md5 a94ddd127d01d3770a9f166a9158df12
"F:\Programmes installation\MP3.CDRipper.Plus.Patch.FRDST-wWw.Extreme-Down.Com\Keygen.exe"
29/08/2009 01:00 |Size 151552 |Crc32 ee9a7f09 |Md5 a94ddd127d01d3770a9f166a9158df12
################## | ! Fin du rapport # FindyKill V5.020 ! | -
ah, des cracks, encore des cracks!
supprime ce fichier :C:\Documents and Settings\Antoine\Local Settings\Application Data\Identities\{7ACD8644-0F74-4F7C-87F5-39CAF8C5C840}\Microsoft\Outlook Express\Réception.dbx -
- 1
- 2
- 3